《數(shù)據(jù)安全治理建設(shè)指南》作為數(shù)據(jù)安全建設(shè)落地的指引����,以實(shí)際經(jīng)驗(yàn)為基礎(chǔ),將制度規(guī)范與技術(shù)工具有效融合����,從能力維度、執(zhí)行維度�、場(chǎng)景維度三個(gè)維度提出數(shù)據(jù)安全治理建設(shè)工作的落腳點(diǎn)?��?梢詾閺氖聰?shù)據(jù)安全治理體系建設(shè)的企業(yè)單位和準(zhǔn)備建設(shè)數(shù)據(jù)安全治理體系的企業(yè)和政府單位�����,提供參考�。
《數(shù)據(jù)安全治理建設(shè)指南》精簡(jiǎn)版
數(shù)據(jù)安全治理(Data Security Governance 簡(jiǎn)稱(chēng):DSG),主要目標(biāo)是“讓數(shù)據(jù)使用更安全”,只有合理的處理好數(shù)據(jù)資產(chǎn)的使用與安全�����,政府與企業(yè)才能在新的數(shù)據(jù)時(shí)代穩(wěn)健而高速發(fā)展�。
圍繞“讓數(shù)據(jù)使用更安全”的核心目標(biāo),重點(diǎn)關(guān)注數(shù)據(jù)的權(quán)限和數(shù)據(jù)應(yīng)用的場(chǎng)景���,幫助用戶完成數(shù)據(jù)安全治理體系的建設(shè)�。
數(shù)據(jù)安全治理并非單一產(chǎn)品或平臺(tái)的構(gòu)建�,而是覆蓋數(shù)據(jù)全部使用場(chǎng)景的數(shù)據(jù)安全治理體系建設(shè)。因此��,需要按步驟�����、分階段的逐漸完成����。數(shù)據(jù)安全治理并不是一個(gè)項(xiàng)目,而更像是一項(xiàng)工程���。為了有效實(shí)踐數(shù)據(jù)安全治理����,形成數(shù)據(jù)安全的閉環(huán)��,我們需要一個(gè)系統(tǒng)化的過(guò)程完成數(shù)據(jù)安全治理的建設(shè)���。
數(shù)據(jù)安全治理體系框架
數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案�����,而是從決策層到技術(shù)層��,從管理制度到工具支撐���,自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級(jí)之間需要相互協(xié)作���,對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨達(dá)成共識(shí)���,并從能力��、執(zhí)行��、場(chǎng)景三個(gè)維度建設(shè)數(shù)據(jù)安全治理體系��,以最有效的方式保護(hù)信息資源�����,數(shù)據(jù)安全治理體系框架如下圖:
●能力維度:完善的組織機(jī)構(gòu)���、有針對(duì)性和可行的管理制度和規(guī)范、全面和先進(jìn)的數(shù)據(jù)安全技術(shù)����,是構(gòu)建數(shù)據(jù)安全治理體系的基礎(chǔ)。
●執(zhí)行維度:針對(duì)數(shù)據(jù)使用的各個(gè)場(chǎng)景����,需要通過(guò)梳理來(lái)了解數(shù)據(jù)資產(chǎn)狀況和風(fēng)險(xiǎn);配合制度規(guī)范要求���,采用不同的安全技術(shù)手段進(jìn)行數(shù)據(jù)使用過(guò)程中的管控����,同時(shí)要監(jiān)控使用過(guò)程��,對(duì)訪問(wèn)行為進(jìn)行稽核���,并不斷完善�����。
●場(chǎng)景維度:數(shù)據(jù)安全治理涵蓋數(shù)據(jù)在日常使用過(guò)程中面臨的各種場(chǎng)景��,具體包含開(kāi)發(fā)測(cè)試��、運(yùn)維��、共享����、分析���、應(yīng)用訪問(wèn)��、內(nèi)部特權(quán)訪問(wèn)等場(chǎng)景��。
一�、能力維度
●組織建設(shè):組織的職責(zé)可劃分為數(shù)據(jù)安全策略的決策、數(shù)據(jù)的安全管理��、數(shù)據(jù)安全使用的監(jiān)督三類(lèi)��,根據(jù)不同職責(zé)分配角色和人員�����。
●治理評(píng)估:組織在進(jìn)行規(guī)劃過(guò)程中����,應(yīng)定期通過(guò)業(yè)務(wù)合規(guī)性評(píng)估手段開(kāi)展咨詢?cè)u(píng)估工作,對(duì)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)安全進(jìn)行全面檢測(cè)�,并對(duì)評(píng)估結(jié)果進(jìn)行安全能力分析,從而形成業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全能力評(píng)估報(bào)告��。
●制度建設(shè):將制度����、規(guī)范按照方針政策、制度規(guī)范���、操作明細(xì)���、基礎(chǔ)模板四類(lèi)進(jìn)行分類(lèi)����,形成樹(shù)狀結(jié)構(gòu)���,便于管理。
