数据安全治理体系建设
数据安全治理体系建设注重以下四个方面的工作:
1、组织建设
设计健全的组织架构是数据安全治理工作的基础。组织建设包括部门职责与人员角色确定及动态协同机制,
(1)部门职责与人员角色
部门包括:业务部门、运维部门及安全管理部门。业务部门。按单位业务职能划分;运维部门。根据运维体系进行有效执行;安全管理部门。制度指定、技术迭代、安全检查与事件处理、安全审计等。其它:包括第方厂家或者外包的职责制度。
人员角色可分为:业务人员、审计人员、运维人员、安全人员、管理人员等。
(2)动态协同机制
建设完善的动态协同机制,充分利用部门资源,解决部门运转孤岛问题。
明确数据访问人员、数据生产人员、数据维护人员等目标对象,以数据流转为基础,对相关人员进行串联,形成动态协同。
2、资产梳理内部资产梳理是数据安全治理的核心所在,只有详细、真实的数据梳理才能让数据安全治理真正落地执行。梳理主要从现有管理、技术、治理场景三方面进行。数据资产主要为,机构化数据及非结构化数据,针对数据需要梳理威胁性、脆弱性及使用权限确定(包括:访问控制、权限授权情况等)。
针对结构化数据还需明确数据类型及基础信息,如:主机信息、网络信息、数据库品牌、数据库版本信息等;对数据进行分类分级,通过合规性要求、自身主观判断、意外事故影响和第三方使用价值进行数据划分。
3、流程管控完善的管控体系是保障数据安全治理可持续性的关键所在,流程管控主要从组织体系、执行体系、运维体系等三个方面进行考量。
组织体系:建立决策层、管理层、执行层多方面、跨部门有效协同机制与制度;
执行体系:包括治理方针、规章制度、治理标准、治理规范、治理流程等;
运维体系:包括维护、监控、评估、加固、审计与应急、治理评估等。
4、安全防护完善
数据安全治理离不开安全技术及安全产品,安全防护体系能力主要从发现能力、运维能力、防护能力三个方面进行建设。
发现能力:数据泄密、数据审计、数据安全基线管理、UEBA、数据态势感知等;
运维能力:综合性审计、基于数据的漏扫、监控与预警及统一认证与授权等;
防护能力:数据加密、数据脱敏、数据库防火墙、数据防泄漏、统一策略管理、容灾备份等。