数据安全治理实践指南1.0
2021-10-01 23:13:40 65 举报AI智能生成
《数据安全治理实践指南1.0》是一份详尽的指导手册,旨在帮助企业和组织理解和实施有效的数据安全治理策略。该指南涵盖了从数据分类、风险评估到数据保护措施的全方位内容,强调了数据安全的重要性,并提供了一系列实用的工具和方法。此外,它还强调了透明度和责任,要求所有涉及数据的各方都要对数据的安全负责。这份指南是任何希望提升数据安全性的组织或个人的必备参考。
作者其他创作
大纲/内容
前言
背景
《中华人民共和国数据安全法》
进一步明确数据安全在国家安全体系中的重要地位
数据安全进入有法可依、依法建设的新阶段
面临的问题
数据作为新生产要素的特性
数据安全风险在数字经济时代被不断放大
如何协同多元主体(政府、行业、企业、个人等),协同共治
如何平衡数据开发利用与数据安全保护,发展与安全齐头并进
如何构建数据安全全生命周期框架
如何在组织落地
参考
中国互联网协会 T/ISC-0011-2021《数据安全治理能力评估方法》
数据安全治理概述
概念内涵
广义
在国家数据安全战略的指导下,
为形成全社会共同维护数据安全和促进发展的良好环境,
国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。
为形成全社会共同维护数据安全和促进发展的良好环境,
国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。
关键活动
完善相关政策法规
推动政策法规落地
建设与实施标准体系
研发并应用关键技术
培养专业人才
狭义
在组织数据安全战略的指导下,
为确保数据处于有效保护和合法利用的状态,
多个部门协作实施的一系列活动集合。
为确保数据处于有效保护和合法利用的状态,
多个部门协作实施的一系列活动集合。
关键活动
建立组织数据安全治理团队
制定数据安全制度规范
构建数据安全技术体系
建设数据安全人才梯队
原则
保障数据安全、促进开发利用
要点阐释
1. 以数据为中心
数据全生命周期
采集
传输
存储
使用
共享
销毁
需要根据具体业务场景和数据生命周期环节
有针对性地识别并解决其中存在的数据安全问题
防范数据安全风险
有针对性地识别并解决其中存在的数据安全问题
防范数据安全风险
2. 多元主体共同参与
统一数据安全共识
承担主体责任
营造协同治理模式
3. 兼顾发展与安全
辩证看待数据安全治理
数据只有在流动中才能充分发挥价值
数据的流动必须以保障数据安全为前提
《数据安全法》
坚持以数据开发利用和产业发展,促进数据安全
同时也要以数据安全保障数据开发利用和产业发展
数据安全治理不是强调绝对的数据安全,而是要兼顾发展与安全的平衡
数据安全治理总体视图
数据安全治理目标
在合规保障及风险管理的前提下,
实现数据的开发利用,保障业务的持续健康发展,
确保数据安全与业务发展的双向促进。
实现数据的开发利用,保障业务的持续健康发展,
确保数据安全与业务发展的双向促进。
数据安全治理参考框架
数据安全战略
数据全生命周期安全
基础安全
数据安全治理实践路线
结合业务发展需要
从现状入手
路线:规划、建设、运营、成效评估
建设
组织架构
制度流程
技术工具
人员能力体系
持续化运营机制
风险防控
监控预警
应急处理
根据成效评估,保障建设实践的可持续性
数据安全治理参考框架
数据安全战略
明确治理目标和具体任务,匹配资源
数据安全规划(确立目标任务)
明确组织的数据安全的决策团队及职责分工
梳理组织面临的内外部数据风险
根据业务发展,制定组织的年度和中长期发展规划,形成规划清单
根据规划内容,落实各团队任务分工及考核
建立任务分发及考核平台
机构人员管理(组建治理团队)
建立负责组织数据安全治理的团队,
并通过在人员入职、转岗、离职等环节设置安全控制措施,
防范由人员本身带来的数据安全风险。
并通过在人员入职、转岗、离职等环节设置安全控制措施,
防范由人员本身带来的数据安全风险。
明确数据安全管理、执行、监督的团队及职责分工
明确人员的岗位和职责,按照最小化原则开通权限
与工作人员签订保密协议、数据安全责任协议等
明确相应的数据安全追责机制
制定并落实各项数据安全培训及考核计划
针对入转调离,落实人力资源部门与数据安全管理部门、IT部门、业务部门在系统账号、访问权限的联动机制
建立人员统一管理平台
数据全生命周期安全
数据采集安全
可信数据源的鉴定、授权