●技術(shù)建設(shè):數(shù)據(jù)安全技術(shù)�,支撐制度規(guī)范的執(zhí)行與監(jiān)控,技術(shù)工具建議使用標(biāo)準(zhǔn)的數(shù)據(jù)安全產(chǎn)品或平臺(tái)�,也可以是自主開(kāi)發(fā)的組件或工具;技術(shù)工具應(yīng)覆蓋數(shù)據(jù)使用的各個(gè)場(chǎng)景中的數(shù)據(jù)安全需求���。
二�����、執(zhí)行維度
●資產(chǎn)梳理
此過(guò)程是數(shù)據(jù)安全治理全維度的基礎(chǔ)�����,因?yàn)?,只有摸清資產(chǎn)使用部門(mén)和角色�、數(shù)據(jù)資產(chǎn)的分布、數(shù)據(jù)量級(jí)、訪問(wèn)權(quán)限�����、數(shù)據(jù)使用狀況��,才能夠有效的針對(duì)數(shù)據(jù)進(jìn)行精細(xì)化的安全管控�����。
●行為管控
此過(guò)程是結(jié)合業(yè)務(wù)流程����,在數(shù)據(jù)流轉(zhuǎn)中的數(shù)據(jù)訪問(wèn)、數(shù)據(jù)運(yùn)維�����、數(shù)據(jù)傳輸外發(fā)�����、數(shù)據(jù)存儲(chǔ)等各環(huán)節(jié)做到內(nèi)外兼顧����,并對(duì)數(shù)據(jù)處理/使用環(huán)節(jié)中的數(shù)據(jù)進(jìn)行安全保護(hù)�。
●治理稽核
稽核是保證數(shù)據(jù)安全治理規(guī)范落地的關(guān)鍵�����,也是信息安全管理部門(mén)的重要職責(zé)��。因此�,此環(huán)節(jié)是保障數(shù)據(jù)安全治理的策略和規(guī)范能否被有效執(zhí)行和落地,以及最終實(shí)現(xiàn)數(shù)據(jù)安全治理全流程的閉環(huán)�����。
三�����、場(chǎng)景維度
數(shù)據(jù)安全治理的場(chǎng)景��,是要明確在數(shù)據(jù)安全治理的過(guò)程中以場(chǎng)景化方式指導(dǎo)安全技術(shù)進(jìn)行落地�。所以在場(chǎng)景維度�,必須首先分析用戶業(yè)務(wù)場(chǎng)景,包含但不限于如:開(kāi)發(fā)測(cè)試�、數(shù)據(jù)運(yùn)維、數(shù)據(jù)分析����、應(yīng)用訪問(wèn)����、特權(quán)訪問(wèn)等場(chǎng)景���,然后按照能力維度中所梳理的資產(chǎn)��、數(shù)據(jù)����、用戶����、權(quán)限等內(nèi)容導(dǎo)入到場(chǎng)景化,包括早期策略制定前的數(shù)據(jù)梳理工具���,數(shù)據(jù)訪問(wèn)過(guò)程控制中�,采用什么樣的技術(shù)手段幫助實(shí)現(xiàn)數(shù)據(jù)的安全管理過(guò)程��,以及在后期對(duì)數(shù)據(jù)安全治理工作進(jìn)行稽核的過(guò)程中采用什么樣的技術(shù)工具進(jìn)行輔助監(jiān)管�。結(jié)合數(shù)據(jù)安全治理工具幫助完成數(shù)據(jù)安全治理工作。
糾正和優(yōu)化數(shù)據(jù)安全治理體系
數(shù)據(jù)安全沒(méi)有絕對(duì)的安全��,只是在某一時(shí)期相對(duì)安全。因此���,數(shù)據(jù)安全治理體系的建設(shè)也并非一次可以完成��,需要根據(jù)信息化建設(shè)的變化和政策的要求持續(xù)不斷的完善�,來(lái)應(yīng)對(duì)可能發(fā)生的數(shù)據(jù)安全風(fēng)險(xiǎn)�����,滿足政策的要求�。
對(duì)當(dāng)前的數(shù)據(jù)資產(chǎn)情況進(jìn)行進(jìn)一步的梳理,看是否有增加的資產(chǎn)或訪問(wèn)角色��;對(duì)稽核的情況進(jìn)行梳理�,看是否有未納入管理的數(shù)據(jù)訪問(wèn)行為���;觀測(cè)最新的相關(guān)安全規(guī)范的變化情況����,看是否有需要新增或移除的外部安全策略�����;了解新的業(yè)務(wù)系統(tǒng)或組織結(jié)構(gòu),看數(shù)據(jù)的訪問(wèn)權(quán)限和行為方式是否改變���;根據(jù)以上情況�,改組當(dāng)前的數(shù)據(jù)安全組織結(jié)構(gòu)�,修訂當(dāng)前的數(shù)據(jù)安全策略和規(guī)范,持續(xù)保證安全策略的落地�����。
為了消除在數(shù)據(jù)安全治理體系運(yùn)行中發(fā)現(xiàn)的不符合項(xiàng)�,必須及時(shí)采取糾正性措施。為此���,應(yīng)采取措施找到問(wèn)題的原因����,消除引發(fā)問(wèn)題出現(xiàn)的根源����,防止其再次發(fā)生。持續(xù)不斷的優(yōu)化數(shù)據(jù)安全治理過(guò)程���,從而整體提升企業(yè)或政府的數(shù)據(jù)安全防護(hù)能力�����。
掃描二維碼
獲取建設(shè)指南完整版
產(chǎn)品咨詢:4000 258 365 
