数据安全治理笔记

数据安全治理整理概述

数据安全治理不仅局限于组织内部,而是需要一个国家、行业组织、可言机构、企业和个人共同努力完成的课题。因此,应该分别重广义和狭义的角度看待数据安全治理。
广义地说:数据安全治理是在过数据安全战略的知道下,为形成社会共同维护数据安全和促进发展的狼嚎环境,国家有关部门、行为组织、科研机构、企业、个人共同参与和实施的一些列活动集合。
工作内容:完善相关政策法规,推动政策法规落地,建设与实施标准体系,培养并应用关键技术,培养专业人才等。
狭义地说:数据安全治理是在组织数据安全安全战略的知道下,为确保数据安全处于有效保护和合法利用的状态下,多个部门协作实施的一系列活动集合。
工作内容:建立组织数据安全治理团队,指定数据安全相关制度规范,构建数据安全技术体系,建立数据安全人才梯队等。
1、完善相关政策法律,法规的落地
2、建设与实施相关标准体系,培养人才,应用关键技术
3、数据安全与发展的平衡;

数据安全治理总体视图
数据安全治理笔记_第1张图片
治理规划
在组织启动数据安全治理工作前,必须制定相应的规划,明确治理的目标和具体任务,匹配对应的资源,使得治理工作有条不紊的展开。
现状分析:
- 外部合规遵从:外部合规要求对比组织现有的情况;
- 现状风险分析:梳理风险清单,提炼数据安全建设需求点;
- 行业最佳实践对比:明确差距,找到问题;
方案规划:
- 组织机构建设—制度流程建设—技术工具建设—人员能力建设
访问论证:
- 可行性分析:投入与产出比是否合理
- 安全性分析:方案本身的安全性
- 可持续分析:发展兼容

治理建设—组织架构体系
明晰的组织建设是保障数据安全工作顺利开展的首要条件。
数据安全治理笔记_第2张图片

治理建设–制度流程体系
制度流程是数据安全防护要求、管理策略、操作规程等的集合。

制度层级 层级作用 制度示例
一级:防止政策 面向组织,规定时间护具安全管理的数据安全管理总则方针和总则 《数据安全管理总则》
二级:管理规定 将一级制度的总体规划,落实未相应地阿奴去拿管理制度和办法,用以知道各阶段数据安全建设。 《对外数据输出管理办法》《账号与权限管理办法》《数据脱敏管理办法》
三级:操作手册 将二级制度的各项管理办法,以操作流程或执行指南等细则方式展现,保障执行的一致性 《传输接口管理细则》《账号与权限操作指南》
四级:各类表单 按照三级制度执行过程中,产生的各类报表,记录,报告等文件。 《数据接口清单》《访问控制记录表》

治理建设–技术工具体系
技术工具是落实各项安全管理要求的有效手段,也是支撑数据安全治理系统建设的能力底座。
数据安全治理笔记_第3张图片

治理建设–人员能力体系
数据安全治理离不开相应人员的具体执行,加强对数据安全人员的培养是数据安全治理的应有之义。
数据安全治理笔记_第4张图片
治理成效评估
数据安全治理是一个持续性的过程,成效评估是考核组织数据安全治理能力的重要环节,其结果也是新一轮数据安全治理的改进依据

  • 内部评估
    应由组织管理层牵头,执行层和监督层配合执行。
    应将评估结果与组织的绩效考核挂钩,皮面评估流于形式。
    内部评估(评估自查,应急演练,对抗模拟)
  • 第三方评估
    《数据安全法》:支持专业机构开展数据安全相关评估认证服务工作。
    现状:行业水平参差不齐,度量方法确实与监管要求,公众脐带尚有差距,缺乏贴近产业现状的指南。
    问题:如何让监管放心?如何使用户满意?如何保证数据安全?