采集前的合规性评估
采集过程的日志记录和监控审计
采集过程中的敏感数据识别及防止泄露
数据传输安全
传输通道两端主体的身份鉴别
分类分级基础上的数据加密、数据传输通道加密方案
日志记录和监控审计
存储安全
分级分类基础上的加密算法要求和加密秘钥存储
建立存储系统或平台,对账号、权限、安全基线等进行管理
存储介质本身的安全
数据备份与恢复
制定数据备份与恢复操作流程
建立数据备份与恢复清单
建立数据备份与恢复平台,按照操作流程和清单定期执行备份,并对完整性和可用性进行校验
使用安全
在分类分级的基础上,建立数据使用的审批流程及安全评估机制
部署数据脱敏工具,对分类分级的数据进行脱敏
数据使用日志的记录和监控审计
数据处理环境安全
明确系统开发、上线、运维的安全控制措施
对生产、测试等不同环境的资源隔离
部署数据处理环境的防泄漏工具
数据处理日志记录和监控审计
数据内部共享安全
对共享内容进行评估、审批
建立共享数据内容清单、明确共享链条
建立数据共享平台,对账号、权限进行管控
部署数据脱敏工具、数据溯源工具
共享日志记录和监控审计
数据外部共享安全
针对数据脱敏、溯源、留存期限、监控审计、共享接收方的身份识别、共享平台或接口的访问控制等,制定安全策略
明确共享双方的安全责任,尤其是数据接收方的安全防控能力要进行评估
数据销毁安全
在分类分级的基础上,明确不同业务场景下的数据销毁方法和工具
建立数据账期清单,确保过期数据按时销毁
数据销毁过程监督
数据销毁效果评估
对于外部共享的数据明确销毁记录并验证
基础安全
数据分类分级
数据资产梳理
明确数据分类分级原则、方法、安全管控措施
定义数据识别规则
建立分类分级工具,实现数据标识
建立数据资产管理平台,实现数据有效管理
合规管理
定期梳理国内外相关法律法规、行业监管等合规要求,输出组织合规清单
落实合规要求,定期监控审计
建立合规评审工具,定期展开合规评估评审
合作方管理
对合作方数据安全防护能力评估
签订数据保护协议
合作过程中,合作方账号和权限的管理
合作结束,敦促合作方关闭数据接口、删除数据
建立合作方统一管理平台,对合作方引入、安全防护能力评估进行统一管理
监控审计
梳理高风险、高敏感操作清单,设置监测点
明确各场景日志记录要求、监控要求、审计要求
建立统一监控审计平台,对高风险、高敏感日志进行监控分析
定期展开数据安全监控审计
鉴别与访问
对用户的账号进行管理和鉴别
对系统、平台、数据等的权限进行管理及访问控制
建立账号和权限统一管理平台
定期对账号和权限进行审计
风险和需求分析
根据组织面临的具体数据安全风险和安全需求,提出有针对性的防护对策和改进措施,
将风险控制在可接受的水平,最大限度的保障数据安全
将风险控制在可接受的水平,最大限度的保障数据安全
定期梳理组织面临的数据安全风险
定期梳理业务的数据安全需求
定期展开需求分析、风险分析
安全事件应急
通过建立数据安全应急响应体系,确保在发生数据安全事件后能够及时止损,
保障业务的安全和稳定运行,最大限度降低数据安全事件带来的影响。
保障业务的安全和稳定运行,最大限度降低数据安全事件带来的影响。
定义数据安全事件的分类分级
明确数据安全事件的应急处置和上报流程
制定应急预案
定期开展应急演练
建立数据安全事件管理平台,对数据安全事件统计记录、管理、宣导
数据安全治理实践路线
数据安全治理是一项体系化工程,
需要以数据为中心,结合业务场景和风险分析情况,
构建可持续运转的闭环数据安全防护体系,实现组织数据安全治理能力建设。
需要以数据为中心,结合业务场景和风险分析情况,
构建可持续运转的闭环数据安全防护体系,实现组织数据安全治理能力建设。
第一步:治理规划
1. 现状分析
外部合规遵从
现状风险分析
结合业务场景
基于数据防护全生命周期
行业最佳实践对比
2. 方案规划
组织机构建设
保障数据安全管理方针、政策、制度的统一制定和有效实施
制度流程建设
技术工具建设
实现各项数据安全制度要求的自动化落实
人员能力建设
安全意识培养
安全能力培训
安全能力考核
3. 方案论证
可行性分析
投入与产出的对比
发展与安全的平衡
安全性分析
确保方案的引入不会带来额外的安全风险
可持续性分析
与组织现有的体系兼容
与后续的发展相适应
第二步:治理建设
1. 组织架构体系
决策层(数据安全领导小组)
“一把手”负责制
技术、业务、法务等部门领导组成
负责组织安全的整体目标和发展规划的制定
管理层(数据安全管理团队)
