版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
数据安全治理的九大要素前言风险是数据安全保障的起点,正是由于有了风险、有了特定威胁动机的威胁源,使用各种攻击方法、利用信息系统的各种脆弱性、对信息资产造成各种影响,才引起了信息安全问题。而数据安全治理就是围绕着风险,针对面临的各种风险,制定针对性的策略,将风险减少至可以接受的程度。1、安全目标与业务目标对其大数据时代,从企业内部到企业关联的上下游产业链中每天都源源不断产生大量数据,这些数据能够给企业带来无限机会。数据也因此被称为新时代企业的“黄金”和“石油”,正成为企业的核心资产、国家的战略资源。保证数据安全能力已成为全球进入大数据时代的重要竞争力。传统的数据安全更多的是放在网络入侵系统数据被窃取,而这只是数据安全的一部分,我们提到的数据安全是以数据为中心,建设可见、可控、可管的能力,达到让数据看得见,控得住,管得好。我们回过头再谈数据安全治理的目标,让数据看得见,控得住,管得好是数据安全治理的手段,并不是目标。那么什么才是数据安全治理的目标呢?有专家观点:数据安全管理是实现敏感数据最小化访问,以保证数据的安全。这是战术层面的数据安全管理,而从战略上讲数据安全和敏感信息的保护要站在企业级数据共享和应用的视角,以合规要求为前提,以数据应用为基础,以满足业务用数需求为驱动,将数据安全目标与企业业务目标对其,来进行统筹规划。换句话说,数据安全治理的目标是通过安全的使用数据以实现业务目标,脱离了“使用”数据安全就没有了意义,脱离了“业务目标”数据资产就没有了价值。2、梳理数据资产,识别敏感数据数据资产梳理是数据安全治理的基础,通过对数据资产的梳理,可以确定敏感性数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的数据访问账号和授权的情况等。关于数据资产梳理的方法主要有自顶向下的全面梳理和需求驱动的自底向上梳理方法。这个过程也可以借助一些自动化工具帮助我们识别敏感数据,基于用户指定或预定义的敏感数据及特征,工具可以自动识别发现敏感数据并导出清单。同时,还需要借助数据可视化技术,构建企业数据地图,可视化企业数据资产,并可以通过数据地图准确定位敏感数据所在位置,让数据资产和安全风险都能看得见。3、数据认责体系谁应该对企业的数据安全负责?这是有一个争议性的话题。提到数据安全认责,有人会说:“不是IT负责吗?”,然而,我们从前文中大量的数据泄露案例来看,对于数据安全的责任真的不应该由IT背锅,IT也负不起这个责任。事实上,IT只是企业信息系统的实施者和维护者或部分数据的管理者,在企业的数据安全治理环境中,数据的生产者、拥有者、使用者同样有数据安全责任。基于“谁生产、谁拥有、谁负责”的数据认责原则,确定数据安全治理工作的相关各方的责任和关系,包括数据安全治理过程中的决策、执行、解释、汇报、协调等活动的参与方和负责方,以及各方承担的角色和职责等,形成由数据治理负责部门牵头的,全员参与的主动认责文化,重视问题的沟通,能够主动剖析和快速响应出现的认责问题。执行基于数据域的数据认责模式,数据域的划分清晰且合理,理清各部门、各小组以及各参与人所承担的角色职责,在企业中推广数据认责。4、分类分级策略数据分类分级策略包括数据分类和数据分级。数据分类是按照一定的原则和方法对数据进行归类,建立起一定的分类体系,以便更好地管理和使用企业数据的过程。分级属于数据安全范畴,按照一定的分级原则和涉密程度的高低对分类后的企业数据进行定级,从而使企业数据的能够安全合规的进行使用。在数据治理领域,提到分类分级都是与数据的合规使用有关。基于企业数据的分类分级制定数据访问控制策略,形成敏感分级数据与用户角色的访问控制矩阵,为数据的安全合规使用提供支撑。数据分类分级不仅能够确保具有较低信任级别的用户无法访问敏感数据以保护重要的数据资产,并避免对不重要的数据采取不必要的安全措施。分类分级除了可以满足合规需求,更是提升企业信息化水平和运营能力的良方。基于业务主题的分类可以更好地将数据资产化,持续性为企业提供精准的数据服务;同时数据分级可以在安全角度为企业保驾护航,哪些数据可以使用、哪些不可以使用、哪些能对外开放、哪些不能开放、不同等级的数据在不同场景使用哪种安全策略,一目了然。