《數(shù)據(jù)安全治理建設指南》作為數(shù)據(jù)安全建設落地的指引�,以實際經驗為基礎,將制度規(guī)范與技術工具有效融合�,從能力維度、執(zhí)行維度���、場景維度三個維度提出數(shù)據(jù)安全治理建設工作的落腳點������?梢詾閺氖聰(shù)據(jù)安全治理體系建設的企業(yè)單位和準備建設數(shù)據(jù)安全治理體系的企業(yè)和政府單位,提供參考����。
《數(shù)據(jù)安全治理建設指南》精簡版
數(shù)據(jù)安全治理(Data Security Governance 簡稱:DSG),主要目標是“讓數(shù)據(jù)使用更安全”,只有合理的處理好數(shù)據(jù)資產的使用與安全���,政府與企業(yè)才能在新的數(shù)據(jù)時代穩(wěn)健而高速發(fā)展����。
圍繞“讓數(shù)據(jù)使用更安全”的核心目標���,重點關注數(shù)據(jù)的權限和數(shù)據(jù)應用的場景����,幫助用戶完成數(shù)據(jù)安全治理體系的建設��。
數(shù)據(jù)安全治理并非單一產品或平臺的構建���,而是覆蓋數(shù)據(jù)全部使用場景的數(shù)據(jù)安全治理體系建設。因此��,需要按步驟���、分階段的逐漸完成�����。數(shù)據(jù)安全治理并不是一個項目�,而更像是一項工程。為了有效實踐數(shù)據(jù)安全治理��,形成數(shù)據(jù)安全的閉環(huán)�����,我們需要一個系統(tǒng)化的過程完成數(shù)據(jù)安全治理的建設��。
數(shù)據(jù)安全治理體系框架
數(shù)據(jù)安全治理不僅僅是一套用工具組合的產品級解決方案���,而是從決策層到技術層�����,從管理制度到工具支撐�����,自上而下貫穿整個組織架構的完整鏈條��。組織內的各個層級之間需要相互協(xié)作��,對數(shù)據(jù)安全治理的目標和宗旨達成共識�����,并從能力��、執(zhí)行����、場景三個維度建設數(shù)據(jù)安全治理體系,以最有效的方式保護信息資源��,數(shù)據(jù)安全治理體系框架如下圖:
●能力維度:完善的組織機構����、有針對性和可行的管理制度和規(guī)范、全面和先進的數(shù)據(jù)安全技術��,是構建數(shù)據(jù)安全治理體系的基礎��。
●執(zhí)行維度:針對數(shù)據(jù)使用的各個場景�����,需要通過梳理來了解數(shù)據(jù)資產狀況和風險��;配合制度規(guī)范要求�,采用不同的安全技術手段進行數(shù)據(jù)使用過程中的管控,同時要監(jiān)控使用過程�,對訪問行為進行稽核,并不斷完善�。
●場景維度:數(shù)據(jù)安全治理涵蓋數(shù)據(jù)在日常使用過程中面臨的各種場景,具體包含開發(fā)測試��、運維��、共享�、分析、應用訪問�����、內部特權訪問等場景��。
一�、能力維度
●組織建設:組織的職責可劃分為數(shù)據(jù)安全策略的決策、數(shù)據(jù)的安全管理���、數(shù)據(jù)安全使用的監(jiān)督三類�,根據(jù)不同職責分配角色和人員。
●治理評估:組織在進行規(guī)劃過程中�����,應定期通過業(yè)務合規(guī)性評估手段開展咨詢評估工作�����,對業(yè)務系統(tǒng)和數(shù)據(jù)安全進行全面檢測����,并對評估結果進行安全能力分析,從而形成業(yè)務系統(tǒng)數(shù)據(jù)安全能力評估報告�。
●制度建設:將制度、規(guī)范按照方針政策����、制度規(guī)范、操作明細��、基礎模板四類進行分類����,形成樹狀結構,便于管理��。
