浅谈企业数据安全治理
数据安全对企业生存发展举足轻重,数据资产的外泄、破坏都会导致无可挽回的经济损失和核心竞争力缺失。企业的安全管理和防护机制不健全往往忽略了数据安全重要性,导致数据安全事件频发。近期多家互联网企业接受网络安全审查,一时间数据安全再次成为关注焦点,中央纪委国家监委刊文更是强调“数据安全关乎国家安全”。
2021年6月10日,历经三审,第十三届全国人大常务委员会第二十九次会议审议通过《中华人民共和国数据安全法》,自2021年9月1日正式实施。
数据的意义和价值
一般将数据的生命周期分为:产生、使用、传输、存储、销毁,通过信息分类政策制定信息分类矩阵保护每个生命周期数据的安全。很多企业都会制定信息分类政策,按照常规意义将数据划分为:公开、内部、机密、高度机密4类,数据敏感程度逐渐增大。机密数据对于企业至关重要,是企业的命脉,同时,任何数据都有价值。
根据《数据安全法》第二十一条,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护。
欧洲某外资银行发生过真实的案例,存储几十个****的U盘没有加密,在快递过程中丢失,监管机构开出罚单300万英镑。根据Verizon最新发布的《2019年数据泄露调查报告》,银行业中DoS攻击和应用程序中使用窃取凭证的现象普遍存在。其中,网络应用程序攻击、滥用特权和其他错误导致数据泄露占比高达72%,造成的数据泄露中43%为个人信息泄露,38%为凭证信息泄露,38%为内部业务信息泄露。金融获益是网络攻击最常见的动机,占比高达88%,另外间谍攻击占比达10%。
数据分类的重要性
1、数据分类是数据治理和信息生命周期管理的基础,通过对企业内部的数据全生命周期的盘点梳理,可以帮助确定企业数据所有权的适当分配和建立完善的问责制度,满足监管及合规要求;
2、根据梳理的数据资产对企业的重要程度(比如敏感性和关键性),为数据打上不同的标签,对敏感数据进行分级,根据数据所属的级别,一目了然哪些数据可以使用、哪些不可以使用、哪些能对外开放、哪些不能开放、不同等级的数据在不同场景使用哪种安全策略,可以考虑采取技术方法(比如数据泄露防护、加密、企业权限管理等),对机密信息提供进一步的保护,从而降低数据泄露带来的风险;
3、企业内部建立完善的数据分类分级制度,还可以帮助员工增强数据安全意识,从而降低未经授权使用信息资产的风险。
企业数据安全面临的内部风险
企业数据安全面临的外部风险
01、法律法规
以网络安全法、数据安全法、GDPR为代表的一系列国内外法律法规的颁布,增大了数据合规和数据跨境风险。
02、安全攻击
黑客、勒索病毒、突发的数据泄露事 件持续上升,造成组织财务损失,破坏了声誉和客户信任度。
03、新技术快速应用
新的IT架构和云服务被广泛应用,数据量增长迅速,但是全面的数据安全管理严重滞后。
04、安全边界失效
业务快速发展,数字化转型过程中传统 的网络边界变得模糊,已有安全产品无法有效管控风险。
安全行业普遍认为,要确保数据安全,首先要建立完善数据安全治理机制,然后再来落实管 理与技术措施。国际上知名的数据安全治理的最佳实施为微软的DGPC和高德纳的DSG,这两个方法都强调了技术工具、组织人员及策略流程为核心的数据安全治理机制的重要性。
数据安全治理框架:Gartner DSG
企业数据安全体系设计
数据安全治理的组织架构建设
数据安全相关的部分法规
国家法律:
《中华人民共和国网络安全法》
《数据安全法》
《个人信息保护法》
国家标准:
《信息安全技术个人信息安全规范》
《大数据安全管理指南》
《数据安全能力成熟度模型》
《信息安全技术网络安全等级保护基本要求》
《信息安全技术 大数据服务安全能力要求》
《信息安全技术 个人信息安全影响评估指南》
《信息安全技术 个人信息去标识化指南》
行业规定:
《个人金融信息保护技术规范》
《银行业金融机构数据治理指引》
《证券期货业数据分类分级指引》
《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》
个人信息和重要数据出境安全评估办法(征求意见修改稿)
数据安全管理办法(征求意见稿)
国际法规:
GDPR 欧盟《一般数据保护条例》
CCPA 美国
日本出口管制法
ISO/IEC 27701
ISO/IEC 27018
行业报告指南:
数据安全治理白皮书3.0(中国(中关村)网络安全与信息化产业联盟发布)
中小银行数据安全治理研究报告(谷安研究院安全牛发布)
数据安全治理实践指南(中国信通院发布)
信息安全治理相关资格认证
DPO(数据保护官)
DSG(注册数据安全治理专业人员)
数据安全风险评估方法、数据安全风险识别分析、数据安全治理的技术和工具,数据调研表、企业数据资产清单模板、数据安全治理的组织架构建设数据分级分类样例请点击《数据安全治理》访问完整内容。
添加微信号: edu-aqn526 回复数据安全资料,获取相关pdf文档9个
浅谈企业数据安全治理相关推荐
- 浅谈企业数据安全风险
科技进步的同时,风险也随即而来,企业数据安全的问题越来越突出,数据安全内涵也在不断扩展,系统漏洞.网络窃密.计算机病毒.网络攻击.垃圾邮件.虚假有害信息和网络违法犯罪等不断地充斥在我们的工作生活中.对 ...
