《數(shù)據(jù)安全治理建設(shè)指南》作為數(shù)據(jù)安全建設(shè)落地的指引��,以實際經(jīng)驗為基礎(chǔ)��,將制度規(guī)范與技術(shù)工具有效融合�����,從能力維度��、執(zhí)行維度�����、場景維度三個維度提出數(shù)據(jù)安全治理建設(shè)工作的落腳點�����?��?梢詾閺氖聰?shù)據(jù)安全治理體系建設(shè)的企業(yè)單位和準(zhǔn)備建設(shè)數(shù)據(jù)安全治理體系的企業(yè)和政府單位�,提供參考。
《數(shù)據(jù)安全治理建設(shè)指南》精簡版
數(shù)據(jù)安全治理(Data Security Governance 簡稱:DSG),主要目標(biāo)是“讓數(shù)據(jù)使用更安全”�,只有合理的處理好數(shù)據(jù)資產(chǎn)的使用與安全�,政府與企業(yè)才能在新的數(shù)據(jù)時代穩(wěn)健而高速發(fā)展���。
圍繞“讓數(shù)據(jù)使用更安全”的核心目標(biāo)���,重點關(guān)注數(shù)據(jù)的權(quán)限和數(shù)據(jù)應(yīng)用的場景��,幫助用戶完成數(shù)據(jù)安全治理體系的建設(shè)�。
數(shù)據(jù)安全治理并非單一產(chǎn)品或平臺的構(gòu)建,而是覆蓋數(shù)據(jù)全部使用場景的數(shù)據(jù)安全治理體系建設(shè)�。因此����,需要按步驟、分階段的逐漸完成����。數(shù)據(jù)安全治理并不是一個項目,而更像是一項工程����。為了有效實踐數(shù)據(jù)安全治理�,形成數(shù)據(jù)安全的閉環(huán)���,我們需要一個系統(tǒng)化的過程完成數(shù)據(jù)安全治理的建設(shè)�����。
數(shù)據(jù)安全治理體系框架
數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案���,而是從決策層到技術(shù)層,從管理制度到工具支撐����,自上而下貫穿整個組織架構(gòu)的完整鏈條。組織內(nèi)的各個層級之間需要相互協(xié)作���,對數(shù)據(jù)安全治理的目標(biāo)和宗旨達(dá)成共識�����,并從能力���、執(zhí)行�、場景三個維度建設(shè)數(shù)據(jù)安全治理體系��,以最有效的方式保護(hù)信息資源��,數(shù)據(jù)安全治理體系框架如下圖:
●能力維度:完善的組織機(jī)構(gòu)�����、有針對性和可行的管理制度和規(guī)范����、全面和先進(jìn)的數(shù)據(jù)安全技術(shù),是構(gòu)建數(shù)據(jù)安全治理體系的基礎(chǔ)�����。
●執(zhí)行維度:針對數(shù)據(jù)使用的各個場景���,需要通過梳理來了解數(shù)據(jù)資產(chǎn)狀況和風(fēng)險;配合制度規(guī)范要求���,采用不同的安全技術(shù)手段進(jìn)行數(shù)據(jù)使用過程中的管控����,同時要監(jiān)控使用過程,對訪問行為進(jìn)行稽核���,并不斷完善�。
●場景維度:數(shù)據(jù)安全治理涵蓋數(shù)據(jù)在日常使用過程中面臨的各種場景�����,具體包含開發(fā)測試���、運(yùn)維�、共享�����、分析��、應(yīng)用訪問��、內(nèi)部特權(quán)訪問等場景�����。
一�����、能力維度
●組織建設(shè):組織的職責(zé)可劃分為數(shù)據(jù)安全策略的決策、數(shù)據(jù)的安全管理���、數(shù)據(jù)安全使用的監(jiān)督三類��,根據(jù)不同職責(zé)分配角色和人員���。
●治理評估:組織在進(jìn)行規(guī)劃過程中,應(yīng)定期通過業(yè)務(wù)合規(guī)性評估手段開展咨詢評估工作�����,對業(yè)務(wù)系統(tǒng)和數(shù)據(jù)安全進(jìn)行全面檢測�,并對評估結(jié)果進(jìn)行安全能力分析,從而形成業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全能力評估報告�����。
●制度建設(shè):將制度����、規(guī)范按照方針政策��、制度規(guī)范、操作明細(xì)��、基礎(chǔ)模板四類進(jìn)行分類�,形成樹狀結(jié)構(gòu),便于管理���。
