欧美精品一区二区,体育生GAY白袜调教VIDEO,私人影院播放器,色偷偷AV老熟女色欲涩爱

在整個(gè)數(shù)據(jù)安全治理的過程中，最為重要的是實(shí)現(xiàn)數(shù)據(jù)安全策略和流程的制定，在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進(jìn)行發(fā)布，所有工作流程和技術(shù)支撐都是圍繞著此規(guī)范來制定和落實(shí)。

規(guī)范的出臺(tái)往往需要經(jīng)過大量的工作才能完成，這些工作通常包括：

A、梳理出組織所需要遵循的外部政策以及與數(shù)據(jù)安全管理相關(guān)的內(nèi)容；

B、根據(jù)該組織的數(shù)據(jù)價(jià)值和特征，梳理出核心數(shù)據(jù)資產(chǎn)，并對(duì)其分級(jí)分類；

C、理清核心數(shù)據(jù)資產(chǎn)使用的狀況（收集、存儲(chǔ)、使用、流轉(zhuǎn)）；

D、分析核心數(shù)據(jù)資產(chǎn)面臨的威脅和使用風(fēng)險(xiǎn)；

E、明確核心數(shù)據(jù)資產(chǎn)訪問控制的目標(biāo)和訪問控制流程；

F、制訂出組織對(duì)數(shù)據(jù)安全規(guī)范落實(shí)和安全風(fēng)險(xiǎn)進(jìn)行定期的核查策略。

一、外部所要遵循的策略

在我國(guó)，數(shù)據(jù)安全治理同樣需要遵循國(guó)家級(jí)的安全政策和行業(yè)內(nèi)的安全政策。舉例如下：

1.網(wǎng)絡(luò)安全法；

2.等級(jí)保護(hù)政策；

3.BMB17；

4.行業(yè)相關(guān)的政策要求舉例：

(a) PCI-DSS、Sarbanes-Oxley Act（SOX 法案）、 HIPPA ；

(b) 企業(yè)內(nèi)部控制基本規(guī)范；（三會(huì)、財(cái)政、審計(jì)）

(c) 中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定；

這些政策通常是在制訂組織內(nèi)部政策時(shí)重點(diǎn)參考的外部政策規(guī)范。

二、數(shù)據(jù)的分級(jí)分類

數(shù)據(jù)治理主要依據(jù)數(shù)據(jù)的來源、內(nèi)容和用途對(duì)數(shù)據(jù)進(jìn)行分類；按照數(shù)據(jù)的價(jià)值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對(duì)數(shù)據(jù)進(jìn)行敏感級(jí)別劃分。

圖1 某運(yùn)營(yíng)商對(duì)數(shù)據(jù)分級(jí)分類的結(jié)果

只有對(duì)數(shù)據(jù)進(jìn)行有效分類，才能夠避免一刀切的控制方式，在數(shù)據(jù)的安全管理上采用更加精細(xì)的措施，使數(shù)據(jù)在共享使用和安全使用之間獲得平衡。

三、數(shù)據(jù)資產(chǎn)狀況的梳理

3.1 數(shù)據(jù)使用部門和角色梳理

在數(shù)據(jù)資產(chǎn)的梳理中，需要明確這些數(shù)據(jù)如何被存儲(chǔ)，數(shù)據(jù)被哪些部門、系統(tǒng)、人員使用，數(shù)據(jù)被如何使用。對(duì)于數(shù)據(jù)的存儲(chǔ)和系統(tǒng)的使用，往往需要通過自動(dòng)化的工具進(jìn)行 ；而對(duì)于部門和人員的角色梳理，更多是要在管理規(guī)范文件中體現(xiàn)。對(duì)于數(shù)據(jù)資產(chǎn)使用角色的梳理，關(guān)鍵要明確在數(shù)據(jù)安全治理中不同受眾的分工、權(quán)利和職責(zé)。

組織與職責(zé)，明確安全管理相關(guān)部門的角色和責(zé)任，一般包括：

安全管理部門：制度制定、安全檢查、技術(shù)導(dǎo)入、事件監(jiān)控與處理；

業(yè)務(wù)部門：業(yè)務(wù)人員安全管理、業(yè)務(wù)人員行為審計(jì)、業(yè)務(wù)合作方管理；

運(yùn)維部門：運(yùn)維人員行為規(guī)范與管理、運(yùn)維行為審計(jì)、運(yùn)維第三方管理；

其它：第三方外包、人事、采購、審計(jì)等部門管理。

數(shù)據(jù)治理的角色與分工，需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)，包括：

安全管理部門：政策制定者、檢查與審計(jì)管理、技術(shù)導(dǎo)入者；

業(yè)務(wù)部門：根據(jù)單位的業(yè)務(wù)職能劃分；

運(yùn)維部門：運(yùn)行維護(hù)、開發(fā)測(cè)試、生產(chǎn)支撐。

3.2 數(shù)據(jù)的存儲(chǔ)與分布梳理

敏感數(shù)據(jù)在什么數(shù)據(jù)庫中分布著，是實(shí)現(xiàn)管控的關(guān)鍵。只有清楚敏感數(shù)據(jù)在什么庫中分布，才能知道需要對(duì)什么樣的庫實(shí)現(xiàn)怎樣的管控策略；對(duì)該庫的運(yùn)維人員實(shí)現(xiàn)怎樣的管控措施；對(duì)該庫的數(shù)據(jù)導(dǎo)出，實(shí)現(xiàn)怎樣的模糊化策略；對(duì)該庫數(shù)據(jù)的存儲(chǔ)實(shí)現(xiàn)怎樣的加密要求。