●技術建設:數(shù)據(jù)安全技術�,支撐制度規(guī)范的執(zhí)行與監(jiān)控,技術工具建議使用標準的數(shù)據(jù)安全產品或平臺��,也可以是自主開發(fā)的組件或工具���;技術工具應覆蓋數(shù)據(jù)使用的各個場景中的數(shù)據(jù)安全需求�。
二�、執(zhí)行維度
●資產梳理
此過程是數(shù)據(jù)安全治理全維度的基礎,因為�,只有摸清資產使用部門和角色、數(shù)據(jù)資產的分布�、數(shù)據(jù)量級、訪問權限����、數(shù)據(jù)使用狀況,才能夠有效的針對數(shù)據(jù)進行精細化的安全管控���。
●行為管控
此過程是結合業(yè)務流程���,在數(shù)據(jù)流轉中的數(shù)據(jù)訪問、數(shù)據(jù)運維�����、數(shù)據(jù)傳輸外發(fā)、數(shù)據(jù)存儲等各環(huán)節(jié)做到內外兼顧�,并對數(shù)據(jù)處理/使用環(huán)節(jié)中的數(shù)據(jù)進行安全保護。
●治理稽核
稽核是保證數(shù)據(jù)安全治理規(guī)范落地的關鍵���,也是信息安全管理部門的重要職責��。因此��,此環(huán)節(jié)是保障數(shù)據(jù)安全治理的策略和規(guī)范能否被有效執(zhí)行和落地�,以及最終實現(xiàn)數(shù)據(jù)安全治理全流程的閉環(huán)�����。
三�����、場景維度
數(shù)據(jù)安全治理的場景����,是要明確在數(shù)據(jù)安全治理的過程中以場景化方式指導安全技術進行落地。所以在場景維度,必須首先分析用戶業(yè)務場景�,包含但不限于如:開發(fā)測試、數(shù)據(jù)運維��、數(shù)據(jù)分析��、應用訪問��、特權訪問等場景����,然后按照能力維度中所梳理的資產�、數(shù)據(jù)、用戶���、權限等內容導入到場景化�,包括早期策略制定前的數(shù)據(jù)梳理工具�,數(shù)據(jù)訪問過程控制中,采用什么樣的技術手段幫助實現(xiàn)數(shù)據(jù)的安全管理過程�����,以及在后期對數(shù)據(jù)安全治理工作進行稽核的過程中采用什么樣的技術工具進行輔助監(jiān)管��。結合數(shù)據(jù)安全治理工具幫助完成數(shù)據(jù)安全治理工作�����。
糾正和優(yōu)化數(shù)據(jù)安全治理體系
數(shù)據(jù)安全沒有絕對的安全,只是在某一時期相對安全�����。因此����,數(shù)據(jù)安全治理體系的建設也并非一次可以完成,需要根據(jù)信息化建設的變化和政策的要求持續(xù)不斷的完善��,來應對可能發(fā)生的數(shù)據(jù)安全風險�,滿足政策的要求。
對當前的數(shù)據(jù)資產情況進行進一步的梳理����,看是否有增加的資產或訪問角色;對稽核的情況進行梳理���,看是否有未納入管理的數(shù)據(jù)訪問行為����;觀測最新的相關安全規(guī)范的變化情況,看是否有需要新增或移除的外部安全策略�;了解新的業(yè)務系統(tǒng)或組織結構,看數(shù)據(jù)的訪問權限和行為方式是否改變�����;根據(jù)以上情況���,改組當前的數(shù)據(jù)安全組織結構�,修訂當前的數(shù)據(jù)安全策略和規(guī)范�����,持續(xù)保證安全策略的落地�����。
為了消除在數(shù)據(jù)安全治理體系運行中發(fā)現(xiàn)的不符合項����,必須及時采取糾正性措施�。為此,應采取措施找到問題的原因���,消除引發(fā)問題出現(xiàn)的根源�����,防止其再次發(fā)生��。持續(xù)不斷的優(yōu)化數(shù)據(jù)安全治理過程���,從而整體提升企業(yè)或政府的數(shù)據(jù)安全防護能力�����。
掃描二維碼
獲取建設指南完整版
產品咨詢:4000 258 365 