●技術(shù)建設(shè):數(shù)據(jù)安全技術(shù)�,支撐制度規(guī)范的執(zhí)行與監(jiān)控�����,技術(shù)工具建議使用標(biāo)準(zhǔn)的數(shù)據(jù)安全產(chǎn)品或平臺�����,也可以是自主開發(fā)的組件或工具�;技術(shù)工具應(yīng)覆蓋數(shù)據(jù)使用的各個場景中的數(shù)據(jù)安全需求。
二����、執(zhí)行維度
●資產(chǎn)梳理
此過程是數(shù)據(jù)安全治理全維度的基礎(chǔ),因為�,只有摸清資產(chǎn)使用部門和角色、數(shù)據(jù)資產(chǎn)的分布��、數(shù)據(jù)量級、訪問權(quán)限��、數(shù)據(jù)使用狀況���,才能夠有效的針對數(shù)據(jù)進(jìn)行精細(xì)化的安全管控�。
●行為管控
此過程是結(jié)合業(yè)務(wù)流程�����,在數(shù)據(jù)流轉(zhuǎn)中的數(shù)據(jù)訪問�����、數(shù)據(jù)運(yùn)維��、數(shù)據(jù)傳輸外發(fā)���、數(shù)據(jù)存儲等各環(huán)節(jié)做到內(nèi)外兼顧�,并對數(shù)據(jù)處理/使用環(huán)節(jié)中的數(shù)據(jù)進(jìn)行安全保護(hù)����。
●治理稽核
稽核是保證數(shù)據(jù)安全治理規(guī)范落地的關(guān)鍵,也是信息安全管理部門的重要職責(zé)。因此�����,此環(huán)節(jié)是保障數(shù)據(jù)安全治理的策略和規(guī)范能否被有效執(zhí)行和落地�,以及最終實現(xiàn)數(shù)據(jù)安全治理全流程的閉環(huán)�����。
三�����、場景維度
數(shù)據(jù)安全治理的場景����,是要明確在數(shù)據(jù)安全治理的過程中以場景化方式指導(dǎo)安全技術(shù)進(jìn)行落地。所以在場景維度�,必須首先分析用戶業(yè)務(wù)場景,包含但不限于如:開發(fā)測試���、數(shù)據(jù)運(yùn)維��、數(shù)據(jù)分析��、應(yīng)用訪問�、特權(quán)訪問等場景,然后按照能力維度中所梳理的資產(chǎn)�����、數(shù)據(jù)�����、用戶����、權(quán)限等內(nèi)容導(dǎo)入到場景化,包括早期策略制定前的數(shù)據(jù)梳理工具���,數(shù)據(jù)訪問過程控制中����,采用什么樣的技術(shù)手段幫助實現(xiàn)數(shù)據(jù)的安全管理過程���,以及在后期對數(shù)據(jù)安全治理工作進(jìn)行稽核的過程中采用什么樣的技術(shù)工具進(jìn)行輔助監(jiān)管��。結(jié)合數(shù)據(jù)安全治理工具幫助完成數(shù)據(jù)安全治理工作�。
糾正和優(yōu)化數(shù)據(jù)安全治理體系
數(shù)據(jù)安全沒有絕對的安全,只是在某一時期相對安全��。因此�����,數(shù)據(jù)安全治理體系的建設(shè)也并非一次可以完成��,需要根據(jù)信息化建設(shè)的變化和政策的要求持續(xù)不斷的完善����,來應(yīng)對可能發(fā)生的數(shù)據(jù)安全風(fēng)險�����,滿足政策的要求�。
對當(dāng)前的數(shù)據(jù)資產(chǎn)情況進(jìn)行進(jìn)一步的梳理,看是否有增加的資產(chǎn)或訪問角色��;對稽核的情況進(jìn)行梳理��,看是否有未納入管理的數(shù)據(jù)訪問行為�����;觀測最新的相關(guān)安全規(guī)范的變化情況,看是否有需要新增或移除的外部安全策略�;了解新的業(yè)務(wù)系統(tǒng)或組織結(jié)構(gòu),看數(shù)據(jù)的訪問權(quán)限和行為方式是否改變����;根據(jù)以上情況,改組當(dāng)前的數(shù)據(jù)安全組織結(jié)構(gòu)���,修訂當(dāng)前的數(shù)據(jù)安全策略和規(guī)范����,持續(xù)保證安全策略的落地�����。
為了消除在數(shù)據(jù)安全治理體系運(yùn)行中發(fā)現(xiàn)的不符合項��,必須及時采取糾正性措施����。為此,應(yīng)采取措施找到問題的原因����,消除引發(fā)問題出現(xiàn)的根源����,防止其再次發(fā)生���。持續(xù)不斷的優(yōu)化數(shù)據(jù)安全治理過程��,從而整體提升企業(yè)或政府的數(shù)據(jù)安全防護(hù)能力����。
掃描二維碼
獲取建設(shè)指南完整版
產(chǎn)品咨詢:4000 258 365 