- 浅谈企业中台商业模式及建设思路
浅谈企业中台商业模式及建设思路 文章目录 浅谈企业中台商业模式及建设思路 前言 企业中台的定义和能力 企业中台的商业故事 企业中台的商业模式 构建企业中台时不同的企业初衷 企业中台的价值主张 企业中台 ...
- 企业数据安全治理最佳实践案例汇总
怎样做数据安全?看看行业最佳实践,为了保护公司隐私,将对应企业的名称进行了修订,简称某平台A.B和C 某在线平台A在线 某在线平台A合作业务处理中涉及到个人敏感数据,要对开放平台开展数据安全管理. 合 ...
- 浅谈企业内部安全漏洞的运营(一):规范化
一提到漏洞,不少安全工程师又爱又恨.爱在,挖掘和复现漏洞本身,就是特别有意思的事情,能登上国内各大SRC排行榜,进入谷歌名人堂.被微软致谢也是充满成就感的事情.恨在,如果企业真的发现的漏洞多了,就有& ...
- 浅谈企业数据能力建设
随着市场的逐步成熟,要想保持企业的长期竞争力,运营和产品改进工作需要越来越精细化. 比如,在游戏行业,玩家留存率是一个关键指标,为提升·留存率,需要精细化地分析玩家是哪一步流失的,根据游戏进程推进过程 ...
- 海睿思分享 | 浅谈企业数据资产管理
1.什么是数据资产 与实物资产.无形资产一样,数据资产首先表现为是一种资源.也就是说,并非所有的数据资源都可以升级为数据资产.作为"资产"的数据资源,大体表现为以下两种形式:一是可 ...
- 浅谈企业自主信息化开发模式
刚刚开了博客,写了人生中的第一篇随笔,而后网上遭遇老魏,谈了谈他的开发初衷和经历,竟然感慨万千起来了...自认为不是个感性动物,也不是什么写手,可竟然睡不着觉想着写点东西出来抒发抒发,那就索性起来在水 ...
- 浅谈企业拥有门户网站的重要性
摘要: 企业门户网站,作为如今互联网时代企业的一张名片,一个线上的"家",得到越来越多的企业家.公司相关管理层的认可与重视.企业网站不仅承担着企业品牌宣传.提升知名度重要的角色,还 ...
- 浅谈企业数字化转型之主数据管理系统(MDM)
信息化的时代已经快要过去,传统的ERP系统只能满足企业节省劳力,将日常的业务流程以各种不同的IT信息系统的形式固定下来,并留下记录,提高企业管理效率. 越来越多的企业开始向数字化.数智化方向转型,主数 ...
最新文章
- 德鲁克管理31条金句
- 《Android应用开发入门经典(第3版)》——第6.1节创建演示应用
- zabbix监控规划及实施
- MySQL The password hash doesn't have the expected format.
- Java Web 程序设计----基于SSM框架(正在更新中)
- 《.NET框架程序设计》第2章 第3章 读后感
- Spring整合Redis做数据缓存(Windows环境)
- 马上有钱:揭密25种成为有钱人的方法(图)
- 外设驱动库开发笔记25:FM25xxx FRAM存储器驱动
- one-many和many-one的关系中的inverse的详解
- stm32仿真不能设置断点_使用LiteOS Studio图形化查看LiteOS在STM32上运行的奥秘
- 哪一瞬间让你觉得有妈的孩子像个宝?
- win10卸载db2_如何在Linux下干净卸载db2数据库
- postgresql 模式与用户,及跨库访问
- Zookeeper-watcher机制源码分析(一)
- 计算机房档案管理,机房档案管理制度
- bip动作捕捉_Mocap动作捕捉系列
- java遍历Map效率最高的方式
- 制动计算机,一种基于摩擦制动的计算机主机底座
- three points 1(平面几何 三角形)