没有合适的资源?快使用搜索试试~ 我知道了~
数据安全能力建设思路.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 106 浏览量
2022-07-09
04:41:47
上传
评论
收藏 207KB DOCX 举报
温馨提示
试读
26页
数据安全能力建设思路.docx数据安全能力建设思路.docx数据安全能力建设思路.docx数据安全能力建设思路.docx数据安全能力建设思路.docx数据安全能力建设思路.docx数据安全能力建设思路.docx数据安全能力建设思路.docx
资源推荐
资源详情
资源评论
数据安全能力建设思路
一、前言
数据是对客观事物的性质、状态依据相互关系等进行记载的符号或符号的组
合。数据的本质就是在连续的活动过程中,经过产生、加工、传输等环节完成记
录,并不断指导业务活动持续开展的过程,所以数据的价值在次过程中得到了完
整的体现,而传输交互与使用是数据价值的集中体现。数据安全是建立在价值基
础上,实现数据准确的记录的同时完成安全交互和指定对象的加工与访问使用,
防止数据被破坏、盗用及非授权访问。数据安全能力是指数据在流动过程中,组
织为了保障数据的保密性、完整性、可用性而在安全规划、安全管理、安全技术、
安全运营等方面所采取的一系列活动。
二、数据安全能力建设的驱动力
2.1 合规驱动
《网络安全法》、《数据安全法(草案)》《网络安全等级保护条例(征求意见
稿)、《关键信息基础设施保护条例(征求意见稿)》、《数据安全管理办法(征求
意见稿)》等国内法律法规中明确了组织在数据安全方面的合规要求。欧盟正式
施行《通用数据保护条例》(简称 GDPR),掀起了个人数据保护立法的改革浪潮。
2.2 业务驱动
伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些
前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重
视与保护。数据成为资产,成为基础设施,数据驱动商业成为新的商业发展的最
大创新源泉。以数据为中心的安全治理,需要把安全聚焦在数据本身,围绕数据
的生命周期来建设安全能力,包括各个环节相关系统的安全情况、各个环节专门
的数据安全产品和策略、安全运营、制度和管理体系设计、专业人员能力建设等。
2.3 风险驱动
数据生命周期指数据从创建到销毁的整个过程,包括采集、存储、处理、应
用、流动和销毁等环节。通过对数据全生命周期各阶段进行针对性的风险分析,
可以得出:
采集阶段
采集阶段主要的风险集中在采集源、采集终端、采集过程中,包括采集阶段
面临的非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度
的访问控制、数据无法追本溯源、采集到敏感数据的泄密风险、采集终端的安全
性以及采集过程的事后审计等。
存储阶段
存储阶段面临着数据分类分级不清、重要数据的保密性问题、重要数据缺乏
细粒度访问控制的要求。
传输阶段
传输阶段主要是指数据在各业务平台、各节点之间、各组件之间以及跨组织
的数据传输,主要的风险在于传输时存在泄露问题。
处理阶段
处理阶段面临的安全风险包括数据处理时缺乏访问控制、数据结果的访问接
口缺乏控制、数据处理结果缺乏敏感数据保护措施、缺乏安全审计和数据溯源的
能力。
交换阶段
数据交换阶段主要指数据最终通过提供给其他业务系统、用户使用。此时数
据安全风险主要有数据交换和数据输出时未授权输出及交换,输出的数据在应用
或终端存在安全泄露的问题。
销毁阶段
销毁阶段主要是指在获得用户的授权许可或用户请求后应对用户数据进行
清除或销毁。
三、数据安全能力建设思路
3.1 数据安全能力建设目标
在分析数据安全在合规层面、业务层面和风险层面所面临的挑战,结合组织
在数据安全目标和远景,融合业务、管理、技术、运营等方面的需求后,以数据
为核心,聚焦数据安全生命周期,规划设计全局化和开放性的数据安全体系,提
升数据安全管理融合能力,夯实数据安全技术底盘,构建数据安全运营场景落地,
实现组织数据资产可视、数据血缘可溯、数据风险可控、数据威胁可管。
3.2 数据安全能力建设思路
随着组织业务的丰富和扩展,数据越来越多种多样,越来越庞大,相应的数
据安全问题也变得越来越复杂。单独使用一、两种技术难以应对;此外,数据安
全不仅是一个技术问题,还涉及法律法规、标准流程、人员管理等问题。因此,
