數(shù)據(jù)安全CDSP證書資料

CDSP證書資料目錄239441簡(jiǎn)介 8256731.1編寫目的 8175251.2背景 8197342數(shù)據(jù)安全導(dǎo)論 8257192.1數(shù)據(jù)安全法 8175242.2數(shù)據(jù)安全領(lǐng)域定義 8174882.3數(shù)據(jù)安全框架&模型 9283382.4中國數(shù)據(jù)安全法律法規(guī)體系 954692.4.1法律 1012432.4.2行政法規(guī)&部門規(guī)章&規(guī)范性文件 10197332.4.3國家標(biāo)準(zhǔn) 10114492.5安全法解讀 1012164數(shù)據(jù)處理 118686數(shù)據(jù) 11313612.6全球數(shù)據(jù)保護(hù)要求 11165812.7數(shù)據(jù)安全基礎(chǔ)體系 1281132.7.1數(shù)據(jù)生命周期 1218608數(shù)據(jù)安全法數(shù)據(jù)生命周期 12111642.7.2數(shù)據(jù)分類&數(shù)據(jù)分類框架 1270512.8數(shù)據(jù)定級(jí)流程&數(shù)據(jù)分級(jí)框架 13108392.8.1數(shù)據(jù)定級(jí)流程 13102652.8.2數(shù)據(jù)分級(jí)框架 1378252.9密碼學(xué)與密鑰管理 14249262.10硬件與信任基礎(chǔ) 1415472.11數(shù)據(jù)安全治理DSG框架 14291132.12數(shù)據(jù)安全能力成熟度模型 14324452.13小結(jié) 1540853數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)與應(yīng)對(duì) 15312883.1基礎(chǔ)設(shè)施的典型攻擊 15198713.2影響數(shù)據(jù)安全的六個(gè)內(nèi)容 1564063.3多部數(shù)據(jù)法律的交集--數(shù)據(jù)安全 15126533.4個(gè)保法(個(gè)人安全保護(hù)法)對(duì)應(yīng)GDPR多部分內(nèi)容 16220363.5風(fēng)險(xiǎn)管理的基本步驟 16177853.6安全屬性 16108623.7通用風(fēng)險(xiǎn)評(píng)估方法 17165293.7.1個(gè)人信息安全影響評(píng)估 17214583.7.2DPIA 17273893.7.3控制方式評(píng)估 18319753.8常用數(shù)據(jù)分類分級(jí) 1887943.8.1商業(yè)敏感性分級(jí) 18153863.8.2隱私敏感性分級(jí) 18157513.8.3金融行業(yè)影響程度分級(jí) 18180263.9數(shù)據(jù)的分類分級(jí)（杜克大學(xué)） 19227063.10數(shù)據(jù)安全指南舉例（快遞物流數(shù)據(jù)安全） 20239903.10.1快遞物流舉例風(fēng)險(xiǎn)提示 2048673.11風(fēng)險(xiǎn)緩解措施 20323233.11.1加密方式實(shí)現(xiàn)安全控制 20211173.11.2最佳實(shí)踐數(shù)據(jù)庫加密 20116623.11.3關(guān)鍵緩解措施身份認(rèn)證 2120613.11.4DLP 2173434數(shù)據(jù)安全架構(gòu)與設(shè)計(jì) 22319624.1數(shù)據(jù)安全領(lǐng)域基礎(chǔ)定義 2289184.2數(shù)據(jù)安全治理 23151914.2.1安全治理前提 23308884.2.2數(shù)據(jù)安全架構(gòu)需求 24311424.2.3國內(nèi)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn) 2590944.2.4優(yōu)秀數(shù)據(jù)治理框架-DGI 26226034.2.5DGI數(shù)據(jù)治理過程 28143364.2.6推薦數(shù)據(jù)治理角色 2880034.2.7數(shù)據(jù)安全治理的主要的挑戰(zhàn) 2853864.2.8數(shù)據(jù)安全治理（DSG）級(jí)別與核心 29135544.2.9數(shù)據(jù)安全治理的建議 3014534.2.10數(shù)據(jù)安全治理分析 3196234.2.11分類和識(shí)別受業(yè)務(wù)風(fēng)險(xiǎn)影響的數(shù)據(jù)集 31259154.2.12使用CARTA模型選擇安全策略規(guī)則和功能以降低風(fēng)險(xiǎn) 3218134.2.13國內(nèi)《數(shù)據(jù)安全治理白皮書》 346124.3數(shù)據(jù)安全管理 3493034.3.1安全設(shè)計(jì)原則 3480794.3.2COBIT數(shù)據(jù)治理管理 37298584.3.3DGI 3790654.3.4數(shù)據(jù)安全的主要要素 38180534.3.5數(shù)據(jù)安全規(guī)劃與策略 38252284.3.6數(shù)據(jù)安全管理職能的15個(gè)指導(dǎo)原則建議 398484.3.7數(shù)據(jù)安全管理管理活動(dòng) 40296054.4數(shù)據(jù)安全架構(gòu)與案例 41223274.4.1數(shù)據(jù)安全治理思考維度 41188194.4.2金融數(shù)據(jù)安全架構(gòu)舉例 42111424.4.3軟件系統(tǒng)架構(gòu)和安全架構(gòu)的定義 42273854.5安全架構(gòu)設(shè)計(jì) 4229714.5.1安全架構(gòu)設(shè)計(jì)步驟： 4378024.5.2設(shè)計(jì) 4347304.5.3系統(tǒng)架構(gòu)展現(xiàn)形式：4+1 43204344.5.4安全架構(gòu)模型 44118324.5.5DevOps和DevSec 45267304.5.6風(fēng)險(xiǎn)評(píng)估 45121824.5.7審計(jì)認(rèn)證 45222694.5.8安全架構(gòu)維度 4639584.5.9安全架構(gòu)視圖 46106674.6樣例 47248634.6.1數(shù)據(jù)安全治理樣例一網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)活動(dòng) 47301414.6.2數(shù)據(jù)安全設(shè)計(jì)樣例一網(wǎng)絡(luò)支付數(shù)據(jù)分類 47244174.6.3數(shù)據(jù)安全設(shè)計(jì)樣例一網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)定級(jí)示例 