近日,安华金和助力山东高速信联科技股份有限公司(以下简称:高速信联)通过DSMM数据安全成熟度三级认证,成功打造“山东首家DSMM数据安全能力成熟度三级认证”案例,成为ETC发行服务行业的数据安全标杆。
“三步走”开展对标建设
《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)是国家较早实施的一项安全能力评估标准,它给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
从开始建设数据安全体系到成功获得三级认证,安华金和与山东高速信联进行反复碰撞沟通,从开展安全评估、建立制度规范、落实技术支撑手段三个维度进行规划设计和实施,做到心中有数、治理有方、监管有据,为山东高速信联建设落地了以数据为核心的数据安全治理体系,对其数据安全体系建设具有里程碑意义。
开展数据安全评估:进行数据分类分级建设,摸清数据家底并针对不同类别、级别的数据采取对应的安全防护措施;通过对业务及数据安全性的梳理分析进行数据安全能力成熟度预评估以及数据安全风险评估,全面了解数据安全建设现状。
建立制度规范:建立数据安全管理独立部门和人员,明确角色及职责,全面负责数据安全相关工作;明确相关角色(如运维、所有者、使用者等)的数据使用和管理要求,使数据安全有章可循,指导数据安全技术措施的建设。
落实技术支撑手段:依照制度规范要求,采用适合的数据安全产品,建设数据安全技术管控能力。
落地以数据为核心的数据安全治理体系
数据分类分级
对高速信联大数据系统中的数据库资产进行梳理清查;同时进行敏感数据充分定义、敏感数据分布梳理、敏感数据访问操作汇总;并依据国家法律法规和行业监管要求,针对数据资产进行分类分级的标准制定和级别打标,完成数据分类分级工作。
数据安全管理体系建设
通过对高速信联数据安全现状的调研和评估,在满足国家相关法律法规及行业标准等要求下,完成以下工作:
①设置数据安全组织机构,明确数据安全岗位职责,输出人员分工细则管理办法等相关组织建设内容;
②制定完善的数据安全管理制度及相应的管控流程,构建数据安全合规体系,完善数据安全标准操作流程、数据安全监督考核办法、应急处置机制、预案、流程等数据全生命周期处理环节的规范定义及管理制度。
数据安全风险评估
基于数据安全现状并结合行业监管标准规范的安全防护要求,汇总出基于管理制度规范、操作规范流程和技术防护工具三个维度的数据安全防护策略,最终形成数据安全风险评估策略;通过从制度保障、分类分级、权限管理、安全审计、合作伙伴、应急响应等多个维度的配置核查,为高速信联数据安全建设提供内生动力。
数据安全能力成熟度预评估
基于数据安全能力成熟度模型的内容,结合信联科技的业务需求,以成熟度三级作为数据安全能力的基础目标进行评估。通过梳理信联科技在数据生命周期各阶段的数据安全控制现状,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力等维度进行评估,并给出提升相关数据安全能力的建议。
数据安全技术工具建设
通过建设数据安全管理平台,实现数据安全工具的统一管理,形成数据安全管理集中化、数据安全监测可视化,并通过平台的探针能力形成四道防线:“检查预警、主动防御、安全使用、事后监管”,通过数据安全评估发现数据资产分布情况以及安全隐患,守住敏感数据不离生产库的底线,通过数据审计全面记录数据库操作,既满足等保合规要求,同时具备业务行为分析能力,挖掘审计数据在“业务背后”隐藏的真正价值。
基于分类分级的数据安全治理方案能够有效应对大数据时代带来的诸多安全问题,实现大数据应用与个人信息保护的有效平衡。在近半年的时间里,安华金和不仅助力山东高速信联顺利通过山东首家DSMM数据安全能力成熟度三级认证,也帮助其切实提升数据安全防护能力,加快构建基于全流程的数据安全立体防护网。
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...