- 1、本文档共9页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
数据安全治理-国家已经开始行动
网络安全法
刑法修正案
个人数据保护法(专家意见稿)
数据出境管理办法
关键信息基础设施安全保护条例
国标《政务信息共享 数据安全技术要求》送审稿
国标《政府数据 数据分级分类》草案
《证券期货业数据分类分级指引》
《国网营销系统数据脱敏规范》
《电信和互联网用户个人信息保护规定》
决
策
层
管理层
支持层
组织建立
①决策层:负责数据安全治理体系目标、范围、策略的决策工作,决策层属于虚拟组织。
②管理层:负责数据安全治理体系建设工作,管理层的成员一般由数据合规部门承担。
③支持层:负责安全手段和制度执行的可行性,一般由业务部门承担,提出在业务开展过程中的数据安全需求。
④ 监督层:由审计部门担任,监督层需要定期向决策层汇报当前数据安全状况。
高层
参与建设组织
阶段1 建立安全组织——决策层参与
监督层
敏感数据指引
敏感数据分级分类指引
对比
能力评估
阶段2 能力评估——数据安全整体评估
数据安全管控总体规范
数据安全管控
法律法规
网络安全法、个人信息保护、关键信息基础设施安全保护、国办39号文。
国家标准
《个人信息安全规范》《等级保护2.0相关标准》
合规要求
组织制度规范体系
制度设计
阶段3 制度设计——基于业务流程设计
SQL注入
业务行为安全
敏感数据扰乱
数据高度仿真
数据溯源
运维行为可控
敏感数据隔离
数据加密
敏感数据绕乱
分析结果可用
数据摸底
数据管控
行为稽核
3个技术路线
安全建设
敏感数据梳理
敏感数据智能识别
识别敏感数据分布、分析访问压力情况、记录操作日志信息等。
敏感数据分级分类
梳理各部门业务系统数据,将数据按照特征或者所属部门进行归类。
标记数据敏感级别。
敏感数据标记
增强数据存储必威体育官网网址性,防止业务数据泄露
数据存储加密
数据备份加密
数据安全存储与管控
数据脱敏(静态/动态)
静态脱敏:对第三方测试开发,实时性使用不高的数据进行脱敏处理。
动态脱敏:对应用环境或者业务系统使用的实时性数据,进行动态脱敏处理。
数据安全存储与管控
细粒度访问控制
数据库运维管控
对数据访问者进行审批管控,识别访问者身份。
对业务环节中的数据使用,基于业务角色授予用户相应的访问权限。
对运维环节中用户操作进行访问控制,拦截风险操作,阻断攻击行为。
监控、审计、追溯
数据安全
存储
数据流转监控
异常行为告警
数据水印
监控数据流向,记录数据传输的范围。
对敏感数据的流向异常、操作异常等事件进行及时的告警。
将数据进行水印标记,追溯数据的流动情况。
监控、审计、追溯
数据库审计
记录数据操作者身份。
记录数据除操作行为。
告警数据操作异常行为。
还原数据销毁全过程。
安全设计
数据安全治理体系建设总体框架
数据安全治理体系框架
管理体系框架
技术体系框架
组织架构
决策层
采集
管理层
执行层
存储
传输
使用
共享
删除
运营体系框架
审计监管
管理规范
技术规范
数据安全管理制度
数据资产管理规范
数据分发管控规范
数据分类分级标准
数据安全风险评估规范
数据安全事件管理规范
数据脱敏策略
数据传输加密策略
数据存储安全策略
数据安全加密策略
数据安全审计策略
数据防泄漏策略
防火墙
加密
防泄漏/防火墙
脱敏/审计
加密/审计
审计
策略
中心
安全事件
风险分析
数据资产管理
数据安全管控平台展示
数据安全事件应急响应
数据安全治理体系建设实施步骤
第一阶段
第二阶段
第三阶段
基础防护建设阶段
数据资产管理规范
敏感数据定义和发现
数据分类分级标准及管控要求
数据安全评估
策略优化及能力提升建设阶段
用户权限责任矩阵
资产/准入基线
加密
数据安全事件应急管理及运维
数据安全运营风险管控阶段
组织架构定岗定责
数据安全建设规划
用户行为
业务流程
接口权限
数据安全防护方针策略
脱敏
数据风险策略特征库
审计
防泄漏
流转行为库
数据安全意识技能培训
策略中心
数据安全管控平台
事件监测
风险分析
数据安全治理体系起步建设
第一阶段
基础防护建设阶段
数据资产管理规范
敏感数据定义和发现
数据分类分级标准及管控要求
数据安全评估
组织架构定岗定责
数据安全建设规划
用户行为
业务流程
接口权限
数据安全治理体系设计路线
业务系统情况
业务数据情况
业务使用情况
用户行为情况
业务流转情况
现状问题分析报告
业务类型汇总
分类分级标准建立
分类分级落地执行
对外开放管控要求
组织架构
用户权限
数据全生命周期评估
数据库风险脆弱性评估
现有数据
防护能力
组织架构
权责分配
数据安全管理制度规划
数据安全技术防护规划
数据安全管控平台建设规划
您可能关注的文档
- 员工信息安全手册.docx
- 数据库管理制度V1.0.docx
- IT风险管理办法.docx
- 人员安全管理规范V1.0.doc
- 网络与信息安全事件应急预案.doc
- u盘使用管理制度.docx
- 数据标识管理办法.doc
- 数据安全管理规范V1.0.doc
- 数据分类分级规范V1.0.doc
- 逻辑3.运用辩证思维方法答案公开课教案教学设计课件资料.docx
- 2023学年诸暨中学高三年级第二学期3月第二次模拟考试(政治)公开课教案教学设计课件资料.docx
- 运动的合成与分解(二)公开课教案教学设计课件资料.pptx
- 近五年浙江省各地图形的翻折(轴对称)原题公开课教案教学设计课件资料.doc
- 如何做教师-2019-11-13-中关村一小相关公开课教案教学设计课件资料.pptx
- 生活中的圆周运动 (水平面)正式版公开课教案教学设计课件资料.pptx
- 专题10 条件概率与全概率公式公开课教案教学设计课件资料.docx
- 金华市东阳市2019学年第二学期期末测试卷公开课教案教学设计课件资料.doc
- 5 琥珀(第二课时)【慕课堂版】公开课教案教学设计课件资料.pptx
- 项目五 打印米老鼠模型公开课教案教学设计课件资料.ppt
- (打印版)9月25日地理周练公开课教案教学设计课件资料.docx
文档评论(0)