随着国家提出数字要素以及各行业信息化的发展,数据已经成为业务发展的驱动力。但是随着数据的流通的越来越广,产生的价值越来越高,如何在数据产生价值的过程中保证数据的安全,已经成为各行业重点关注方向。
国家驱动:数据安全上升为国家战略
政策驱动:数据安全政策法规的出台
(资料图片)
事件驱动:数据安全事件频发
企业驱动:自身现状以及合规需求
依照经典的 PDCA 模型,强化数据安全运营体系在数据安全治理中的轴心作用,有效上承管理体系,下接技术体系,落实数据流动性带来的持续、动态、闭环管理。
首先制定数据安全规划(P),通过对组织应遵循的法律法规和行业标准进行解读,结合组织的业务情况,输出并持续更新数据资产分类分级知识库和组织数据安全合规库,并进行数据资产梳理及分类分级,摸清数据资产家底,评估风险暴露面缺陷,再依照合规性要求,针对风险点设定分动态分级防护策略,然后落实全生命周期安全防护(D),依据规划制定的安全策略,面向不同级别的敏感数据对象,构建覆盖数据全生命周期节点的按需、动态防御技术能力体系,其次,展开风险监测与防护效果评估(C),实时监测数据安全运行风险,对安全事件进行响应处置,并对安全防护效果进行合规性综合评价,最后,根据风险监测和防护效果评估结果,结合业务变革,进行持续改善、优化(A),迭代驱动下一个安全规划(P)。
数据安全治理框架:有微软的DGPC和Gartner的DSG,目前大多是参考DSG进行实施的。
人员、流程、技术
DGPC框架由微软于2010年提出,围绕数据生命周期、核心技术领域、数据隐私和机密性原则三个核心元素构建
DGPC框架提供了一种以隐私、机密性和合规为目标的数据安全治理框架,以数据生命周期和核心技术领域为重点关注点,DGPC主要是从方法论层面明确数据安全治理的目标,缺少对在数据生命周期各环节落实数据安全治理措施的详细说明。
自上而下,不能跳过数据摸底等工作
企业战略:数据安全治理应保持与企业战略的制定和实施的统一
治理:数据安全需要开展深度的治理工作(另一种解读:管理:与现有管理手段结合)
合规:考虑企业需要面临的合规要求
IT策略:与企业整体IT策略同步
风险容忍度:企业对安全风险的容忍度是多少
DSG要求在数据安全治理时,要先从业务入手,按治理目标和相关合规需求,明确自身对存在风险的容忍度,平衡业务风险与合规的关系。
然后明确选择需要治理的对象,优先选择重要数据进行数据安全治理工作(可以通过数据梳理、分类分级等手段,完成数据资产盘点和筛选)。
再根据梳理的结果、自身的现状和要求制定相关的安全策略
访问关系:数据访问者、访问对象、访问行为。(对应人、数据、分析)
安全策略:根据场景制定针对性安全策略
再根据数据不同生命周期,选取不同的数据安全技术/工具
最后在安全产品上进行数据安全策略集中管理、同步下发。策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。
Tips:求个关注和点赞呀~
标签:
相关新闻
保险时讯
10-21
10-21
10-21
10-21
10-21
10-21
10-21
10-21
10-21
10-21