47252604.6.4數(shù)據(jù)安全設(shè)計(jì)樣例一網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)活動(dòng) 48133364.6.5數(shù)據(jù)安全設(shè)計(jì)樣例一網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)活動(dòng) 4866834.6.6數(shù)據(jù)安全管理樣例一網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)活動(dòng) 48216744.6.7微軟工具樣例一數(shù)據(jù)治理 49114955密碼學(xué)與加密基礎(chǔ) 49254445.1基本屬性 49157425.1.1基本屬性應(yīng)對(duì)的威脅及相關(guān)技術(shù) 50176465.1.2現(xiàn)代數(shù)據(jù)依賴密碼學(xué)的場(chǎng)景 505325.1.3對(duì)稱加密 51210365.1.4OTP(OneTimePadding) 5114035.1.5流加密 5246675.1.6塊加密 529255.2密鑰管理基礎(chǔ) 5514085.2.1密鑰管理與監(jiān)管要求 56263505.2.2密鑰管理 5645615.2.3數(shù)據(jù)加密范圍 57220995.2.4密鑰管理監(jiān)管 57248975.3密碼學(xué)國際國內(nèi)標(biāo)準(zhǔn) 58325865.3.1密碼學(xué)國際標(biāo)準(zhǔn) 58205176隱私保護(hù)和數(shù)據(jù)安全合規(guī) 61262076.1隱私概念 61113266.2隱私和個(gè)人數(shù)據(jù) 6161896.2.1隱私監(jiān)管 62220606.3法律法規(guī)及監(jiān)管要求 62101076.3.1中國隱私保護(hù)法律法規(guī) 6280936.4個(gè)人信息保護(hù)法 6323606.4.1發(fā)展史 63214616.4.2結(jié)構(gòu) 6395706.4.3主要術(shù)語 6314056.5隱私保護(hù)原則 65276776.5.1隱私預(yù)設(shè)原則 65214647新興技術(shù)的數(shù)據(jù)安全挑戰(zhàn) 67308527.1大數(shù)據(jù)與數(shù)據(jù)安全 67109697.1.1大數(shù)據(jù)安全挑戰(zhàn) 67222657.1.2Csa大數(shù)據(jù)安全框架 68237267.1.3大數(shù)據(jù)安全應(yīng)對(duì) 68294397.2AI數(shù)據(jù)安全 69104157.2.1人工智能、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)的關(guān)系 6943257.2.2機(jī)器學(xué)習(xí) 6989287.3區(qū)塊鏈與數(shù)據(jù)安全 7166037.3.1區(qū)塊鏈算法&結(jié)構(gòu) 71185307.4IoT與數(shù)據(jù)安全 73298957.4.1物聯(lián)網(wǎng)定義 73124217.4.2IoT數(shù)據(jù)安全 73159247.4.3IoT數(shù)據(jù)的生命周期風(fēng)險(xiǎn) 7418867.4.4IoT架構(gòu)及相關(guān)法規(guī) 74303197.4.5汽車安全若干規(guī)定 7597347.5隱私保護(hù)技術(shù) 76193427.5.1安全計(jì)算技術(shù) 76322507.5.2工程化數(shù)據(jù)隔離技術(shù) 77322237.5.3安全聚合 77

簡(jiǎn)介編寫目的本文檔的編寫目的是為了整理CDSP證書考前資料，以此作為做為考前的復(fù)習(xí)資料。背景由于數(shù)據(jù)安全與公司的產(chǎn)品息息相關(guān)，公司需要相關(guān)資質(zhì)。數(shù)據(jù)安全導(dǎo)論數(shù)據(jù)安全法模塊內(nèi)容出口管理國家對(duì)與維護(hù)國家安全和利益履行國際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。分級(jí)分類各地區(qū)、各部門應(yīng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。應(yīng)急響應(yīng)國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。發(fā)生數(shù)據(jù)安全事件時(shí),有關(guān)主管部門應(yīng)當(dāng)依法啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的應(yīng)急處置措施,防止危害擴(kuò)大,消除安全隱患,并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息安全審查國家建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國家安全審查。依法作出的安全審查決定為最終決定。貿(mào)易措施任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對(duì)中華人民共和國采取歧視性的禁止,限制或者其他類似措施的,中華人民共和國可以根據(jù)實(shí)際情況對(duì)該國家或者地區(qū)對(duì)等采取措施。風(fēng)險(xiǎn)管理國家建立集中統(tǒng)一、高校權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作。數(shù)據(jù)安全領(lǐng)域定義定義介紹數(shù)據(jù)任何數(shù)字形式信息任何組織都需要存儲(chǔ)知識(shí)和數(shù)據(jù)數(shù)據(jù)生命周期數(shù)據(jù)的生命周期:生成、存儲(chǔ)、使用、傳輸、備份、銷毀6個(gè)階段數(shù)據(jù)安全針對(duì)數(shù)據(jù)的生命周期提供安全保護(hù)數(shù)據(jù)安全框架&模型框架屬性詳情數(shù)據(jù)安全模型--NISTFIPS199機(jī)密性機(jī)密數(shù)據(jù)僅正確的用戶才可以訪問數(shù)據(jù)盡量不受內(nèi)部或者外部的系統(tǒng)漏洞的影響能報(bào)告誰訪問了哪些數(shù)據(jù),干了什么(WHO/WHAT/WHEN)絕密數(shù)據(jù)和法律敏感數(shù)據(jù)需特別關(guān)注完整性確保外部來源的數(shù)據(jù)格式正確確保輸入數(shù)據(jù)的精確性和可驗(yàn)證數(shù)據(jù)傳輸符合工作流的規(guī)則能報(bào)告數(shù)據(jù)的修改和授權(quán)方,以符合組織規(guī)則和隱私法律法規(guī)可用性數(shù)據(jù)在需要時(shí)必須可用數(shù)據(jù)只能給合適的用戶必須能跟蹤誰訪問了和訪問過哪些數(shù)據(jù)數(shù)據(jù)分類原則法律要求價(jià)值關(guān)鍵性泄露或被篡改的敏感性商業(yè)機(jī)密數(shù)據(jù)客戶數(shù)據(jù)雇員HR數(shù)據(jù)合作伙伴數(shù)據(jù)財(cái)務(wù)數(shù)據(jù)中國數(shù)據(jù)安全法律法規(guī)體系法律《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》行政法規(guī)&部門規(guī)章&規(guī)范性文件《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《網(wǎng)絡(luò)安全審查辦法》《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍》《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》......