在线炒股配资门户网-杠杆交易软件搜加杠网-【东方资本】,股票杠杆app,今日热股什么意思,预计下周一股市行情展望

提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發展
    關于美創
    申請試用
      數據安全治理體系框架和實踐路線
      發布時間:2024-07-29 閱讀次數: 7505 次



      不法盛金融投資

            致力于分享金融與不良資產、投融資并購、公司糾紛、資管基金、資本市場、房地產與建設工程、稅務籌劃及疑難案例等干貨。


      作者:數據學堂

      01 數據安全治理背景

      隨著各行各業信息化不斷演變發展,數據已成為基礎設施,成為業務發展重要原動力,內部業務與互聯網深度融合,利用新媒體,讓數據產生更大價值,是近近幾年發展的主要趨勢。如何提升數據資產價值同時讓數據使用更安全,已成為各個行業探討的方向。

      近幾年網絡安全事件頻發,具有商業特性的攻擊事件越來越多,地下黑產對個人信息需求異常旺盛。2017-2018年度551起數據泄露事件中,出自各行各業,數據高質量、易獲取,已成為不法份子獲取利益的最佳途徑。

      隨著橫向網絡安全法、等保2.0的合規性要求及縱向垂直行業安全要求的需要,對數據存儲、使用、運營提出了明確要求,如何更好的對數據進行有效防護,保障數據全生命周期的安全性,如何以事前發現、事中阻止、事后審計、持續加固的方式,提供更好的服務是每個從事安全的行業人員應該深度思考的問題。

      02 數據安全治理概念

      根據《數據安全治理白皮書3.0》,數據安全治理是以“讓數據使用更安全”為目的,在中國易于落地的數據安全建設的體系化方法論,核心內容包括:
      (1)滿足數據安全保護(Protection )、合規性(Compliance)、敏感數據管理(Sensitive) 三個需求目標;
      (2)核心理念包括:分類分級(Classfiying)、角色授權(Privilege)、場景化安全 (Scene);
      (3)數據安全治理的建設步驟包括:組織構建、資產梳理、策略制定、過程控制、行為稽核和持續改善;
      (4)核心實現框架為數據安全人員組織(Person)、數據安全使用的策略和流程 (Policy&Process)、數據安全技術支撐(Technology)三大部分。

      數據安全治理的核心理念:


      ?分類分級

      數據資產保護的核心在于數據分類分級。


      通過對數據的有效理解和分析,對數據進行不同類別和密級的劃分;根據數據的類別和密級制定不同的管理和使用原則,盡可能對數據做到有差別和針對性的防護,實現在適當安 全保護下的數據自由流動。


      參考:12張圖解析數據安全分類分級


      ?角色授權

      數據安全訪問控制核心在于數據訪問主體的角色授權。


      在數據分級和分類后,明確了數據的訪問角色以及數據的使用方式,在不影響數據資源正常訪問的前提下,針對不同的角色賦予不同的訪問權限,實現數據的訪問和使用安全。


      ?場景化安全

      數據安全治理的核心在于場景化安全。


      不同用戶基于業務、訪問途徑、使用需求,會產生不同的使用場景。在保證數據被正常 使用的目標下,基于不同的使用場景制定相應的數據安全策略。場景化的數據安全治理,能及時發現數據風險暴露面,使數據安全治理更具針對性,從而實現數據使用更安全。


      03 數據安全治理目標

      數據安全治理長期目標思短期目標需要從治理體系、安全合規、技術支撐三要素進行考慮建設。

      治理體系:數據安全體系化建設,使數據安全管理更加合理規范,良好的可視性運維機制和動態協同能力。

      安全合規:充分了解合規及行業要求,建設滿足合規性要求同時,需要考慮靈活性、可擴展性及各階段銜接性。

      技術支持:提升事前發現、事中防護、事后審計能力。


      04 數據安全治理體系框架

      數據安全是數據安全治理的目標對象,參考框架是數據安全治理的參照對象。組織可以通過持續構建參照對象,實現對目標對象的有效管理。

      依據團體標準T/ISC-0011-2021《數據安全治理能力評估方法》,數據案例參考框架包括數據安全戰略、數據全生命周期安全、基礎安全3部分主要內容,如下圖所示。


      ?數據安全戰略

      在組織啟動數據安全治理工作前,必須制定相應的戰略規劃,明確治理目標和具體任務,匹配對應的資源,使得治理工作能夠有條不紊地展開。數據安全戰略可以從數據安全規劃、機構人員管理兩個能力項入手,前者確立目標任務,后者組建治理團隊。


      ?數據全生命周期安全
      數據安全治理應圍繞數據全生命周期展開,以采集、傳輸、存儲、使用、共享、銷毀各個環節為切入點,設置相應的管控點和管理流程,以便于在不同的業務場景中進行組合復用。

