从组织构建到持续改善是一个系统化的建设步骤,可有效指导数据安全治理全面建设的落地。
组织构建:组建专门的数据安全团队,是作为数据安全治理建设的首要任务,是保证数据安全治理工作能够持续执行的基础。
资产梳理:资产梳理是数据资产安全管理的第一步,通过资产梳理能够掌握数据资产分布、数据责任确权、数据使用流向等,使数据资产安全管理更全面。
策略制定:掌握了数据资产概况后,需要制定安全策略作为数据资产管控的安全规则。通过数据分类分级与重要数据识别,区分人员角色权限及场景,制定针对性的安全策略,能够实现对敏感数据进行分级管控,使数据在生命周期中安全流动。
过程控制:策略制定后需要将安全规则落地,通过数据安全管理体系、技术体系、运营体系的有效配合,能够帮助组织进行数据资产安全管理的过程控制。要对数据的访问过程进行审计,要判断这些数据访问行为过程是否符合所制定的安全策略;要对数据的安全访问状况进行深度评估,看在当前的安全策略有效执行的情况下,是否还有潜在的安全风险。数据安全需要动态跟踪,持续改善。可通过资产梳理,持续掌握数据资产动态;通过预警演练,提升应急响应能力;通过数据安全评估,了解数据安全管控现状,持续优化安全策略等。
依据上述指导性的建设步骤,数据运营者可根据组织的业务关注点、风险容忍度等实际情况,首先考虑核心业务且易实施、见效的防护手段先行实践,然后在治理深度上逐步构建形成体系化、全周期的数据安全防护体系,再在治理广度上逐步覆盖到数据运营全业务,并在过程中持续优化。
数据安全治理规划建设,围绕收集、存储、使用、加工、传输、提供、公开等数据处理活动,分为三个阶段建设:
基础阶段:基础防护建设,主要以咨询服务为主,包括资产管理、数据分类分级、安全评估、管理制度建设、安全策略建设、方案规划。
优化阶段:策略优化及能力提升建设,主要以产品为主,依据管理流程和安全策略部署自动化防护工具,解决业务风险。
运营阶段:数据安全管控平台建设,主要基于管理流程、安全策略、业务场景和防护积累的经验,形成行为特征库、安全事件知识库、结合业务场景的积累,形成风险分析模型,建立数据安全管控平台,有监测、有预警、有管理、有控制、有审计、有运维、可感知。
在数据安全治理实践中,一次性建立完整的数据安全体系存在方案复杂、投入高、周期长,见效慢、效果不可控等问题,且各单位数据安全建设基础情况不一,宜循序渐进地开展数据安全治理建设工作。用户需坚持以业务数据资产为核心,基于当前的数据安全现状。数据安全治理体系的建设划分为多个阶段,并将管理+技术+运营的建设思想贯穿在每一个阶段的建设任务中,快速达成阶段性目标,再由前一个阶段的建设成果指导下一个阶段的建设目标,一步步证明路线选择的正确性,通过“小步快跑,不断迭代”的方式,横向形成应用全面纳管,纵向持续优化防护策略,逐步建成数据安全闭环管控体系。
扫码进星球下载公众号文件
■
审核:晓洁
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...