國家標(biāo)準(zhǔn)《GB/T31500-2015信息安全技術(shù)存儲(chǔ)介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求》《GB/T15843.6-2018信息技術(shù)安全技術(shù)實(shí)體鑒別第6部分:采用人工數(shù)據(jù)傳遞的機(jī)制》《GB/T

37025-2018信息安全技術(shù)物聯(lián)網(wǎng)數(shù)據(jù)傳輸安全技術(shù)要求》《GB/T37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南》《GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》《GB/T

39335-2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》《GB/T39276-2020信息安全技術(shù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》《GB/T

39725-2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(征求意見稿)》安全法解讀表一:定義詳情目的規(guī)范數(shù)據(jù)處理活動(dòng),保障數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)開發(fā)利用,保護(hù)個(gè)人、組織的合法權(quán)益,維護(hù)國家主權(quán)、安全和發(fā)展利益。范圍中華人民共和國境內(nèi)開展數(shù)據(jù)處理活動(dòng)及其安全監(jiān)管在中華人民共和國境外開展數(shù)據(jù)處理活動(dòng),損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益。定義數(shù)據(jù)數(shù)據(jù)是指任何以電子或者其他方式對(duì)信息的記錄。數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲(chǔ),使用、加工、傳輸、提供、公開等數(shù)據(jù)安全是指通過采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。原則維護(hù)數(shù)據(jù)安全,應(yīng)當(dāng)堅(jiān)持總體國家安全觀,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力。開展數(shù)據(jù)處理活動(dòng),應(yīng)當(dāng)遵守法律、法規(guī),尊重社會(huì)公德和倫理,遵守商業(yè)道德和職業(yè)道德,誠實(shí)守信,履行數(shù)據(jù)安全保護(hù)義務(wù),承擔(dān)社會(huì)責(zé)任,不得危害國家安全、公共利益,不得損害個(gè)人、組織的合法權(quán)益。數(shù)據(jù)處理數(shù)據(jù)處理過程：收集、存儲(chǔ)、使用、加工、傳輸、提供、公開數(shù)據(jù)處理的六個(gè)方面：制定數(shù)據(jù)安全管理制度建立數(shù)據(jù)安全教育培訓(xùn)實(shí)施安全技術(shù)重要數(shù)據(jù)處理者確定數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任,定期開展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定數(shù)據(jù)交易機(jī)構(gòu)數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的,服務(wù)提供者應(yīng)當(dāng)依法取得許可通用保護(hù)義務(wù)加強(qiáng)風(fēng)險(xiǎn)檢測(cè),發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)即刻采取補(bǔ)救措施;發(fā)生數(shù)據(jù)安全事件時(shí),應(yīng)當(dāng)即刻采取處置措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定任何組織、個(gè)人收集數(shù)據(jù),應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?不應(yīng)竊取或者以其他非法方式獲取數(shù)據(jù)公安機(jī)關(guān),國家安全機(jī)關(guān)網(wǎng)依法維護(hù)國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù),應(yīng)當(dāng)按照國家有關(guān)規(guī)定,經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù),依法進(jìn)行,有關(guān)組織、個(gè)人應(yīng)當(dāng)予以配合未經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn),境內(nèi)的組織、個(gè)人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于中華人民共和國境內(nèi)的數(shù)據(jù)全球數(shù)據(jù)保護(hù)要求財(cái)務(wù)數(shù)據(jù)SOX法案(美國):關(guān)注金融行業(yè)敏感數(shù)據(jù)保護(hù).PCIDSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)/美國):支付數(shù)據(jù)的安全.GLBA法案(美國):金融服務(wù)中的個(gè)人數(shù)據(jù)健康數(shù)據(jù)HIPAA(健康保險(xiǎn)可移植性與責(zé)任法案/美國)個(gè)人數(