治理运营
数据安全治理的持续运营,能够打通各环节的建设内容,促进整改体系的良心发展。
数据安全治理笔记_第5张图片

数据安全治理参考框架
数据安全治理笔记_第6张图片

数据安全生命周期安全

数据安全规划

  • 明确组织的数据安全决策团队及其分工;
  • 梳理组织面临的内外部数据安全风险;(内部员工的误操作,删库跑路,无数据库审计,无法溯源,无法监控风险等,外部- 黑客攻击,信息泄露等)
  • 根据业务发展指定年度及中长期发展规划,形成规划清单;
  • 按照规划内容,落实各团队任务分工及考核;
  • 简历任务分发及考核平台
    机构人员管理
  • 明确组织负责数据安全管理、数据安全执行、数据安全监督等工作的团队及职责分工;
  • 明确人员岗位及职责,按最小化原则开通各项权限;
  • 与工作人员签订保密协议、数据安全责任协议等;
  • 明确相应的数据安全追责机制;
  • 指定并落实各项数据安全培训及考核计划;
  • 针对岗位变动,落实人力资源部门与数据安全管理部门、IT部门、业务部门等在用系统账号、访问权限等;
  • 建立人员统一管理平台。

数据采集安全

  • 明确负责数据采集安全工作的团队及职责
  • 采集数据源可信管理,身份鉴定、用用授权;
  • 数据采集设备管理,比如访问控制、安全加固等;
  • 设计个人信息和重要数据的业务场景,应在采集前进行合规评估;
  • 采集过程的日志记录及监控审计;(网络审计,数据库审计,堡垒机)
  • 建立数采集工具;(数据库审计,网络审计,全流量监控设备)
  • 采集过程中,实现敏感数据是被及防泄露;
    数据安全治理笔记_第7张图片

数据安全传输安全

  • 明确负责数据传输安全工作的团队及职责;
  • 传输通管道两端主体的身份鉴别;
  • 在数据分类分级的基础上,根据业务场景,指定数据加密传输方案,以及传输通道加密方案;(数据加密传输,可防篡改)
  • 梳理数据传输接口,形成接口管控清单;
  • 开展接口调用日志记录及监控审计;
    数据安全治理笔记_第8张图片

数据存储安全

  • 明确负责存储安全工作的团队及职责
  • 在数分类分级的基础上,结合业务场景,明确不通类别和级别数据的加密存储要求,包括对急卖算法的要求和加密秘钥的管理要求;
  • 建立存储系统或平台,并实现对账号、权限、安全基线的管理;
  • 建立存储介质管理系统或平台,对购买,标记、审批、入库等操作进行安全管理,保障存储介质本身的安全‘
    数据安全治理笔记_第9张图片

数据备份与恢复(保证数据的高可用性)

  • 明确负责数据备份与恢复工作的推断及职责;
  • 指定数据备份与恢复的操作流程;(定期数据恢复与备份的演练,数据备份可还原)
  • 建立数据备份与恢复清单;
  • 建立数据备份与恢复平台,按照上述清单定期执行备份,并对备份数据完整性和可用性进行验证;
    数据安全治理笔记_第10张图片
    数据使用安全
  • 明确负责使用安全工作的软对及职责;
  • 基于数据分类分级情况,建立不同类别和级别的数据使用、审批流程及安全评估机制;
  • 部署数据脱敏工具,实现不通类别、不同级别的数据脱敏;
  • 对各类数据处理活动进行日志记录和监控审计;
    数据安全治理笔记_第11张图片

数据处理环境安全

  • 明确负责数据处理安全工作的团队及职责;
  • 明确系统的开发、上线、运维过程的安全控制措施;
  • 对生产王、测试网等不通环境进行资源隔离;
  • 对用户在数据处理环境上的各项加工操作进行日志审计和监控审计;
  • 部署数据处理环境的数据防泄漏工具;
    数据安全治理笔记_第12张图片
    数据内部共享安全
  • 明确负责数据内部共享安全工作的团队及职责;
  • 对共享的数据内容进行评估、审批;
  • 对共享过程进行日志记录及监控审计;
  • 简历内部共享清单,明确共享链条;
  • 简历数据共享工具或平台,并对其账号、权限等进行管控;
  • 部署数据脱敏工具;
  • 部署数据溯源工具;
    数据安全治理笔记_第13张图片

