网络安全工程师必知的数据安全治理框架及法规

作为网络安全工程师，了解数据安全治理框架和数据安全法规至关重要。首先，数据安全治理框架提供了一个全面的方法，帮助组织规划、实施和监督数据安全策略。通过了解这些框架，网络安全工程师能够更好地理解和适应组织内部的数据安全需求，确保网络基础设施和系统的强固防护。

其次，熟悉数据安全法规是确保组织合规运营的关键一环。随着数据泄露和网络攻击的不断增加，各国制定了一系列法规来规范个人隐私、数据处理和信息安全。网络安全工程师需要了解这些法规，以确保其设计的网络安全措施符合法规要求，降低组织面临法律责任的风险。

数据安全治理框架（DSG）由Gartner在2017年提出，是一个系统性的方法，旨在确保组织对其数据的合理管理和安全保障。Gartner 认为数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。五个层级由上而下分别是业务需求与安全（风险 / 威胁 / 合规性）之间的平衡、数据优先级、制定策略，降低安全风险、实行安全工具、策略配置同步。

隐私、保密和合规性的数据治理框架（DGPC）由微软在2010年提出，以数据隐私合规为目标，围绕人员、流程和技术三个核心能力领域展开。人员指的是建立DGPC团队，规定角色和职责，提供足够的资源并为数据治理目标提供指导；流程指的是有了相应团队组织，就需要建立一套统一的流程，通过标准严谨的流程驱动数据治理。技术指的是Microsoft 开发了一种技术方法来分析特定的数据流，并识别信息安全管理系统和控制框架的更广泛的保护措施可能无法解决的剩余流量特定风险，通过风险 / 差距分析矩阵模型来实现。该模型包括三个核心要素：信息生命周期、四个技术领域、组织的数据隐私和保密原则。

DSMM由TC260（全国信息安全标准化技术委员会）归口，主管部门为国家标准化管理委员会，标准全称为《GB/T 37988-201  信息安全技术  数据安全能力成熟度模型》，本标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全,数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。DSMM 的架构由以下三个维度构成。

● 安全能力维度

安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。

● 能力成熟度等级维度

数据安全能力成熟度等级划分为五级,具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。

● 数据安全过程维度

数据安全过程包括数据生存周期安全过程和通用安全过程；

数据生存周期安全过程具体包括：数据采集安全、数据传输安全数据存储安全、数据处理安全、数据交换安全、数据销毁安全 6 个阶段。

● 通用数据保护条例（GDPR）

● 健康保险可移植性和责任法案 (HIPAA) 

● 加州消费者隐私法案 (CCPA) 

● 弗吉尼亚州消费者数据保护法案（VCDPA）

● 健康信息技术经济和临床健康 (HITECH) 法案

● 网络安全法

● 数据安全法

● 个人信息保护法

截至目前，全球已有近100个国家和地区制定了数据安全保护的法律，数据安全保护专项立法已成为国际惯例。