shù)據(jù)GDPR(通用數(shù)據(jù)保護(hù)法案,歐盟)CCPA(加利福尼亞州消費(fèi)者隱私保護(hù)法案,美國)BDSG(德國聯(lián)邦個(gè)人資料保護(hù)法,德國)數(shù)據(jù)安全基礎(chǔ)體系基礎(chǔ)體系詳情數(shù)據(jù)生命周期采集、傳輸、存儲(chǔ)、使用、共享、銷毀數(shù)據(jù)分類框架歐盟數(shù)據(jù)、個(gè)人數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、健康數(shù)據(jù)訪問控制體系資源授權(quán)、訪問鑒權(quán)、數(shù)據(jù)隔離密鑰管理體系密鑰生成、密鑰分發(fā)、密鑰管理、加密引擎信任根硬件ID、證書、可信環(huán)境數(shù)據(jù)生命周期數(shù)據(jù)安全法數(shù)據(jù)生命周期收集>>>存儲(chǔ)>>>使用>>>加工>>>傳輸>>>提供>>>公開數(shù)據(jù)安全法數(shù)據(jù)安全能力成熟度模型采集>>>傳輸>>>存儲(chǔ)>>>處理>>>交換>>>銷毀數(shù)據(jù)分類&數(shù)據(jù)分類框架中國按行業(yè)進(jìn)行分類例：《政府?dāng)?shù)據(jù)數(shù)據(jù)分類分級(jí)指南》《JRT0197-2020-金融數(shù)據(jù)安全分級(jí)指南》《證券期貨業(yè)務(wù)數(shù)據(jù)分類分級(jí)指引》數(shù)據(jù)分類框架：數(shù)據(jù)識(shí)別+持久化標(biāo)簽=數(shù)據(jù)分類數(shù)據(jù)識(shí)別：結(jié)構(gòu)化/非結(jié)構(gòu)化系統(tǒng)自動(dòng)識(shí)別/人工識(shí)別持久化標(biāo)簽：嵌入到數(shù)據(jù)中/到外部的引用（DB或文件系統(tǒng)）數(shù)據(jù)分類實(shí)施步驟明確要分類的對(duì)象>>>決定涉及的生命周期狀態(tài)>>>選擇分類方式（人工/自動(dòng)）>>>定義和應(yīng)用標(biāo)簽數(shù)據(jù)分類案例數(shù)據(jù)類型描述示例A類全面保護(hù)財(cái)務(wù)數(shù)據(jù)、健康數(shù)據(jù)B類未打開文件的保護(hù)鎖屏狀態(tài)下可寫的敏感數(shù)據(jù)(運(yùn)動(dòng)健康類例如步數(shù)、移動(dòng)辦公類如郵件附件)C類首次用戶認(rèn)證前保護(hù)默認(rèn)的文件類型D類無保護(hù)開機(jī)輸入鎖屏密碼之前必須可用的數(shù)據(jù)。比如鬧鐘卓面壁紙數(shù)據(jù)定級(jí)流程&數(shù)據(jù)分級(jí)框架數(shù)據(jù)定級(jí)流程嚴(yán)重?fù)p害>>>一般損害>>>輕微損害>>>無損害數(shù)據(jù)資產(chǎn)梳理：對(duì)電子數(shù)據(jù)進(jìn)行盤點(diǎn)、梳理與分類,形成統(tǒng)一的數(shù)據(jù)資產(chǎn)清單梳理數(shù)據(jù)資產(chǎn),統(tǒng)一數(shù)據(jù)格式;數(shù)據(jù)安全分級(jí)合規(guī)性準(zhǔn)備.數(shù)據(jù)安全定級(jí)準(zhǔn)備：明確數(shù)據(jù)定級(jí)顆粒度;識(shí)別數(shù)據(jù)安全定級(jí)關(guān)鍵要素.數(shù)據(jù)安全級(jí)別判定：數(shù)據(jù)安全級(jí)別初步評(píng)定數(shù)據(jù)安全級(jí)別復(fù)核根據(jù)定級(jí)形成不同安全級(jí)別的數(shù)據(jù)清單數(shù)據(jù)安全級(jí)別審核：審核數(shù)據(jù)安全級(jí)別評(píng)定過程及結(jié)果。數(shù)據(jù)安全級(jí)別批準(zhǔn)：對(duì)最終數(shù)據(jù)安全級(jí)別評(píng)定結(jié)果進(jìn)行審議和批準(zhǔn)數(shù)據(jù)分級(jí)框架影響對(duì)象+影響程度=數(shù)據(jù)分級(jí)影響對(duì)象：國家安全、公眾權(quán)益、個(gè)人隱私、企業(yè)合法權(quán)益影響程度：保密性、完整性、可用性數(shù)據(jù)訪問控制訪問控制:保證正確的人(或者物)(使用正確的設(shè)備)(在正確的位置)(在正確的時(shí)間)(有正當(dāng)?shù)睦碛?能訪問到正確的資源。密碼學(xué)與密鑰管理密碼學(xué):使用數(shù)學(xué)技術(shù)提供安全服務(wù),例如機(jī)密性,數(shù)據(jù)完整性,實(shí)體身份驗(yàn)證和數(shù)據(jù)源身份驗(yàn)證。密鑰管理:加密錢包和密鑰的生成/分發(fā)密鑰和密鑰存儲(chǔ)文件的保管密鑰的可用性,保留和恢復(fù)共享密鑰的授權(quán)監(jiān)管要求:密鑰與加密數(shù)據(jù)的物理分離定期密鑰輪換監(jiān)控和審核密鑰長期保留密鑰和加密數(shù)據(jù)硬件與信任基礎(chǔ)云:基于硬件安全模塊(HSM)的密鑰管理端:現(xiàn)代的設(shè)備中很多嵌入TPM,TEE,可以實(shí)現(xiàn)密碼算法加速、密鑰管理等功能。數(shù)據(jù)安全治理DSG框架平衡業(yè)務(wù)需求與風(fēng)險(xiǎn)識(shí)別優(yōu)先級(jí)與管理數(shù)據(jù)集生命周期定義數(shù)據(jù)安全政策實(shí)踐安全產(chǎn)品編排所有產(chǎn)品的策略數(shù)據(jù)安全能力成熟度模型能力成熟度等級(jí)維度1級(jí)：非正式執(zhí)行2級(jí)：計(jì)劃跟蹤3級(jí)：充分定義4級(jí)：量化控制5級(jí)：持續(xù)優(yōu)化數(shù)據(jù)安全過程維度組織建設(shè)制度流程技術(shù)工具人員能力安全能力維度數(shù)據(jù)生命周期安全數(shù)據(jù)采集安全數(shù)據(jù)傳輸安全數(shù)據(jù)存儲(chǔ)安全數(shù)據(jù)處理安全數(shù)據(jù)交換安全數(shù)據(jù)銷毀安全通用安全小結(jié)數(shù)據(jù)安全：針對(duì)數(shù)據(jù)的生命周期提供安全保護(hù)數(shù)據(jù)分類：是數(shù)據(jù)安全的前提加密和訪問控制是數(shù)據(jù)安全的兩種實(shí)施機(jī)制ISO27001/27002對(duì)安全架構(gòu)提供標(biāo)準(zhǔn)定義數(shù)據(jù)安全風(fēng)險(xiǎn)挑戰(zhàn)與應(yīng)對(duì)基礎(chǔ)設(shè)施的典型攻擊排在前列的攻擊方式是:釣魚未打補(bǔ)丁的漏洞DDOSSQL注入跨站腳本攻擊(XSS)興趣驅(qū)動(dòng)的黑客攻擊APT(高級(jí)持續(xù)性攻擊）影響數(shù)據(jù)安全的六個(gè)內(nèi)容黑客：脫庫、盜號(hào)、黑站內(nèi)賊：倒賣、泄露、瞎編偽白帽子：報(bào)漏洞、輿論打擊競(jìng)爭(zhēng