      數據全生命周期安全包括數據采集安全、數據傳輸安全、存儲安全、數據備份與恢復、使用安全、數據處理環境安全、數據內部共享安全、數據外部共享安全、數據銷毀安全在內的9個能力項,通過對數據全流轉過程進行規范和約束以有效降低數據安全風險。

      ?基礎安全
      基礎安全能力作為數據全生命周期安全能力建設的基本支撐,可以在多個生命周期環節內復用,是整個數據安全治理體系建設的通用要求,能夠實現建設資源的有效整合。

      基礎安全能力包括數據分類分級、合規管理、合作方管理、監控審計、鑒別與訪問、風險和需求分析、安全事件應急等7個能力項,主要從數據安全的保障措施上進行定義和要求。

      對行業數據特性及數據管理現存問題,從數據視角出發,系統化、規范化、科學性的建立數據安全治理體系。完整的數據安全治理體系應包含5個方面:原則、上層建筑、資產梳理、管理體系、防護體系。
      原則是數據安全治理的基本思想與方針,包括:戰略一致、風險可控、運營合規、績效提升。

      上層建筑包括內外部策略、部門職責、動態協同等,起到安全治理過程中依據、指引等作用。

      資產梳理是以安全治理角度,充分摸清家底,有針對性、有計劃性的進行治理實施,主要包括:管理梳理、技術梳理、場景梳理。

      管理體系具有可落地執行特性,包含組織體系、執行體系及運維體系。

      技術體系通過發現、運維、防護,實現各階段進行快速響應。

      05 數據安全治理實踐路線

      參考中國信通院發布發布的《數據安全治理實踐指南(1.0)》,給出了數據安全治理的實踐路線:
      (一) 第一步:治理規劃
      (二) 第二步:治理建設
      (三) 第三步:治理運營
      (四) 第四步:治理成效評估

      第一步就是要進行治理規劃,它是數據安全治理工作能夠有條不紊的開展的前提,可以按照現狀分析、方案規劃、方案論證的環節順序推進。

      明晰的組織體系是保障數據安全工作順利開展的首要條件,可以參考上圖所示內容進行建設。其中,決策層是統籌部門,可以采取“一把手負責制”,管理層是數據安全工作的管理團隊,執行層是數據安全工作的具體執行者和參與者,監督層負責對管理層和執行層的工作進行監督,對違規行為予以糾正。


      制度流程作為數據安全防護要求、管理策略、操作規程等的集合,一般會從業務數據安全需求、數據安全風險控制需要、法律法規合規性要求等幾個方面進行梳理。相關制度文件的制定可以參考上圖所示的四個層級。


      技術工具作為落實各項安全管理要求的有效手段,是支撐數據安全治理體系建設的能力底座。可以參考上圖中的技術框架,完善各項技術工具以及產品平臺的功能項,確保數據安全技術能力的具體落實。


      數據安全治理離不開相應人員的具體執行,因此,加強對數據安全人才的培養是數據安全治理的應有之義。可以從數據安全意識提升、數據安全能力培訓、數據安全能力考核三方面進行培養。


      數據安全治理的持續運營,能夠打通各環節的建設內容,促進整個體系的良性發展。治理運營分為三個方面,一是風險防范,二是監控預警,三是應急處理。


      06 數據安全治理實施過程中注意事項

      合規性要求。行業合規性要求較多,會隨著時間推移發生變動,合規性文件對數據安全治理過程中有著依據、指引等作用,如不能深入了解,會使數據安全治理建設過程反復。

      管理體系。完善可持續性的管理體系是保障安全治理的先決條件,規劃好,落地難的管理體系如空中樓閣,使數據安全治理效果大大折扣。

      資產梳理。資產梳理對數據安全治理尤為重要,需要清除哪些數據要防護、數據如何流轉、端到端對象都有誰、數據跑的有什么內容、現今數據載體有什么安全隱患等等問題,資產梳理不到位,難以進行后期的體系建設。

      缺乏過程持續性。數據安全治理是一個持續性過程,上到管理體系,下至技術工具,都需進行持續性完善,如治理過程缺乏持續性,則無法形成運維監控、定向審計、問題處置與體系加固等一套有效的運轉機制。

      07 總結


      大數據、云計算、物聯網、人工智能的到來,讓各個行業發生巨大的改變,各行業對數據數據整合及利用,以互聯網進為載體行服務模式轉變同時,應充分考慮對數據的安全治理。通過對人、管理、防護產品多個方面進行數據安全治理意識、制度、技術的持續性完善,實現安全、業務與數據有效融合,達到數據安全治理的預期效果。
      參考:中國信通院CAICT  《《數據安全治理實踐指南(1.0)》(附專家解讀)》



      寫留言

      寫留言
      留言

      暫無留言

      上一條:數據治理之詳解數據安全分類分級
      下一條:Gartner:應用和數據本地化戰略對網絡安全的三大影響
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部