一套科学的数据安全实践体系对于组织来说是十分必要的。近年来,一些安全相
关的机构纷纷提出数据安全的实践体系、方法论与解决方案。主要分为两类:一
类是“由上而下”的数据安全治理体系;另一类是数据安全能力成熟度模型体系。
数据安全治理(Data Security Governance,DSG)最早由 Gartner 在 2017 安
全与风险管理峰会上提出。在 GartnerSummit2019 进一步完善。Gartner 认为
数据安全治理是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个
组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标达成共
识,确保采取合理和适当的措施,以最有效的方式保护数字资产。其安全治理框
架如下图所示,一共分为 5 步,“由上而下”,从平衡业务需求、风险、合规、
威胁到实施安全产品,为保护产品配置策略。
数据安全能力成熟度模型(Data Security Maturity Model,简称:DSMM),
是一套数据安全建设中的系统化框架,是围绕数据的生命周期,并结合业务的需
求以及监管法规的要求,持续不断的提升组织整体的数据安全能力,从而形成以
数据为核心的安全框架。
3.3 数据安全能力建设框架
数据安全能力建设并非单一产品或平台的构建,而是覆盖数据全部使用场景
的数据安全体系建设。因此,需要按步骤、分阶段的逐渐完成。数据安全能力建
设并不是一个项目,而更像是一项工程。为了有效地实践数据安全能力,形成数
据安全的闭环,我们需要一个系统化的数据安全能力建设框架。
整体来看,数据安全能力建设框架是以法律法规监管要求和业务发展需要为
输入,在充分识别组织业务场景、风险现状的基础上,制定组织数据的分类分级
标准,同时结合组织数据安全在管理、技术、运营维度的能力要求,满足数据生
命周期各个过程域的安全。下面对四个能力维度的框架设计进行概要说明:
规划能力维度
数据安全最终是为组织的业务发展服务的,不能游离于业务之外或独立存在。
在满足法律法规要求的前提下,数据安全能力建设须切合业务发展需要来开展,
同时结合风险管理,制定数据分类分级标准,为管理、技术、运营能力建设提供
指导。
管理能力维度
组织建设:指数据安全组织的架构建立、职责分配和沟通协作。组织可分为
决策层、管理层和执行层等三层结构。其中,决策层由参与业务发展决策的高管
和数据安全官组成,制定数据安全的目标和愿景,在业务发展和数据安全之间做
出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,负责制
定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和
各业务部门接口人组成,负责保证数据安全工作推进落地。
制度流程:指数据安全具体管理制度体系的建设和执行,包括数据安全方针
和总纲、数据安全管理规范、数据安全操作指南和作业指导,以及相关模板和表
单等。
人员能力:指为实现以上组织、制度和技术工具的建设和执行其人员应具备
的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能
力及数据安全合规能力。根据不同数据安全能力建设维度匹配不同人员能力要求。
剩余25页未读,继续阅读
资源评论
竖子敢尔
- 粉丝: 1w+
- 资源: 2471
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- MyBatis 动态 SQL:灵活而强大的查询构建器.pdf
- com.accordion.prettyo.apk
- 毕业设计:基于SSM的mysql-ssm软件bug管理系统(源码 + 数据库 + 说明文档)
- MTSQL8.0.35windows(64bit)-mysql-installer-community-8.0.35.0
- 人工智能引领音乐创作新时代之Suno AI
- Public-bicycle-usage-forecast-master.zip
- 通道处理过程模拟:从理论到实践.pdf
- 数据库第七次作业E-R图第一题
- 大厂面试真题Java语法基础面试专题及答案
- IMG20240428211124.jpg
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功