)對(duì)手：DDOS、間諜國內(nèi)團(tuán)伙：假冒、勒索、詐騙國際大盜：劫持、暴庫、勒索、APT多部數(shù)據(jù)法律的交集--數(shù)據(jù)安全個(gè)保法(個(gè)人安全保護(hù)法)對(duì)應(yīng)GDPR多部分內(nèi)容知情權(quán)可訪問權(quán)有權(quán)改正和補(bǔ)充刪除的權(quán)利反對(duì)和限制個(gè)人數(shù)據(jù)處理的權(quán)利資料可攜權(quán)有權(quán)拒絕自動(dòng)決策有權(quán)收回同意向監(jiān)管機(jī)構(gòu)提出投訴的權(quán)利風(fēng)險(xiǎn)管理的基本步驟風(fēng)險(xiǎn)識(shí)別>>>風(fēng)險(xiǎn)影響評(píng)估>>>風(fēng)險(xiǎn)優(yōu)先級(jí)分析>>>風(fēng)險(xiǎn)的應(yīng)對(duì)（計(jì)劃、實(shí)施、監(jiān)控，追蹤）業(yè)務(wù)影響程度分析(BIA)識(shí)別關(guān)鍵業(yè)務(wù)活動(dòng)確定關(guān)鍵人員,技術(shù)和設(shè)施計(jì)算對(duì)組織運(yùn)營的價(jià)值估算中斷時(shí)對(duì)組織的(負(fù)面)價(jià)值數(shù)據(jù)流分析記錄業(yè)務(wù)流程的數(shù)據(jù)流開發(fā)IT系統(tǒng)圖和網(wǎng)絡(luò)圖確定需保護(hù)的內(nèi)容,以保護(hù)組織的目標(biāo)安全屬性說到安全屬性首先想到的就是CIA，這里的CIA不是美國中央情報(bào)局的縮寫，而是Confidentiality（機(jī)密性）,Integrity（完整性）,和Availability（可用性）三個(gè)英文單詞的首字母。機(jī)密性：保證機(jī)密信息不被竊取，竊聽者不能了解信息的真實(shí)含義。完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶竄改。可用性：保證合法用戶對(duì)信息資源的使用不會(huì)被不正當(dāng)?shù)木芙^，如DOS攻擊。除了CIA三個(gè)最常見的安全屬性外，這里再補(bǔ)充三個(gè)：鑒權(quán)：身份驗(yàn)證，建立用戶身份。授權(quán)：明確允許或拒絕用戶是否能訪問資源，訪問哪些資源。認(rèn)可（不可抵賴)：用戶無法在執(zhí)行某操作后否認(rèn)執(zhí)行了此操作。舉例：仿冒>>>鑒權(quán)篡改>>>通過完整性來進(jìn)行保護(hù)防>>>保密性信息的泄露>>>機(jī)密性DDOS>>>可用性特權(quán)提升>>>授權(quán)通用風(fēng)險(xiǎn)評(píng)估方法風(fēng)險(xiǎn)等級(jí)應(yīng)該基于發(fā)生的可能性以及業(yè)務(wù)影響程度評(píng)估。(ISO/EC27005:2008)個(gè)人信息安全影響評(píng)估評(píng)估步驟：開展評(píng)估前,需對(duì)待評(píng)估的對(duì)象(可為某項(xiàng)產(chǎn)品、某類業(yè)務(wù)、某項(xiàng)具體合作等)進(jìn)行全面的調(diào)研,形成清晰的數(shù)據(jù)清單及數(shù)據(jù)映射圖表(dataflowcharts),并梳理出待評(píng)估的具體的個(gè)人信息處理活動(dòng)。開展評(píng)估時(shí),通過分析個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體的權(quán)益可能造成的影響及其程度,以及分析安全措施是否有效、是否會(huì)導(dǎo)致安全事件發(fā)生及其可能性,綜合兩方面結(jié)果得出個(gè)人信息處理活動(dòng)的安全風(fēng)險(xiǎn)及風(fēng)險(xiǎn)等級(jí),并提出相應(yīng)的改進(jìn)建議,形成評(píng)估報(bào)告。(GB/T39335-2020)評(píng)估流程：DPIA(歐盟數(shù)據(jù)保護(hù)影響評(píng)估)控制方式評(píng)估開發(fā):>業(yè)務(wù)流程工作流>數(shù)據(jù)流>IT系統(tǒng)圖和網(wǎng)絡(luò)圖確定保護(hù)機(jī)制(例如加密、a控制)常用數(shù)據(jù)分類分級(jí)商業(yè)敏感性分級(jí)分類舉例說明機(jī)密商業(yè)秘密,非公開財(cái)報(bào),研究成果保密項(xiàng)目細(xì)節(jié)信息,財(cái)務(wù)預(yù)測(cè),工資收入信息只供內(nèi)部使用項(xiàng)目信息，組織架構(gòu),原材料信息公開組織公開介紹,產(chǎn)品介紹信息隱私敏感性分級(jí)分類舉例說明高度限制私隱個(gè)人健康和財(cái)務(wù)信息,個(gè)人可識(shí)別信息受限制私隱個(gè)人郵箱地址,家庭地址,年齡等只供內(nèi)部使用的隱私公司手機(jī)號(hào),員工卡號(hào),部門公開的私隱個(gè)人在社交媒體上公開的信息,個(gè)人作為公眾人物公開信息金融行業(yè)影響程度分級(jí)影響程度：非常嚴(yán)重、嚴(yán)重、中等、輕微數(shù)據(jù)的分類分級(jí)（杜克大學(xué)）明確數(shù)據(jù)分類的目標(biāo)和數(shù)據(jù)合規(guī)要求在杜克大學(xué)完成作業(yè)時(shí),所有用戶都可能接觸到許多類型的信息或數(shù)據(jù),其中一些可能被認(rèn)為是敏感的或受限制的,這取決于杜克大學(xué)的數(shù)據(jù)分類和監(jiān)管要求。杜克大學(xué)有責(zé)任實(shí)施程序和標(biāo)準(zhǔn)來幫助用戶保護(hù)他們的數(shù)據(jù)。本標(biāo)準(zhǔn)的目的是定義杜克的數(shù)據(jù)分類和每個(gè)分類的數(shù)據(jù)類型。數(shù)據(jù)及風(fēng)險(xiǎn)分類為了幫助處理任何格式的信息,杜克定義了三類信息:敏感信息、受限信息和公共信息。由于信息處理不當(dāng)?shù)娘L(fēng)險(xiǎn)影響,每個(gè)分類層都需要特定級(jí)別的技術(shù)和過程安全控制.有關(guān)分類或處理資料的問題,應(yīng)直接向數(shù)據(jù)專員、主管、部門安全聯(lián)絡(luò)員或大學(xué)數(shù)據(jù)科技保安處提出。部門安全聯(lián)絡(luò)員可與資訊科技安處協(xié)調(diào)。協(xié)助部門用戶制訂適當(dāng)?shù)目刂瞥绦颍员Ｕ厦舾谢蚴芟拗频馁Y料。3、角色和職責(zé)為了正確處理數(shù)據(jù),杜克大學(xué)的教職員工需要了解信息的分類以及相關(guān)的風(fēng)險(xiǎn),以便理解如何正確、安全地處理這些信息團(tuán)隊(duì)定義數(shù)據(jù)管家DataSteward對(duì)一組特定數(shù)據(jù)負(fù)有責(zé)任和行政權(quán)力的個(gè)人。