制定数据安全管理策略,形成规范化管理体系
执行层(数据安全执行团队)
数据安全管理策略、管理要求的落地及运营维护
监督层(数据安全监督小组)
对管理层、执行层的工作进行定期审核监督
问题反馈给决策层
及时修正违规行为
2. 制度流程体系
数据安全管理制度文件可以分为四个层面:
一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。
三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。
一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。
三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。
一级文件
方针政策
目标
基本原则
二级文件
管理办法
制度
标准
三级文件
操作指南、规范
四级文件
辅助文件
一般是各项制度具体执行时产生的过程性文档
常见类型
工作计划
申请表单
审核记录
日志文件
清单列表
一套可参考的数据安全管理制度体系
为保证数据安全管理制度的落实,基于数据安全管理制度体系各级文件要求,
应制定相应的执行流程规范及审核规范,保障数据安全管理高效运行。
应制定相应的执行流程规范及审核规范,保障数据安全管理高效运行。
数据安全管控流程参考
3. 技术工具体系
技术工具是落实各项管理要求的有效手段,也是支撑数据安全治理体系建设的能力底座。
围绕参考框架,结合实际场景,构建完善的技术工具,可以体系化的解决数据全生命周期各阶段安全隐患。
围绕参考框架,结合实际场景,构建完善的技术工具,可以体系化的解决数据全生命周期各阶段安全隐患。
数据安全技术工具部署示意图
4. 人员能力体系
数据安全人员培养体系
数据安全意识提升
数据安全能力培训
教学为主的静态培训
实践为主的动态培训
数据安全能力考核
考核平台
题库
第三步:治理运营
1. 风险防范
数据安全策略制定
基于全生命周期的通用型安全策略
基于具体业务场景的针对性安全策略
数据安全基线扫描
安全基线是组织数据安全防护的最低要求
安全规范和安全策略需转换为安全基线,并落实到监控审计平台,定期扫描
数据安全风险评估
2. 监控预警
态势监控
实时监测、预警、初步阻断
日常审计
日常审计示例
专项审计
3. 应急处理
数据安全事件应急处理
数据安全事件复盘整改
数据安全应急预案宣贯宣导
第四步:治理成效评估
数据安全治理是一个持续性过程,成效评估是考核组织数据安全治理能力的重要环节,其结果也是新一轮数据安全治理的改进依据。
1. 内部评估
评估自查
应急演练
对抗模拟
2. 第三方评估
数据安全治理未来展望
对国家而言,数据是国家基础性战略资源,加强数据安全治理已成为维护国家安全的战略需要;
对组织而言,数据是重要的商业资源,加强数据安全治理已成为其重构竞争力的必要手段。
对组织而言,数据是重要的商业资源,加强数据安全治理已成为其重构竞争力的必要手段。
三个层面
国家层面
《数据安全法》作为数据安全领域的上位法、纲领性法规
行业层面
构建更加完善的数据安全治理标准体系
推出面向企业的咨询、评估评测服务
建立健全数据安全人才培养机制
企业层面
夯实数据安全治理能力底座
推动数据安全治理落地实践
参与标准编写
贡献优秀实践
两个核心
促进数据安全治理实践的“行业化”和“场景化”
探索数据安全治理从“离散”到“体系”的演进路线
数据安全治理企业实践
中国联通集团
安全原则
数据安全是生命线
安全事件零容忍
敏感数据不出门
目标
防止数据泄露和数据滥用
理念
零信任安全
三个体系
数据安全管理体系
数据安全技术体系
数据安全运营体系
总体框架
数据安全治理实践
1. 建立规范化数据安全管理体系
2. 建设智能化数据安全技术体系
建设数据资产地图
建设数据脱敏系统
建设统一账号认证授权审计系统
建设数据安全监测与审计系统
建设云桌面系统
建设数据追踪溯源系统
建设数据安全网关系统
3. 实施精细化安全运营体系
系统安全运营
数据运营管控
业务运营管控
蚂蚁集团
总体框架
百度
数据安全治理工作路线
数据安全治理三步走
天翼云
面临的问题
数据资产不清晰
数据分类分级难
管理体系不健全
技术工具不完善
总体思路
以“管理 + 技术 + 运营”为闭环运转,螺旋式不断推进提升
数据安全治理能力
数据安全技术体系
0 条评论
下一页
