数据安全治理过程
- 数据安全治理的人员角色
- 数据安全治理的主要环节
- 数据安全治理的基本原则
数据安全治理人员角色
- 数据所有者对其拥有的全部数据都负有长期法律责任
- 人员角色主要层级为,决策层-管理层-执行层-参与层-监督层
数据安全工作中的角色
- 首席执行官,首席技术官,首席安全官,首席信息安全官,首席风险官,首席营销官
- 数据保护官,首席数据官,安全于风险管理负责人
- 信息安全和风险治理以及信息治理=DSG-数据安全治理
数据全生命周期中的人员
- 获得,创建或者爬取,将这些得到的数据进行分类分级发现并处理(获得或爬取或创建)
- 分类分级处理好的数据对其进行存储,存储到不同的介质中,在此期间对其数据的分布进行安全防护和准确的访问控制(存储)
- 分析特定或者重要的敏感数据,对其进行重点监控,包括访问,修改,更新等各种操作的监控(分析)
- 满足数据的各种场景的演化,数据流向等(演化)-这里可以忽略
- 对演化后的数据进行归档处理,包括统一的资产管理,加密和数据删除(归档)
- 最后对数据进行加密销毁和物理破坏(终结)
数据安全治理中主要的障碍
- 员工的安全意识问题,例如:对网络安全理解不足,对数据安全风险认证不足,对安全责任的认知不全面
- 沟通协调问题,常见的是业务部门不能深入理解安全会跟安全产生对抗或抵制的局面,此种情况需要领导层支持且多跟业务部门深入沟通深化彼此之间的理解
- 安全基础问题,常见凸显在公司的信息安全管理体系(ISMS)的各种安全管理制度不健全,落实不到位等情况,对既有的已经明确要落实的安全策略并落实到位或者计划和执行不一致,无法发挥策略的最大价值化
- 合规性问题,主要是国家的相关法律法规和国家或者行业规范的安全监管问题,注意不同行业的业务差异是不同的,所以数据安全的特征也不通,对应处理的情况也不近相同,不能一概而论
数据安全治理的主要环节
- 评估治理-指在企业开始做数据安全治理之前,先整体全方位评估一下公司各个层面存在了哪些问题,然后罗列处理并给出对应的解决方案,拿着这个方案找公司的决策层去落实
- 组织建设-到了这一步上面的治理评估意见完成了,已经知道了公司各个层面的问题,那么首先就是成立对应的数据安全部门,或者可以根据实际情况在已经有的安全部里面,或者成立安全委员会等等,最终的目的就是有一个与其他部门平级的独立安全部门,且有公司的高层在里面,并且得到其支持,之后在部门里面准确的划分部门内的每个人员的角色权限和职责,并确立战略性目标
- 管理建设-根据实际公司面临的现状风险,业务在跑的过程存在的合规问题,数据安全问题等等,输出重要的管理规范,流程,指南,模板,等各种文档,让公司最高层签字,落实下去,座位一个垂直式整体的管理
- 技术建设-基于上面的数据安全风险评估得到的各种风险,根据处理措施进行技术细节的落实和执行
- 审计改进-上面全部做完之后,要时刻审计上面所做的各种措施的落实情况,形成一个监督和威慑的作用
组织建设细节架构
- 决策层-一把手主要负责,业务及技术部门领导共同参与,成立数据安全管理小组或者数据安全管理委员会
- 管理层-指定数据安全负责人,带团队,寻求数据安全方面的员工,组建数据安全团队
- 执行层-这里就是上面成立的数据安全团队下面的组员,里面有数据安全运营负责人,技术相关的团队负责人等
- 参与层-公司其他业务部门的员工和第三方合作伙伴
- 监督层-公司独立的审计部门,组员主要是审计员工
管理建设细化解释
- 组织的管理体系范围-方针和管理办法(策略) - 这里理解总结为要的目标方向和具体要朝哪几个方向去做,大概做什么
- 流程,规范,指南,模板,计划,报告,记录,日志(明细) - 这里就是具体细节文档规范