数据外部共享安全

  • 明确负责数据外部共享安全工作的团队及职责;
  • 针对数据脱敏、数据溯源、数据留存期限、监控审计、共享接收方的身份识别、共享平台或接口的访问控制等内容制定响应的安全管理策略;
  • 明确共享双方的安全责任,尤其是接收方的安全责任。应在共享全过程中,对接收方的数据安全防护能力进行评估。

数据销毁安全

  • 明确负责数据销毁安全工作的团队及职责
  • 根据数据分类分级情况,结合业务场景需要,明确不同的销毁方法和销毁工具;(销毁方式:1、物理销毁,软销毁,强磁铁进行消磁,磁盘复写,云磁盘再分配,硬销毁,直接砸磁盘。2、化学销毁,利用腐蚀性化学药剂进行磁盘腐蚀。)
  • 建立数据账期清单,确保过期数据按时销毁;
  • 对数据销毁过程进行监督;
  • 对数据销毁效果进行评估;
  • 针对已外部共享的数据,明确销毁记录并验证;
    数据安全治理笔记_第14张图片

基础安全

数据分类分级

  • 明确负责数据分类分级工作的团队及职责
  • 进行资产梳理;
  • 结合数据特点和业务需求,明确数据分类分级原则、方法安全管控措施;(数据分类分级,核心数据,重要数据,一般数据)
  • 定义数据识别规则;
  • 简历分类分级工具,实现数据标识;
  • 简历数据资产管理平台,实现数据的有效管理;

合规管理

  • 明确负责数据合规管理工作的团队及职责
  • 定期梳理国内法律法规、行业监管等合规要求,形成组织的合规清单;
  • 针对合规要求落实情况,定期监控审计;
  • 简历合规评审工具,定期开展合规评估评审;

合作方管理

  • 明确负责合作方管理工作的团队及职责
  • 合作钱对合作方的数据安全防护能力进行评估;(考虑到供应链攻击)
  • 签订数据保护协议,明确双方合作过程中的权责边界、责任划分,约束合作双方行为;
  • 明确合作过程中,对合作方人员账号、权限等的管理要求;
  • 业务合作结束后,督促合作方依照合同约定及时关闭数据接口,删除数据;
  • 建立合作方统一管理平台,对合作方的引入、安全评估等工作进行管理;

监控审计

  • 明确负责监控审计工作的团队及职责
  • 组织可根据自身业务流程特性、安全目标及目标控制水平梳理形成高风险,高敏感操作情况,并设置监测点;
  • 明确各场景日志记录要求、监控要求,审计要求;
  • 建立统一的监控审计平台,对高风险,高敏感操作日志进行监控分析;(日志审计系统,网络审计系统,态势感知系统,数据库审计系统)
  • 定期开展数据监控审计;

鉴别与访问

  • 明确负责管理、权限管理的团队及职责;
  • 对用户的账号进行管理及鉴别;
  • 对系统、平台、数据等的权限进行管理及访问控制
  • 建立账号及权限管理平台;
  • 定期开展账号及权限的审计;

风险和需求分析

  • 明确负责风险和需求分析管理的团队及职责;
  • 定期梳理组织面临的数据安全风险;
  • 从合规遵从、面临风险等方面;
  • 定期开展需求分析、风险分析;

安全事件应急(建立数据安全响应体系,在发生数据安全风险事件时能够及时止损,保障系统的安全稳定的运行,最大限度的降低数据安全事件造成的影响)

  • 明确负责数据安全事件应急的组织架构及职责;
  • 定义数据安全事件的分类和分级;
  • 明确数据安全事件应急处置和上报流程;
  • 制定预案;
  • 定期开展应急演练;
  • 建立数据安全事件管理平台,对已经发生的数据安全事件进行统一记录、管理、宣导;

云安全责任共担
云计算情景下的数据安全责任
数据安全治理笔记_第15张图片

你可能感兴趣的:(数据安全,安全建设,数据库,网络安全,数据安全)