数据安全能力框架2.0
数据安全治理是以“让数据使用更安全”为目的的安全体系构建的方法论,核心内容包括:
(1)满足数据安全保护(Protection)、合规性(Compliance)、敏感数据管理(Sensitive)三个需求目标;
(2)核心理念包括:分级分类(Classfiying)、角色授权(Privilege)、场景化安全(Scene);
(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;
(4)核心实现框架为数据安全人员组织(Person)、数据安全使用的策略和流程(Policy & Process)、数据安全技术支撑(Technology)三大部分。
数据安全治理建设与演进模型
为了有效地实践数据安全治理过程,我们需要一个系统化的过程完成数据安全治理的建设。
数据安全治理的组织建设
数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。
数据安全治理技术支撑框架
数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。
数据使用安全控制
数据在使用过程中,按照数据流动性以及使用需求划分,将会面临如下使用场景:
●通过业务系统访问数据
●在数据库运维时调整数据
●开发测试时使用数据
●BI分析时使用数据
●面向外界分发数据
●内部高权限人员使用数据
在数据使用的各个环节中,需要通过技术手段将各个场景下的安全风险有效规避。