數(shù)據(jù)管家的角色是負(fù)責(zé)的人:使用信息的功能,確定保護(hù)信息的水平,決定適當(dāng)?shù)氖褂眯畔?分類信息,為業(yè)務(wù)結(jié)果的系統(tǒng)或業(yè)務(wù)使用信息。數(shù)據(jù)管理者DataManager負(fù)責(zé)實(shí)現(xiàn)數(shù)據(jù)管家識(shí)別的安全控制的人員。數(shù)據(jù)管理者負(fù)責(zé)確保對(duì)包含敏感和受限數(shù)據(jù)的系統(tǒng)進(jìn)行適當(dāng)?shù)陌踩刂?參見技術(shù)標(biāo)準(zhǔn))數(shù)據(jù)的用戶DataUsers真正“觸摸"信息的人(輸入、刪除、甚至閱讀),用戶有責(zé)任采取合理的預(yù)防措施,防止他們可查閱的資料外泄。未經(jīng)數(shù)據(jù)管家的適當(dāng)授權(quán),用戶不應(yīng)授予對(duì)數(shù)據(jù)的訪問權(quán)。校園單位CampusUnits杜克大學(xué)信息安全辦公室的建議是,所有收集和存儲(chǔ)信息的校園單位都要記錄與收集和存儲(chǔ)有關(guān)的政策程序和體系結(jié)構(gòu),而不管信息格式(電子、紙張、圖像、聲音等)如何。本文件應(yīng)詳細(xì)說明帳戶的創(chuàng)建和刪除、記錄的保留和銷毀、備份的保留和銷毀以及任何其他相關(guān)程序數(shù)據(jù)安全指南舉例（快遞物流數(shù)據(jù)安全）快遞物流舉例風(fēng)險(xiǎn)提示個(gè)人信息過度收集;自動(dòng)化決策侵害個(gè)人利益與第三方共享或委托處理時(shí),數(shù)據(jù)未得到同等保護(hù),存在數(shù)據(jù)泄露數(shù)據(jù)處理各環(huán)節(jié)數(shù)據(jù)泄漏數(shù)據(jù)存儲(chǔ)介質(zhì)丟失,引起數(shù)據(jù)泄露設(shè)備丟失或保護(hù)措施不力,引起數(shù)據(jù)泄露個(gè)人數(shù)據(jù)或敏感數(shù)據(jù)未經(jīng)授權(quán)出境風(fēng)險(xiǎn)緩解措施加密方式實(shí)現(xiàn)安全控制網(wǎng)絡(luò)流量的加密保護(hù)(TLS)數(shù)據(jù)存儲(chǔ)/系統(tǒng)數(shù)據(jù)的加密數(shù)據(jù)使用中的加密保護(hù)數(shù)據(jù)庫中敏感內(nèi)容的加密保護(hù)加密密鑰和證書的防護(hù)授權(quán)和鑒權(quán)機(jī)制的加密最佳實(shí)踐數(shù)據(jù)庫加密以數(shù)據(jù)為中心的加密：加密和數(shù)據(jù)越接近，保護(hù)強(qiáng)度越高應(yīng)用層加密格式保留加密（FPE）關(guān)鍵緩解措施身份認(rèn)證概念：Whatyouknow?Whatyouare?Whatyouhave?身份認(rèn)證的歷史:時(shí)間認(rèn)證類別60年代中心化認(rèn)證服務(wù)器密碼認(rèn)證主要認(rèn)證雇員90年代中心化認(rèn)證服務(wù)器/sso雙因子認(rèn)證認(rèn)證雇員與合作伙伴千禧年代中心化/sso/聯(lián)邦認(rèn)證生物認(rèn)證初步普及認(rèn)證雇員與合作伙伴、用戶2010年代邁向去中心化多因子認(rèn)證認(rèn)證人、物、連接和服務(wù)DLP相關(guān)數(shù)據(jù)流程傳入數(shù)據(jù)：使用中的數(shù)據(jù)、傳輸中的數(shù)據(jù)、靜態(tài)數(shù)據(jù)處理方式：拒絕、告警、提醒、加密、替換/刪除數(shù)據(jù)特征：身份證號(hào)、銀行賬戶、電話號(hào)碼等數(shù)據(jù)/文件指紋：框架格式、關(guān)鍵字、內(nèi)容特點(diǎn)部署情況獨(dú)立部署：獨(dú)立的硬件設(shè)備或以軟件形式安裝在獨(dú)立的服務(wù)器上,通過主動(dòng)掃描目 標(biāo)(主機(jī)、文件服務(wù)器等)或被動(dòng)監(jiān)聽網(wǎng)絡(luò)流量,發(fā)現(xiàn)敏感數(shù)據(jù)的不當(dāng)使用時(shí)進(jìn)行阻斷或告警等處理集成部署：與其他產(chǎn)品/設(shè)備(如WEB安全網(wǎng)關(guān)、郵件服務(wù)器、IPS/IDSUTM等)集成, 通過被集成的產(chǎn)品/設(shè)備獲取數(shù)據(jù),發(fā)現(xiàn)敏感數(shù)據(jù)的不當(dāng)使用時(shí)進(jìn)行阻 斷或告警等處理數(shù)據(jù)安全架構(gòu)與設(shè)計(jì)數(shù)據(jù)安全治理與架構(gòu)整體層次圖數(shù)據(jù)安全領(lǐng)域基礎(chǔ)定義數(shù)據(jù)：任何數(shù)字形式信息任何組織都需要存儲(chǔ)知識(shí)和數(shù)器數(shù)據(jù)生命周期：常見數(shù)據(jù)的生命周期:生成、存儲(chǔ),使用、傳輸、備份、銷毀6個(gè)階段采集傳輸存儲(chǔ)使用共享銷毀 數(shù)據(jù)安全：針對(duì)數(shù)據(jù)的生命周期提供安全保護(hù)數(shù)據(jù)治理的一般定義：數(shù)據(jù)治理是定義組織中誰有權(quán)控制數(shù)據(jù)資產(chǎn)以及如何使用這些數(shù)據(jù)資產(chǎn)的系統(tǒng),它包括管理和保護(hù)數(shù)據(jù)資產(chǎn)所需的人員、流程和技術(shù)。數(shù)據(jù)治理研究所定義：數(shù)據(jù)治理研究所將其定義為相關(guān)過程的決策權(quán)和責(zé)任系統(tǒng),根據(jù)商定的模型執(zhí)行,該模型描述了誰可以用什么信息采取什么行動(dòng),何時(shí)、在什么情況下、使用什么方法.數(shù)據(jù)治理定義：數(shù)據(jù)治理是決策權(quán)的規(guī)范和問責(zé)框架,以確保在評(píng)估、創(chuàng)建、消除和控制數(shù)據(jù)和分析方面的適當(dāng)行為.數(shù)據(jù)安全治理安全治理前提數(shù)據(jù)治理目標(biāo)與職能數(shù)據(jù)治理是由企業(yè)高級(jí)管理層的數(shù)據(jù)治理委員會(huì)發(fā)起并推行的,是關(guān)于如何進(jìn)行整個(gè)企業(yè)內(nèi)部數(shù)據(jù)的商業(yè)應(yīng)用和技術(shù)管理的一系列。數(shù)據(jù)治理應(yīng)實(shí)現(xiàn)如下管理目標(biāo),即:滿足數(shù)據(jù)利益相關(guān)方的需求,創(chuàng)建標(biāo)準(zhǔn)化、可重復(fù)的治理過程確保治理過程透明化,減少運(yùn)營沖突更好的決策制定,通過協(xié)同工作減少成本、提高效率就數(shù)據(jù)相關(guān)問題的一般處理方式對(duì)管理層與員工作培訓(xùn)數(shù)據(jù)治理是由企業(yè)高級(jí)管理層的數(shù)據(jù)治理委員會(huì)發(fā)起并推行的,是關(guān)于如何進(jìn)行整個(gè)企業(yè)內(nèi)部數(shù)據(jù)的商業(yè)應(yīng)用和技術(shù)管理的一系列政策和程序。