DAMA数据治理学习笔记-数据安全

数据安全

定义

定义、开发、执行、监控安全策略和规程,以提供对数据和信息资产的适当验证、授权、访问、审计

数据安全需求来源

  • 利益相关方
  • 政府法规
  • 特定业务关注点
  • 合法访问需求
  • 合同义务

业务驱动因素

  • 降低风险
  • 业务增长
  • 安全性作为资产

目标

  • 支持适当访问并防止对企业数据资产的不当访问
  • 支持对隐私、保护和保密制度、法规的遵从
  • 确保满足利益相关者对隐私、保密的要求

原则

  • 协同合作
  • 企业统筹
  • 主动管理
  • 明确责任
  • 元数据驱动
  • 减少接触降低风险

风险分类

  • 关键风险数据: 个人信息,可能导致公司被处罚,影响品牌和声誉,造成财务损害
  • 高风险数据: 为公司提供竞争优势,财产损失,法律风险
  • 中等风险数据: 没有实际价值,但公开可能有负面影响

安全过程(4A1E)

  • 访问(Access)
  • 审计(Audit)
  • 验证(Authentication)
  • 授权(Authorization)
  • 权限(Entitlement)

加密方式

  • 哈希 Hash
  • 对称加密 DES/AES
  • 非对称加密 RSA

脱敏

  • 静态数据脱敏: 不落地脱敏/落地脱敏
  • 动态数据脱敏: 不改变数据,访问时脱敏

方法

  • 替换
  • 时空变异
  • 数值变异
  • 混排
  • 取消或删除
  • 随机选择
  • 加密技术
  • 表达式脱敏
  • 键值脱敏

数据安全类型

  • 设施安全
  • 设备安全
  • 凭据安全
  • 电子通信安全

机密数据分类

  1. 对普通受众公开(For General Audiences)。
  2. 仅内部使用(Internal Use Only)。仅限员工或成员使用的信息,但信息分享的风险很小。这种信息仅供内部使用、可在组织外部显示或讨论,但不得复制。
  3. 机密(Confidential)。若无恰当的保密协议或类似内容,不得在组织以外共享。不得与其他客户共享客户机密信息。
  4. 受限机密(Restricted Confidential)。受限机密要求个人通过许可才能获得资格,仅限于特定“需要知道”的个人。
  5. 绝密(Registered Confidential)。信息机密程度非常高,任何信息访问者都必须签署一份法律协议才能访问数据,并承担保密责任

活动

识别数据安全需求

  • 业务需求
  • 监管要求

制定数据安全制度

  • 企业安全制度
  • IT安全制度
  • 数据安全制度

定义数据安全细则

  • 定义数据保密等级
  • 定义数据监管类别
  • 定义安全角色

评估当前安全风险

  • 存储或传送的数据敏感性
  • 保护数据的要求
  • 现有的安全保护措施

实施控制和规程

  • 分配密级
  • 分配监管类别
  • 管理和维护数据安全
  • 管理安全制度遵从性

工具

  • 杀毒软件/安全软件
  • HTTPS
  • 身份管理技术
  • 入侵侦测和入侵防御软件
  • 防火墙
  • 元数据跟踪
  • 数据脱敏/加密

方法

  • 应用CRUD矩阵
  • 即时安全补丁部署
  • 元数据中的数据安全属性
  • 项目需求中的安全要求
  • 文件清理

实施指南

  • 就绪评估/风险评估
  • 组织和文化变革
  • 用户数据授权的可见性
  • 外包世界中的数据安全 (任何事情都可以外包,但责任除外)
  • 云环境中的数据安全

度量指标

  • 安全实施指标
  • 数据意识指标
  • 数据保护指标
  • 安全事件指标
  • 机密数据扩散

你可能感兴趣的:(DAMA数据治理学习笔记,学习,安全架构)