以企业为中心的隐私保护与数据安全治理（基于GRC）

跳出单独的法律行规的层面，基于GRC、CG的角度 简单快速梳理了一下数据安全与隐私保护治理的内容。

数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等，目的是让企业在市场中保持竞争优势、法律合规以及数据安全

战略

security project management

• 过程：项目规划、项目实施、效果检测、覆盖评估

• 内容

  • 安全防御基础设施

    • DDoS、HIDS、WAF

  • 安全运维基础设施

    • 跳板机、自动化运维平台、数据传输系统

  • 安全支撑系统

    • SSO、权限管理、密钥管理、日志管理

  • 流程与工具

    • 发布审核、端口扫描、漏洞扫描

  • 数据安全管理平台

    • 展现数据安全风险现状与改进趋势（Dashboard）

政策

风险管理(PDCA)

• 过程：

  • 建立政策风险评估

  • 融入流程风险改进

    • SDL

      • 安全需求
      • 安全自检
      • 方案评审
      • 代码审计
      • 安全扫描、测试
      • 安全运行