一、引子

PDCA是指计划(Plan)、实施(Do)、检查(Check)、处理(Action)的缩写,是一个循环改进过程,PDCA最早用于企业的全面质量管理,企业先把各项工作按照计划、实施、检查、处理这个流程来执行,如果效果好,就将其标准化。

这一工作方法,不仅可以用于企业质量管理,也可以用于各项管理工作。比如ISO 27001信息安全管理体系,就引入了PDCA模式。

二、计划

如果考虑快速启动,我们可以采取如下方法。

首先,我们需要了解现状,识别出问题或风险所在,比如,数据安全领域主要面临入侵、数据泄露风险等,隐私保护领域将主要面临法律合规风险。

其次,我们要对主要的风险进行根因分析,找出主要的问题所在,如缺乏相关的管理政策、标准、规范,或缺乏安全防御防御设施、支撑系统,或缺乏针对风险的度量反馈与持续改进机制等。对找到的原因还需要进行排序,分清主次,以便确定解决方案的优先级。

然后,需要设定改进的目标,并为此制定整体的解决方案与计划。这里的解决方案,不仅仅是技术层面的系统建设,也包括管理、运营等各种手段,如制定发布管理类文件、标准/规范类文件、意识教育宣传、培训、考试、流程建设、响应机制等等。可以将目标分解为一个个小目标,安排不同的团队来完成,并设定时间限制。

对于大型企业来说,我们首先需要参考数据安全治理的几个主要领域:战略、组织、政策总纲/最佳实践框架,制定这些领域的建议稿,并筹备下一步计划,在各利益干系人之间达成共识,之后对其进行发布,在已经具备部分政策文件的前提下,可以同步启动风险识别活动。

三、执行

在数据安全治理方面的基石已经确定的情况下,可以执行具体的数据安全管理活动,如项目建设、运营、合规与风险管理。确定整体解决方案和计划之后,按照预定的计划,设计出具体的行动方案,按计划的进度执行。比如分工协作,分别完成不同的任务。

对于数据安全来说,通常包括如下任务:

● 项目建设,如安全防御基础设施的建设(抗DDoS、HIDS、WAF等)、安全支持系统的建设(SSO、KMS、日志平台等)、流程建设、工具建设(如扫描器)。
● 安全运营,包括意识教育活动、培训、宣传等。
● 合规与风险管理,包括政策、标准、规范等文件体系的建设,以及基于合规政策的风险改进活动(政策、标准、规范等文件的内容也是需要落地的,发现风险后,通过风险闭环流程驱动改进直至关闭)。

四、检查

阶段性地检查计划执行的效果,对风险进行度量(即风险量化),评估执行效果,及时纠偏。例如:

● 检查业务对内部文件的符合性(合规性),以及改进的情况。
● 风险度量,即用数据来描述当前的风险,以及风险的改进趋势。
● 发起扫描或渗透测试,看看实际防御效果。
● 发起专项审计。

检查、度量的目的就是发现问题,并反馈到安全体系的改进中去,作为安全体系持续改进的输入。

度量数据,特别是风险收敛数据,常用来作为团队绩效考核的依据。

五、处理

这一环节,是对之前的工作加以深度思考的总结,作为下一步决策和管理问责的参考,并在下一步工作中进行巩固或纠正。

做得好的地方,可以视为成功的经验,为巩固成绩,可将其作为标准,文档化记录下来,并整合到相关的管理、规范、流程文件中去。

做得还不够的地方,作为遗留问题,将在下一个循环中重新作为风险项输入,并再次考虑新的解决方案去决它。

就这样,通过不断的计划、执行、检查、复盘纠正,让整体数据安全能力水平上一个新台阶。放在其他工作领域,同样可运用PDCA方法,让我们的工作做得更好。

数据安全--10--PDCA与数据安全治理相关推荐

  1. 数据治理与数据安全第一章----3数据治理

    数据治理具有治理的很多特性,先从治理的一则趣闻说起,治理的英文起源与演进过程. 治理一词源于拉丁文 "gubenare",原意是控制.引导和操纵:后来逐步演化为"gove ...

  2. 数据安全与销毁:数据安全已经上升到了国家战略层面

    日前,中央全面深化改革委员会审议通过了<关于构建数据基础制度更好发挥数据要素作用的意见>(下称<意见>),明确提出"把安全贯穿数据治理全过程".业内专家表示 ...