3.3 數(shù)據(jù)的使用狀況梳理

在清楚了數(shù)據(jù)的存儲(chǔ)分布的基礎(chǔ)上，還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問，才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對(duì)敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。

圖2某運(yùn)營(yíng)商對(duì)敏感系統(tǒng)分布的梳理結(jié)果

以運(yùn)營(yíng)商行業(yè)上述梳理結(jié)果為例，這僅為數(shù)據(jù)梳理的基礎(chǔ)，更重要的是梳理出不同的業(yè)務(wù)系統(tǒng)對(duì)這些敏感信息訪問的基本特征，如訪問的時(shí)間、IP、訪問次數(shù)、操作行為類型、數(shù)據(jù)操作批量行為等，基于這些基本特征，完成數(shù)據(jù)管控策略的制定。

數(shù)據(jù)的訪問控制

針對(duì)數(shù)據(jù)使用的不同方面，需要完成對(duì)數(shù)據(jù)使用的原則和控制策略，一般包括如下方面：

數(shù)據(jù)訪問的賬號(hào)和權(quán)限管理，相關(guān)原則和控制內(nèi)容包括：

(1)專人賬號(hào)管理；

(2)賬號(hào)獨(dú)立原則；

(3)賬號(hào)授權(quán)審批；

(4)最小授權(quán)原則；

(5)賬號(hào)回收管理；

(6)管理行為審計(jì)記錄；

(7)定期賬號(hào)稽核；

數(shù)據(jù)使用過程管理中，相關(guān)原則和控制內(nèi)容包括：

（1）業(yè)務(wù)需要訪問原則；

（2）批量操作審批原則；

（3）高敏感訪問審批原則；

（4）批量操作和高敏感訪問指定設(shè)備、地點(diǎn)原則；

（5）訪問過程審計(jì)記錄；

（6）開發(fā)測(cè)試訪問模糊化原則；

（7）訪問行為定期稽核；

數(shù)據(jù)共享（提?。┕芾恚嚓P(guān)原則和控制內(nèi)容包括：

（1）最小共享和模糊化原則；

（2）共享（提取）審批原則；

（3）最小使用范圍原則；

（4）責(zé)任傳遞原則；

（5）定期稽核；

數(shù)據(jù)存儲(chǔ)管理，相關(guān)原則和控制內(nèi)容包括：

（1）不同敏感級(jí)別數(shù)據(jù)存儲(chǔ)的網(wǎng)絡(luò)區(qū)域；

（2）敏感數(shù)據(jù)存儲(chǔ)加密；

（3）備份訪問管理；

（4）存儲(chǔ)設(shè)備的移動(dòng)管理；

（5）存儲(chǔ)設(shè)備的銷毀管理；

定期的稽核策略

定期的稽核是保證數(shù)據(jù)安全治理規(guī)范落地的關(guān)鍵，也是信息安全管理部門的重要職責(zé)，包括：

A、合規(guī)性檢查：

確保數(shù)據(jù)安全使用政策被真實(shí)執(zhí)行；

B、操作監(jiān)管與稽核：

主要針對(duì)數(shù)據(jù)訪問賬號(hào)和權(quán)限的監(jiān)管與稽核；

要具有賬號(hào)和權(quán)限的報(bào)告；要具有賬號(hào)和權(quán)限的變化報(bào)告；

業(yè)務(wù)單位和運(yùn)維部門數(shù)據(jù)訪問過程的合法性監(jiān)管與稽核；

要定義異常訪問行為特征；

要對(duì)數(shù)據(jù)的訪問行為具有完全的記錄和分析；

C、風(fēng)險(xiǎn)分析與發(fā)現(xiàn)：

對(duì)日志進(jìn)行大數(shù)據(jù)分析，發(fā)現(xiàn)潛在異常行為；

對(duì)數(shù)據(jù)使用過程進(jìn)行嘗試攻擊，進(jìn)行數(shù)據(jù)安全性測(cè)試。

在整個(gè)數(shù)據(jù)安全治理理念中，完成數(shù)據(jù)安全治理的策略性文件和系列落地文件，這將是數(shù)據(jù)安全治理的綱領(lǐng)性文件，相應(yīng)系列文件規(guī)范中要覆蓋數(shù)據(jù)安全治理的三大需求目標(biāo)和四個(gè)重要環(huán)節(jié)，針對(duì)所有與敏感數(shù)據(jù)有接觸的人員的權(quán)限進(jìn)行定義，就人員對(duì)數(shù)據(jù)訪問的過程提出控制流程。借由這些舉措來開展數(shù)據(jù)安全治理動(dòng)作，確保數(shù)據(jù)安全治理工作有綱有領(lǐng)，穩(wěn)步推進(jìn)。