數(shù)據(jù)治理是一套持續(xù)改善管理機(jī)制,通常包括了組織架構(gòu)、政策制度、技術(shù)工具、數(shù)據(jù)標(biāo)準(zhǔn)、作業(yè)流程、監(jiān)督及考核等方方面面。數(shù)據(jù)治理委員的職責(zé)就是促進(jìn)并支持這些治理活動(dòng)。數(shù)據(jù)治理業(yè)務(wù)需求數(shù)據(jù)治理能夠幫助我們實(shí)現(xiàn)遵守安全及隱私監(jiān)管與法律要求更好地?cái)?shù)據(jù)安全政策,數(shù)據(jù)共享,識(shí)別私人或敏感數(shù)據(jù)的位置以確保我們的數(shù)據(jù)是可用的更好地?cái)?shù)據(jù)備份、數(shù)據(jù)配置、數(shù)據(jù)監(jiān)控、容量和性能管理、應(yīng)用數(shù)據(jù)安全等策略和流程的管理確保我們可以很容易地整合數(shù)據(jù)更好地開發(fā)靈活的數(shù)據(jù)體系結(jié)構(gòu),允許快速集成新的數(shù)據(jù)源確保我們可以很容易地整合數(shù)據(jù)更好地進(jìn)行數(shù)據(jù)整合,并可以應(yīng)用數(shù)據(jù)的業(yè)務(wù)規(guī)則,提升數(shù)據(jù)質(zhì)量

使我們的展現(xiàn)、報(bào)告標(biāo)準(zhǔn)化更好地公共數(shù)據(jù)定義和業(yè)務(wù)規(guī)則的協(xié)議提高數(shù)據(jù)質(zhì)量更好地創(chuàng)建數(shù)據(jù)質(zhì)量記分卡,定義“適合使用”

,將數(shù)據(jù)質(zhì)量推到“一線”更好地了解我們的客戶或供應(yīng)商更好地提高客戶/供應(yīng)商記錄的完整性和準(zhǔn)確性確保數(shù)據(jù)問題得到優(yōu)先處理和解決更好地建立數(shù)據(jù)所有權(quán)和向組織提供數(shù)據(jù)的責(zé)任成為一個(gè)數(shù)據(jù)驅(qū)動(dòng)的組織更好地確定數(shù)據(jù)項(xiàng)目的優(yōu)先次序并為其提供資金IT治理框架COBIT數(shù)據(jù)治理目標(biāo)與職能數(shù)據(jù)治理是由企業(yè)高級(jí)管理層的數(shù)據(jù)治理委員會(huì)發(fā)起并推行的,是關(guān)于如何進(jìn)行整個(gè)企業(yè)內(nèi)部數(shù)據(jù)的商業(yè)應(yīng)用和技術(shù)管理的一系列。數(shù)據(jù)治理應(yīng)實(shí)現(xiàn)如下管理目標(biāo),即:滿足數(shù)據(jù)利益相關(guān)方的需求,創(chuàng)建標(biāo)準(zhǔn)化、可重復(fù)的治理過程確保治理過程透明化,減少運(yùn)營沖突更好的決策制定,通過協(xié)同工作減少成本、提高效率就數(shù)據(jù)相關(guān)問題的一般處理方式對(duì)管理層與員工做培訓(xùn)數(shù)據(jù)治理是由企業(yè)高級(jí)管理層的數(shù)據(jù)治理委員會(huì)發(fā)起并推行的,是關(guān)于如何進(jìn)行整個(gè)企業(yè)內(nèi)部數(shù)據(jù)的商業(yè)應(yīng)用和技術(shù)管理的一系列政策和程序。數(shù)據(jù)治理是一套持續(xù)改善管理機(jī)制,通常包括了組織架構(gòu)、政策制度、技術(shù)工具、數(shù)據(jù)標(biāo)準(zhǔn)、作業(yè)流程、監(jiān)督及考核等方方面面。數(shù)據(jù)治理委員的職責(zé)就是促進(jìn)并支持這些治理活動(dòng)。數(shù)據(jù)安全架構(gòu)需求法規(guī)：法律(網(wǎng)安法、數(shù)安法.)法規(guī)、行業(yè)要求標(biāo)準(zhǔn)：ISO27001ISO20000ISO22301ISO31000客戶需求：自動(dòng)化人工智能定制需求持續(xù)改進(jìn)網(wǎng)絡(luò)安全法網(wǎng)絡(luò)安全法不是網(wǎng)絡(luò)安全立法的終點(diǎn),相反,是網(wǎng)絡(luò)安全立法的起點(diǎn)。與《網(wǎng)絡(luò)安全法》相關(guān)的法律有《國家安全法》，《保密法》，《反恐怖主義法》，《反間諜法》，《刑法修正案》(九),《治安管理處罰法》,《電子簽名法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等。這些法律與網(wǎng)絡(luò)安全法不是上位法和下位法的關(guān)系，同屬同一法律位階。網(wǎng)絡(luò)安全法是我國網(wǎng)絡(luò)安全管理的基礎(chǔ)法律,與其它相關(guān)法律在相關(guān)條款和規(guī)定上互相銜接,互為呼應(yīng),共同構(gòu)成了我國網(wǎng)絡(luò)安全管理的綜合法律體系。網(wǎng)絡(luò)安全法也是在現(xiàn)行的一些制度的基礎(chǔ)上,例如《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等,上升和完善的成果,為更好的開展網(wǎng)絡(luò)安全工作提供了法律保障。網(wǎng)絡(luò)安全等級(jí)保護(hù)2019年12月1日開始實(shí)施《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,信息安全等級(jí)保護(hù)制度是國家信息安全保障工作的基礎(chǔ),也是一項(xiàng)事關(guān)國家安全、社會(huì)穩(wěn)定的政治任務(wù)。通過開展等級(jí)保護(hù)工作,發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)與國家安全標(biāo)準(zhǔn)之間存在的差距,找到目前系統(tǒng)存在的安全隱患和不足，通過安全整改，提高信息系統(tǒng)的信息安全防護(hù)能力，降低系統(tǒng)被各種攻擊的風(fēng)險(xiǎn)。管理要求"從元素到活動(dòng)”提出安全要求,"安全管理制度"、"安全管理機(jī)構(gòu)"和"安全管理人員"主要提出了管理不可缺少的制度、機(jī)構(gòu)和人員三要素,"安全建設(shè)管理"及"安全運(yùn)維管理"主要提出了建設(shè)過程和運(yùn)維過程的安全活動(dòng)管理要求。2. 技術(shù)要求“從面到點(diǎn)"提出安全要求,"安全物理環(huán)境"主要對(duì)機(jī)房設(shè)施提出要求,"安全通信網(wǎng)絡(luò)”和"安全區(qū)域邊界"主要對(duì)網(wǎng)絡(luò)整體提出要求，“安全計(jì)算環(huán)境"主要對(duì)構(gòu)成節(jié)點(diǎn)（包括業(yè)務(wù)應(yīng)用和數(shù)據(jù))提出要求,"安全管理中心”主要對(duì)系統(tǒng)管理、集中管控等提出要求?！