  3. 数据安全前沿技术研究数据安全

    合规驱动下的数据安全 在隐私合规 / 数据安全合规视角下,数据安全的需求和驱动力发生了根本性的改变,同时导致数据 安全的内涵在不断外延和扩展.为了更好地理解其演变过程,本文将其分为两个阶段:无合规性 ...

  4. 南海10社区试点网格化治理 大数据提高服务

    南海社区网格化治理是基层治理重构的重大内容之一.8月29日,南海召开了社区网格化治理试点工作阶段分析会,里水镇.狮山镇罗村社会管理处以及大沥镇的沥雄社区作为试点代表分享了网格化治理经验. 市委常委.南 ...

  5. wps数据匹配怎么做_【VK技术分享】数据安全怎么做—静态数据的识别和治理

    前言 在当前的数据时代,随着云计算.大数据.AI等技术的不断发展,"数据"已经渗透到当今每一个行业和业务职能领域,成为重要的生产要素.数据的计量单位也至少是PB级别计算.这对于国家 ...

  6. 浅谈企业数据安全治理

    数据安全对企业生存发展举足轻重,数据资产的外泄.破坏都会导致无可挽回的经济损失和核心竞争力缺失.企业的安全管理和防护机制不健全往往忽略了数据安全重要性,导致数据安全事件频发.近期多家互联网企业接受网络 ...

  7. 企业数据安全治理最佳实践案例汇总

    怎样做数据安全?看看行业最佳实践,为了保护公司隐私,将对应企业的名称进行了修订,简称某平台A.B和C 某在线平台A在线 某在线平台A合作业务处理中涉及到个人敏感数据,要对开放平台开展数据安全管理. 合 ...

  8. 数据安全治理能力提升(二)

    作者介绍 @龚诗然 就职于中国信通院: 数据安全工程师: "数据人创作者联盟"成员. 01 数据安全治理 第二个问题是建立完善的数据安全体系技术和落地.传统的安全模式,已经无法适应 ...

  9. 美创科技四个行业数据安全治理实践案例

    自<数据安全法>.<个人信息保护法>等法律法规出台以来,数据安全治理,作为体系化提升数据安全保障能力的重要抓手,得到越来越多的重视,"具体该如何有效落地"也 ...

  10. 【安全资讯】360大数据安全能力框架正式发布,打造数据安全治理新高地

    作者|360 来源|51CTO.com 发布时间|2021-11-09 11月9日,三六零公司(601360.SH,以下简称360)旗下政企安全集团在ISC平台重磅发布360大数据安全能力框架,这是继 ...

最新文章

  1. 3分钟4 步快速带你在win10电脑装上openCV3.4 (python使用)
  2. 【[HAOI2011]Problem c】
  3. 中国象棋源码c语言,中国象棋C语言源代码.doc
  4. 为什么道理都懂,课执行力差的现象如此普遍?
  5. Linux学习笔记(11)
  6. Java自学指南一、找一个开始并能坚持下去的理由
  7. 圆周率计算程序图计算机基础知识,项目七 用计算机计算圆周率——设计简单数值数据算法...
  8. EAS后台事物调度时间间隔所用的QuartZ Cron表达式解析。
  9. 用python做股票因子分析_因子分析(by+alphalens)
  10. 【Spark NLP】第 5 章:处理词
  11. day02-2学习过程笔记
  12. 详解物理学四大神兽————芝诺的乌龟
  13. My Forty-eighth Page - 组合 - By Nicolas
  14. 将VBS脚本编译成加密版本的VBE脚本
  15. 判断魔方阵c语言程序设计_魔方阵算法及C语言实现
  16. 【复杂网络建模】——通过图神经网络来建模分析复杂网络
  17. 网站ftp服务器密码修改,ftp服务器忘记密码修改
  18. Installing GRUB using grub-install
  19. RT3070L_USB_WIFI网卡在GT2440开发板上的移植和使用(三)---移植wpa_supplicant
  20. matlab矩阵绝对值,matlab怎么求一个矩阵所有元素的绝对值之和,看完就明白了

热门文章

  1. SpringBoot结合redis解决PV、UV亿级流量
  2. MTTR/MTTF/MTBF图解
  3. 【Leetcode刷题Python】494. 目标和
  4. vue自定义星星评分组件rater,可自定义星星图片,大小,暂不支持半颗星
  5. 健康体魄1:长寿要点
  6. 一文读懂机器学习中的贝叶斯统计学
  7. led指示灯识别功能
  8. 【offer收割机必备】我简历上的Java项目都好low,怎么办?
  9. Kubernetes进阶部分学习笔记
  10. 火星人是护法天使、科普神童