如何进行数据安全管理体系建设?
随着国家数据安全相关要求及标准不断丰富,如何保障数据安全已成为近几年各个组织不断关注的焦点,数据安全重要性已不言而喻,目前很多组织是以网络为中心的安全建设,虽具有数据安全防护手段,但多为单点方式,现有建设方式已不能满足现今数据安全需求。组织应体系化建立数据安全防护手段,从管理、运维、技术三个维度,实现数据的可管、可控、可视。
数据安全流程应是管理指导运维、运维使用技术,管理是数据安全体系的指引和基础,所以本文主要介绍数据安全管理体系的建设。
文章从内部梳理及安全建设两部分进行考虑。内部梳理包括对组织内部管理体系、运维内容、业务流程、防护手段等进行全面梳理;安全建设是在现状梳理及组织对安全建设目标基础上,结合外界合规、规范形成的建设内容。
本篇文章的编写意义也是自我的考虑和梳理,后期会随着自身知识容量的不断丰富进行再次修改。
一、内部梳理
内部梳理是管理体系是否可落地的基础条件,脱离现状的管理体系是无意义、无价值的,所以对组织内部的梳理范围及梳理深度对管理体系建设影响非常巨大。
梳理包含两个阶段,第一是摸查、第二是梳理。
摸查:
针对内部摸查可从管理、技术、业务、运维、数据安全战略目标四个层面进行。前三个层面是内部现在、第四个层面是规划目标。
管理体系梳理包括:现有管理制度、管理规章、管理规范、应急响应等。
技术体系梳理包括:现有安全防护技术、现有业务系统使用技术、现有数据库技术等;
业务体系梳理包括:现有业务系统间调用关系、现有数据流向、业务资产等;
运维体系包括:现有运维体系、现有运维流程、现有运维人员构成、组织内部资产等。
数据安全战略目标包括:期望实现的数据安全目标,包括管理、技术、运维。
摸查时需要注意数据安全管理体系的应用级别,因为不同层级的部门关注数据安全管理内容不一致。
信息中心更多关注点主要在如何防护、如何应急响应、人员岗位及责任;组织战略层更多关注主要在信息中心基础上关注组织架构(业务与安全职能部门之间关系)、人员管理培训(人员安全能力)等。
梳理:
以数据生命周期为基础对调研内容进行切分,然后再进行全面梳理整合。具体关键点如下:
1.理清业务及数据流向;
2.在数据生命周期的基础上对调研内容进行整合。包括:管理、技术、运维,形成目前现状。
3.在数据生命周期的基础上对环境目前存在的风险进行梳理,理清薄弱点。
4.在数据生命周期的基础上拆解组织安全战略目标,形成安全建设目标。
通过以上四步是对摸查内容的加工,可直观了解目前数据安全现状、薄弱点以及建设目标。指导下一步的数据安全管理的建设。
二、安全管理建设
数据安全管理体系建设需满足4个方面且缺一不可,即需要了安全现状、需要了解客户建设目标、需要了解法律法规和行业规范、需要具有丰富的数据安全经验。通过第一步的梳理,可解决第一、二点问题。后两点需要组织自身或者建设单位具有多年的技术沉淀。
数据安全管理建设应充分考虑合规性及可落地性,避免出现“空中楼阁”现象。
- 合规性:应遵守国家相关法律要求及行业标准规范;
- 可落地性:应避免出现管理、运维、技术“三张皮”现象,从而影响组织内部安全规范、运维效率、防护能力。
数据安全管理体系建设思路可从广度与深度两个维度作为切入点。广度可参考外界相关法律法规及标准规范,深度是在外界相关标准上,结合自身的安全需求及行业最佳实践进行点状强化。为了加强数据管理体系可落地性,在对数据资产分类分级后,需要将不同类别、不同级别数据资产的安全要求融入至管理体系中。
数据安全管理建设内容:
数据安全管理可分为4层架构。每一层是上一层支撑。第一层为组织内部数据安全战略目标。第二层是内部安全制度该制度需要内外结合。第三次是制度下的具体规范和指南,第四层是数据安全落地运维过程中产生的表单。
1.战略。组织安全战略导向。具体建设内容包括:管理规范、管理指南等。
2.制度。组织安全体系建设导向(合规为基础)。具体建设内容包括:管理制度、岗位职责、应急响应等。
3.各种规范。组织安全规范导向(合规为基础)。具体建设内容包括:如分类分级、运维、审计、防护等。
4.落地表格。组织安全执行导向。具体建设内包括:机房出入记录表、安全审计记录表、安全防护记录表、数据使用变更申请表等。
数据安全管理体系并不是摒弃组织内部建设以网络为中心的安全管理规范,而是在此基础上融合数据安全管理要求,形成全面的管理规范。
数据安全建设流程:
1.在数据生命周期的基础上对结合国家法律法规、行业标准、业务最佳实践、风险内容进行全面整合,并与梳理时的薄弱点进行对比分析与内容完善,形成强化点。
2.在数据生命周期的基础上将目前现状与强化点进行融合,形成最终要建设内容。
3.持续性对管理体系进行修正、完善等操作。
数据安全管理建设需要充分梳理内部安全情况,确定安全管理建设目标(需考虑实际性),否则很难形成有效的管理体系。
如何进行数据安全管理体系建设?相关推荐
- 企业数据安全管理体系建设“六步走”!