根据已分类的数据资产由业务部门根据数据的价值、敏感程度、影响范围进行敏感分级,将分类的数据资产划分公开、内部、敏感等不同的敏感级别;对不同等级的数据分配给相应的用户角色,建立敏感分级数据与用户角色的访问控制矩阵。5、访问控制策略当然,保证数据安全仅靠数据分类分级是不够的,企业需要创建一个数据访问控制策略,该策略指定访问类型,基于分类分级的数据访问条件,明确有权访问数据的用户或用户组,定义正确使用数据的构成等。访问控制策略是数据安全领域的一个重要概念,通常是指批准或者限制任何对数据资源的访问,监控和记录访问日志,进行访问用户身份的认证和识别,并且确定其访问是否得到了授权的策略。用户身份认证用户密码策略配置访问权限最小授权原则在设计数据访问权限时,要结合数据安全等级并且要切合业务实际,将数据安全治理回归到业务中去,以达到数据使用的安全合规。6、安全审计策略数据安全审计是安全管理部门的重要职责,以此保障数据安全治理的策略和规范被有效执行和落地,以确保快速发现潜在的风险和行为。数据所面临的威胁与风险是动态变化的过程,入侵环节、入侵方式、入侵目标均随着时间不断演进。通过数据安全审计来帮助企业掌握威胁与风险的变化,明确我们的防护方向,进而调整和优化数据安全治理策略,补足防御薄弱点,使防护体系具备动态适应能力,真正实现数据安全防护。7、组织与人员组织建设。数据安全治理作为企业数据治理的一个子集,其组织的建设应在数据治理组织机构的整体框架下进行,数据治理委员会依然数据数据安全治理的决策机构,负责数据安全战略的制定。文化建设。通过营造一种文化,使员工接受定期培训帮助企业员工识别并避免勒索软件攻击,网络钓鱼诈骗以及对数据和IT资源的其他威胁。同时,让企业的相关人员清楚知道自己在数据安全治理的责任和权力,以实现数据的合规性访问。8、制度与流程数据认责。为了保护企业财务数据、客户数据和其他敏感数据的安全,以保障数据的保密性、完整性和可用性。无论规模大小,企业都需要明确定义其专业人员的角色和职责。安全审核。数据安全审核可帮助企业了解存在的数据安全漏洞。虽然很多企业已认识数据安全对企业的重要性,并建立了数据安全的定期审核机制,但实际上大多企业的精力还是放在处理数据本身上,而定期审核机制成为了一个摆设。全生命周期管理。数据的安全治理应贯穿于数据的整个生命周期,在数据的规划、设计、创建、存储、使用、销毁的各个阶段应设置相应的管控点和管理流程。数据的规划和设计阶段,应对涉密、敏感数据进行识别、分类和分级,并定义数据安全保密控制的规则。整个管理过程需要充分调动业务部门,通过业务流程把敏感信息的处理要求落到具体的业务环节中去。9、技术与工具严格来说数据资产梳理、敏感数据识别、数据分类分级、数据访问控制、数据安全审计都是数据安全治理技术的范畴。除此之外,还包括:漏洞扫描、备份与恢复、数据加密、数据脱敏脱
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年国际旅游服务供应链合同
- 2024年旅游预订小程序合作合同3篇
- 2024年墙纸施工质量保证与保修合同大全集2篇
- 2024年汽车维修配件统一采购与销售合同3篇
- 2024年度汽车信用卡分期购新车担保协议3篇
- 2024年哈尔滨房屋转租合同协议
- 2024商务考察与招商服务外包合同
- 2024年标准授信协议格式版B版
- 2024年度体育赛事专业劳务分配合同
- 2024年汽车电机电器产品国际市场拓展与品牌授权合同3篇
- Unit 2 Extended Reading 导学案-高中英语牛津译林版(2020)必修第二册
- 中国血液透析用血管通路专家共识(第2版)解读
- LY/T 1755-2008国家湿地公园建设规范
- GB/T 25443-2010移动式点焊机
- GB/T 20145-2006灯和灯系统的光生物安全性
- 日益重要的国际组织课件- 高中政治统编版选择性必修一当代国际政治与经济
- 政工工作制度15篇
- 跨国公司管理(人力资源管理)课件
- 环境保护法与两高司法解释课件
- 大线能量焊接用钢的现状与发展讲解课件
- 供应科6S管理成效课件
评论
0/150
提交评论