您可以捐助,支持我们的公益事业。

1元 10元 50元





认证码:  验证码,看不清楚?请点击刷新验证码 必填



  求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
   
 
     
   
 订阅
  捐助
数据安全建设“六步走”,打造完备数据安全体系
 
  3722  次浏览      17
2021-10-13
 
编辑推荐:
本文主要介绍数据安全保障体系“六步走”建设思路,旨在为客户数据安全建设提供体系化思路及参考。
本文来自于天融信,由火龙果软件Alice编辑、推荐。

构建数据安全保障体系需要厘清如下思路。首先,需要明确《数据安全法》和《网络安全法》、《个人信息保护法》以及“等保2.0”之间的关系。这几者是关联关系,即在保证网络安全的前提下,覆盖数据安全及个人信息安全,在行业领域建设相关安全体系时,特别涉及到关键信息基础设施时,必须要遵从“等保2.0”相关规范。在关联性基础之上,建设单位需要结合具体场景、行业特性、数据属性量等,综合判断自身业务特点应该参照哪一部或哪几部法律法规。其次,数据安全保障体系建设需要明确“技术”与“管理”并重思路,把“技术”作为“管理”的延续,即基于数据全生命周期构建数据安全指标,借助丰富的数据安全监测手段以及快速响应机制等,通过技术手段的不断进步逐一落实数据安全管理目标。

数据安全保障体系六步走,共分为数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建设。

01、数据安全治理评估

区别于合规要求的网络安全建设,数据安全保障体系应建立在事实依据的基础上,才能对自身业务最核心的数据安全风险采取技防监测、控制手段解决,所以第一步,即开展数据风险发现过程-数据安全治理评估。

通过数据安全治理专家团队,从业务视角出发,对业务应用的现状、使用情况进行调研、分析,确定业务的关联关系、访问的关键路径、数据的流向及演变过程,结合对基础安全管控措施的分析,找出主要业务所面临的管理、技术及运营风险。其次,集合多个业务系统的调研结果,找出系统间的共性问题,为制定业务的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开展评估梳理工作,形成《数据资产清单》,明确相关平台各系统的输入输出,数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。

基于业务场景梳理数据操作过程中的主体(人、用户、账号)、客体(数据)、过程(操作的时域、地域、权限、结果等)属性;以角色控制为视角,明确被审计用户(账号)的类型、角色,包括应用程序所有者(业务账号)、应用程序终端用户(业务终端)、数据管理账户(数据库管理员)等;建立符合业务最小够用的安全策略模型。

02、数据安全组织结构建设

数据安全管理是一项需要多方联动型的复合型工作,在开展组织架构建设时,需要考虑组织层面实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,所有部门均需要参与安全建设当中。同时,需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。

03、数据安全管理制度建设

前期的数据安全组织结构体系建设为后续数据安全建设提供了角色支撑,接下来需要从管理制度手段上进行梳理。数据安全保障体系的规范一般从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

一般情况下,数据安全管理规体系文件可分为四个层面:

  • 一级文件 是由决策层确定管理要求、目标及基本原则;
  • 二级文件 是由管理层根据一级管理要求制定通用的管理办法、制度及标准。二级文件作为上层的管理要求,应具备科学性、合理性、完善性及普遍的适用性;
  • 三级文件 一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范;
  • 四级文件 属于辅助文件,一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。四级文件是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。

例如,数据安全分级指南的建设过程属于数据安全管理制度建设中最为基础的一环,首先要从行业中找到参考的数据分类分级指南(若没有,可采用国标等相关具备参考价值的指南),其次结合自身业务实际情况,对业务数据进行管理层面的分类分级流程,最后基于自身的业务场景,形成自身的数据安全分级指南。

04、数据安全技术保护体系建设

不同安全级别的数据,可参照数据生命周期的原则进行数据安全应用执行。具体保护要求及措施,可参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。

05、数据安全运营管控建设

数据安全保障体系因其业务的持续性,需要进行长期性服务,建立完善的数据安全运营团队是必然选择。数据安全运营主要包括以下内容:

  • 数据安全运维: 主要是数据安全措施的使用、运维,驻场或定期对数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化,并定期输出数据安全运维报告和策略优化建议等;
  • 应急预案与演练: 按照相关要求,制定数据安全事件应急预案。并按照制定的应急规划,按照安全事件的危害程度、影响范围等对安全事件建分级,定期进行应急预案演练;
  • 监测预警: 围绕数据安全目标,依据相关安全标准,建立数据安全监测预警和安全事件通报制度,收集分析数据安全信息,对安全风险及时上报,包括按需发布数据安全监测预警信息等;
  • 应急处置: 相关方按照应急预案,在发生安全事件时,采取应急处置措施,向主管部门上报重大安全事件,定期对应急预案和处置流程优化完善;
  • 灾难恢复: 在数据安全事件发生后,根据安全事件的影响和优先级,采取合适的恢复措施,确保信息系统业务流程按照规划目标恢复。

06、数据安全监管

移动互联网时代下,数据承载的价值越来越高,数据面临巨大的威胁,监管部门出台相关法律法规,对数据从业者提出了相关要求,也明确了监管机构的责任。公安机关作为监管单位,将依法履职尽责,对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守国家核心数据管理制度、向境外提供重要数据、配合公安机关开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理。

 

   
3722 次浏览       17
 
相关文章

iOS应用安全开发,你不知道的那些事术
Web安全之SQL注入攻击
移动APP安全在渗透测试中的应用
从Google备份互联网看“数据安全”
 
相关文档

web安全设计与防护
互联网海量内容安全处理技术
黑客攻击与防范技术
WEB黑盒安全检测
 
相关课程

WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的J2EE Web应用代码
信息安全问题与防范
最新活动计划
MBSE(基于模型的系统工程)6-20[北京]
大模型微调原理与实操 6-20[厦门]
基于模型的数据治理与中台 6-25[北京]
DoDAF规范、模型与实例 6-24[北京]
UAF架构体系与实践 7-4[北京]
Linux内核编程及设备驱动 7-25[北京]
 
最新文章
物联网安全概述
史上最详细的区块链技术架构分析
一文读懂区块链整体架构及应用案例
区块链技术架构
安全架构评审实战
最新课程
Web应用安全架构、入侵检测与防护
物联网关键技术、安全与边缘计算
区块链安全技术实践指南
云服务与安全架构
互联网安全开发方法与实践
更多...   
成功案例
中国银行 信息安全技术及深度防御
北京 Web应用安全架构、入侵检测与防护
某财税领域知名IT服务商 Web安全测试
普瑞克斯 web安全设计、测试与优化
北京和利时 性能和安全性测试
更多...