更多专业文档请访问 www.itilzj.com 来源:谈数据 导读:当前,全球数字化转型正在以爆发性速度快速发展,数据作为数字化的核心已经成为新时代的核心生产要素之一.9月1日<数据安全法&g ...
- 浅谈《网络数据安全标准体系建设指南》(征求意见稿)的意见(附全文)
附件: <网络数据安全标准体系建设指南>(征求意见稿).docx http://www.miit.gov.cn/n1146295/n7281310/c7858148/part/785816 ...
- 数据安全评估体系建设
数据安全评估是指对重要数据.个人信息等数据资产的价值与权益.合规性.威胁.脆弱性.防护等进行分析和判断,以评估数据安全事件发生的概率和可能造成的损失,并采取相应的措施和建议. 数据安全评估的重要性和背 ...
- 数据安全技术体系建设的思考
<数据安全法>.<个人信息保护法>等相关的法律法规落地也有近1年的时间了,各个行业的敏感程度不尽相同,像是互联网.运营商.金融等行业在数据安全建设方面走的还是比较快,像是政府这 ...
- 商业银行数据资产管理体系建设实践报告
数字经济作为一个新的产业正在源源不断地为我国经济高质量发展注入新动力.按照中国信息通信研究院的定义,数字经济是以数字化的知识和信息为关键生产要素,以数字技术创新为核心驱动力,以现代信息网络为重要载体, ...
- 9.数据中台 --- 数据服务体系建设
第9章 数据服务体系建设数据服务体系就是把数据变为一种服务能力,通过数据服务让数据参与到业务之中,激活整个数据中台,这也是数据中台的价值所在.9.1 补全数据应用的后"一公里"数据 ...
- 企业级-数据治理体系建设
好的数据治理体系可以盘活整条数据链路,最大化保障企业数据的 采集.存储.计算 和 使用 过程的可控和可追溯. 如何构建企业数据治理体系?企业数据治理过程需要注意哪些问题?总体而言,不能一口一个胖子,路 ...
- 谈谈大数据时代企业如何进行数据治理体系建设
随着云计算.物联网.移动互联网等新一代信息技术的快速发展,人类产生的数据量呈指数级增长.据资料显示,2012年,全球数据量达到2.8ZB,预计到2020年,全球数据量将达到40ZB.大数据蕴含着巨大的 ...
- 大数据平台数据治理体系建设和管理方案
1. 范围 1 2. 规范性引用文件 1 3. 术语.定义和缩略语 5 4. 总体说明 8 4.1. 概述 8 4.2. 目标 9 4.3. 原则 9 5. 数据治理体系 10 5.1. 总体框架 1 ...
- 详解数据仓库数据指标数据治理体系建设方法论
一.数据仓库 数据仓库概念 英文名称为Data Warehouse,可简写为DW或DWH.数据仓库的目的是构建面向分析的集成化数据环境,为企业提供决策支持(Decision Support).它出于分 ...
最新文章
- android调用web接口,Android调用webservice 接口
- 802.1p 优先级与内部优先级的映射关系
- python 报错 bs4 FeatureNotFound: Couldn‘t find a tree builder with the features you requested: lxml
- Zabbix 自定义Item经常Not Supported解决
- 一次实现可以在某些场合替代菱形继承?
- Oracle 原理:DML触发器和数据库触发器
- boost库shared_ptr实现桥接模式
- 单链表式并查集应用举例
- 网络爬虫--24.【selenium实战】实现拉勾网爬虫之--分析接口获取数据
- python df共有几行_从zero到hero,一款Python自然语言处理效率利器!
- Redis 低成本、高可用设计,牛逼!
- ubuntu 安装搜狗拼音输入法
- Dubbo限流方式源码阅读
- Lector阅读器折腾笔记
- 计算机用户密码开机设置,计算机开机密码和屏保密码设置指南
- springboot实现统一日志管理
- win10 卸载linux子系统
- 渣渣渣变渣渣系列(1)
- 年终总结——过去已逝,未来可期不可欺
- 计算机固态硬盘增大,老电脑想要焕发第二春,升级固态硬盘?还是加大内存容量?...