关于网站建设运营的保密协议,宁波怎么建网站模板站,小学生网站制作,网络推广一般怎么收费数据安全建设阶段主要对数据安全规划进行落地实施#xff0c;建成与组织相适应的数据安全治理能力#xff0c;包括组织架构的建设、制度体系的完善、技术工具的建立和人员能力的培养等。通过数据安全规划#xff0c;组织对如何从零开始建设数据安全治理体系有了一定认知建成与组织相适应的数据安全治理能力包括组织架构的建设、制度体系的完善、技术工具的建立和人员能力的培养等。通过数据安全规划组织对如何从零开始建设数据安全治理体系有了一定认知同时也应意识到数据安全治理的建设是一项需要长期开展和持续投入的工作无法一蹴而就。
数据安全建设
为了快速响应不同业务场景下不同的数据安全策略要求应基于场景需要选择性部署技术工具编制三级操作指南文件形成四级记录模板。通过逐个场景的数据安全建设最终推动数据安全治理体系在组织内的全面落地。指南梳理了场景化数据安全治理建设的总体路线如下图 所示。 来源数据安全推进计划
第一步全面梳理业务场景
梳理数据资产和业务场景是组织进行场景化数据安全治理建设的前提可以帮助组织了解数据安全治理对象全貌为组织场景化数据安全治理提供行动地图。
目前对业务场景的划分尚未有统一的标准本指南根据对数据安全供应侧及需求侧的调研将场景划分方法归类为基于数据全生命周期和基于业务运行环境两种划分方式。 1基于数据全生命周期的场景划分 基于数据全生命周期的场景划分是分别在采集、传输、存储、使用、共享、销毁各环节抽象出典型应用场景如下图所示。
• 数据采集环节主要有个人信息主体数据采集、外部机构数据采集、数据产生等场景。 • 数据传输环节主要有内部系统数据传输、外部机构数据传输等场景。 • 数据存储环节主要有数据加密存储、数据库安全等场景。 • 数据使用环节主要有应用访问、数据运维、测试和开发、网络和终端安全、数据准 入、数据分析与挖掘等场景。 • 数据共享环节主要有内部共享和外部共享等场景。 • 数据销毁环节有逻辑删除、物理销毁和数据退役等场景。 • 此外还有一些基础性的工作如数据分类分级应该作为单独的场景纳入到整体的场 景视图中。
基于数据全生命周期的场景划分
基于数据全生命周期的场景划分方式一方面能更好地契合当前法律法规中关于数据全生命周期的安全要求一方面更加匹配当前主流的数据安全治理体系框架。
2基于业务运行环境的场景划分 组织的业务虽然各有不同但是其业务运行环境的划分基本相同据此可以将业务场景划分为办公场景、生产场景、研发场景、运维场景等。还可以基于支撑业务运行的 基础设置进一步细分为云、终端等场景如下图 所示。 基于业务运行环境的场景划分
基于业务运行环境的场景划分方式一方面与业务的研发上线紧密关联有利于场景的识别另一方面兼容组织安全域的划分有利于充分利用原有的网络安全能力。
第二步确定业务场景治理优先级 在业务场景梳理完成后组织需要综合考虑监管要求、数据安全风险和业务发展需要明确业务场景治理的开展优先级。以上文提到的基于数据全生命周期的场景划分方式为例数据分类分级是数据安全的基础性工作基本已经成为行业共识随着行业数据分类分级指南的不断建立和完善组织应跟紧行业发展步伐前置数据分类分级工作的优先级。其次数据采集环节中个人信息主体数据采集、外部机构数据采集等场景均涉及到个人信息权益保护是当前数据安全合规出现问题的高危场景容易影响组织品牌形象因而需要优先治理。此外数字经济的繁荣发展离不开数据的流通共享随之而来的风险也在不断显现对数据流通的安全保护势在必行因而也应着重进行相关场景的安全建设。
第三步评估业务场景数据安全风险 评估业务场景的数据安全风险是指针对具体场景综合考虑合规要求、数据资源重要程度、面临的数据安全威胁等因素将数据流动过程的风险点梳理出来并明确数据安全风险等级。业务方应根据此项评估结果确定要进行整改的风险点并将其作为数据安全治理建设需求的输入为制定场景化数据安全解决方案提供依据。 第四步制定并实施业务场景解决方案 结合业务场景的数据安全风险评估结果组织可以根据相关政策及标准要求申请充分的资源保障并制定可落地的解决方案。目前对于部分场景业界已经形成了一些公认的典型解决方案例如在数据加密存储场景中使用加解密系统并在算法的选择上避开不安全的MD5、AES-ECB、SHA1 等算法在终端场景下部署终端DLP等。但更多情况下组织需要根据实际情况通过自研解决方案或者甄选适宜的供应侧解决方案。 第五步完善业务场景操作规范 为规范业务场景日常的数据安全管理和运营工作组织应督促业务部门在实施具体的技术措施后及时完善组织整体数据安全制度体系中关于三级与四级的制度文件如《远程访问操作规范》、《数据备份操作规范》、《数据防泄露操作规范》、《堡垒机操作规范》等以保持制度流程和技术落地的一致性。 以上来源数据安全推进计划详见《数据安全治理实践指南2 . 0》个人分享记录使用如有侵权请联系我删除谢谢