- 合规要求梳理有一下4点,具体操作就找对应具体的标准文档,法律法规条款,监管要求和行业规范
- 业务需求梳理主要操作的是对现有业务对业务之间的关系是怎样的,整体业务运行过程中数据流向是啥样的,某些业务特性和安全偏好给记录下来
- 现状风险分析-这里描述现状风险是真的各种威胁所描述的,主要体现在安全事件及影响分析
数据的分类分级
- 按关系分类-数据来源,数据内容,数据用途
- 按特性分级-数据价值,敏感程度,影响范围
评估治理的过程方法
- 业务识别-安全责权,业务关系,关键路径,安全偏好
- 数据识别-数据分类,数据分级,数据流向,生命周期,特征模型
- 风险识别-管理风险,技术风险,运营风险
- 策略保障-能力目标,策略梳理,策略制定,策略优化,流程优化,管理优化
-
安全偏好是指一个企业在安全和发展之间取一个平衡点做出抉择
根据上面的结果输出相关文档
- 数据资产清单,数据分类分级,业务访问过程与数据流向,敏感数据分布与流转分析,脆弱性总结报告,风险分析报告,安全成熟度评估,安全策略指导建议,组织架构调整建议,管理体系改建建议
数据的权属关系
- 管理者,处理者,使用者,所有者,创建者
业务过程和数据流向的梳理和分析
-
业务层-业务与流程安全,业务风险控制,合规性
-
数据层-数据完整性,数据保密性,数据可用性
-
应用层-应用安全
-
基础设施层-基础安全防护
-
需求调研的操作步骤(重点)
- 企业资产所有信息的收集整理及分析:收集已有的业务数据流分析,安全管理制度,已有安全建设成果等相关文档或措施进行深入分析,梳理系统运行环境及业务数据流的安全现状
- 人员的访谈和问卷调查:通过相关业务,技术和管理人员填写问题表格,进行人员访谈,深入理解信息系统的重要程度,功能,流程,重要信息的分类情况,以及各种用户的分布情况
- 现场核查:根据实际需要获取相应权限去授权登录系统,观察并收集系统运行环境及业务数据流相关的信息
技术相关建设
- 策略,过程和意识贯穿整个场景,其中包括物理设备,外围设备,内部网络,主机,应用,数据,记住数据是在里面
完善的数据安全防护体系
-
数据安全技术
- 数据防泄漏技术-数据防泄漏系统,数据发现保护工具,电子文档加密及权限
- 数据库安全技术-数据库审计,数据库安全网关,数据库脱敏,数据库加密
- 数据可用性保障技术-数据备份,业务容灾
- 大数据安全防护技术-访问控制,数据脱敏,数据加密,操作审计
-
安全接口
- 策略接口
- 状态接口
- 审计接口
-
数据安全统一管理平台
- 数据分类分级
- 数据资产分布
- 敏感数据分布
- 数据安全风险趋势
- 数据安全事件分析
- 数据血缘分析
数据全生命周期管控能力
-
结构化数据全生命周期安全管控
-
非结构化数据全生命周期安全管控
-
大数据的数据全生命周期安全管控
-
做到建设多种环境下的数据全生命周期的安全管控体系
-
建设各种场景下的数据安全交付能力
-
上述重点会在数据全生命周期安全管控和数据安全技术做重点阐述
审计改进的目标流程
- 运行监控
- 审计记录
- 异常分析
- 应急处置
- 追踪溯源
- 改进优化
数据安全治理的终极目标
-
数据安全治理
- 对现有数据进行资产梳理,分类,分级,对现有安全管理措施进行梳理,对业务及数据流程进行流向整理
-
数据安全防护
- 现有环境中的数据风险进行数据安全防护措施加固,业务场景中有大数据环境,运维人员,开发人员等
-
数据安全监管
- 以数据视角对整个数据生命周期过程进行监管,包括数据资产分布,数据安全风险分析,业务数据流向导图,安全能力赋能等
-
安全服务支撑
- 在运行阶段,通过运维保障,应急像眼睛,定期评估及整改加固等安全能力支撑,保障数据安全能力长期保持并持续改进