毒W(wǎng)絡(luò)安全等級(jí)保護(hù)》：定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)目標(biāo)是:對(duì)相同或不同等級(jí)的定級(jí)業(yè)務(wù)應(yīng)用系統(tǒng)之間的互聯(lián)、互通、互操作進(jìn)行安全保護(hù),確保用戶身份的真實(shí)性、操作的安全性以及抗抵賴性,并按安全策略對(duì)信息流向進(jìn)行嚴(yán)格控制,確保進(jìn)出安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)的數(shù)據(jù)安全。定級(jí)系統(tǒng)互聯(lián)既包括同一云計(jì)算平臺(tái)上的不同定級(jí)業(yè)務(wù)系統(tǒng)之間的互聯(lián)互通,也包括不同云計(jì)算平臺(tái)定級(jí)系統(tǒng)之間的互聯(lián)互通。同一云計(jì)算平臺(tái)上可以承載不同等級(jí)的云租戶信息系統(tǒng),云計(jì)算平臺(tái)的安全保護(hù)等級(jí)不應(yīng)低于云租戶信息系統(tǒng)的最高安全等級(jí)。(2019年12月正式實(shí)施)ISO27001標(biāo)準(zhǔn)ISO/IEC27001是一個(gè)信息安全標(biāo)準(zhǔn),是ISO/IEC27000系列標(biāo)準(zhǔn)的一部分,其最新版本于2013年發(fā)布,自那時(shí)起進(jìn)行了一些小的更新。它由國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(huì)(IEC)在ISO和IEC聯(lián)合小組委員會(huì)ISO/IECJTC1/SC27下發(fā)布。ISO/IEC27001規(guī)定了一種管理系統(tǒng),.旨在將信息安全置于管理控制之下并提供特定要求。符合要求的組織可在成功完成審核后由認(rèn)可的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證。ISO/IEC27001要求管理:(1)系統(tǒng)地檢查組織的信息安全風(fēng)險(xiǎn),同時(shí)考慮到威脅,漏洞和影響;(2)設(shè)計(jì)并實(shí)施一套連貫而全面的信息安全控制和/或其他形式的風(fēng)險(xiǎn)處理(如風(fēng)險(xiǎn)規(guī)避或風(fēng)險(xiǎn)轉(zhuǎn)移)，以應(yīng)對(duì)那些被認(rèn)為不可接受的風(fēng)險(xiǎn)；(3)采用總體管理流程,確保信息安全控制能夠持續(xù)滿足組織的信息安全需求。國內(nèi)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)N機(jī)構(gòu)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)數(shù)據(jù)安金相關(guān)標(biāo)準(zhǔn)簡(jiǎn)述2021信安標(biāo)委《人臉識(shí)別數(shù)據(jù)安全要求(征求意見稿)規(guī)定了人臉識(shí)別數(shù)據(jù)的基本安全要求,安全處理要求和安全管理要求,劍指人臉數(shù)據(jù)多采,泄露或丟失,以及過度存儲(chǔ)、使用等問題2021信安標(biāo)委《基因識(shí)別數(shù)據(jù)安全要求(征求意見稿)》定義了基因識(shí)別數(shù)據(jù),對(duì)基因識(shí)別數(shù)據(jù)在各場(chǎng)景各活動(dòng)中的安全處理及支全管理要求進(jìn)行了規(guī)定,旨在指導(dǎo)基因識(shí)別數(shù)據(jù)控制者安全開展基因識(shí)別數(shù)據(jù)業(yè)務(wù),保證數(shù)據(jù)主體權(quán)利。2021信安標(biāo)委《聲紋識(shí)別數(shù)據(jù)安全要求(征求意見稿)》給出了聲紋識(shí)別數(shù)據(jù)活動(dòng)的四大場(chǎng)景,明確了聲紋數(shù)據(jù)的基本安全要求、安全處理要求,安全管理要求。2021信安標(biāo)委《步態(tài)識(shí)別數(shù)據(jù)安全要求(征求意見稿)》圍繞個(gè)人信息安全,從全生命周期角度針對(duì)步態(tài)識(shí)別數(shù)據(jù)的特點(diǎn)提出相應(yīng)的安全要求.2021信安標(biāo)委《網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)安全指南(征求意見稿)

》規(guī)定了網(wǎng)絡(luò)支付服務(wù)可以收集、使用、存儲(chǔ)、共享、轉(zhuǎn)讓、公開披露的數(shù)據(jù)種類、范圍、方式、條件等，在指導(dǎo)網(wǎng)絡(luò)支付服務(wù)運(yùn)營者和相關(guān)監(jiān)管部門規(guī)范網(wǎng)絡(luò)支付服務(wù)的數(shù)據(jù)處理活動(dòng)2021信安標(biāo)委《快遞物流服務(wù)數(shù)據(jù)安全指南(征求意見稿)給出了快遞物流服務(wù)的數(shù)據(jù)收集、存儲(chǔ)、傳輸、使用、委托處理、刪除、出境等數(shù)據(jù)處理活動(dòng)的安全保護(hù)要求,旨在指導(dǎo)快遞物流服務(wù)運(yùn)營者和相關(guān)監(jiān)管部門規(guī)范快遞物流服務(wù)數(shù)據(jù)處理活動(dòng)2021信安標(biāo)委《網(wǎng)上購物服務(wù)數(shù)據(jù)安全摘南(征求意見稿)

》規(guī)定了網(wǎng)上購物服務(wù)可以收集、存儲(chǔ)、使用、交換、刪除、出境的數(shù)據(jù)種類、范圍、方式、條件等,旨在指導(dǎo)網(wǎng)上購物服務(wù)巡營者和相關(guān)監(jiān)管部門規(guī)范數(shù)據(jù)處理活動(dòng)2021信安標(biāo)委《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)個(gè)人信息安全測(cè)評(píng)規(guī)范》明確了開展App個(gè)人信息安全開展測(cè)評(píng)的實(shí)施過程以及對(duì)各項(xiàng)具體安全要求進(jìn)行測(cè)評(píng)的方法,為第三方測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng)以及App提供者開展白測(cè)評(píng)提供指導(dǎo)2021信安標(biāo)委《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)

SDK安全指南》規(guī)定了SDK提供者在SDK的開發(fā)、運(yùn)營、個(gè)人信息處理、數(shù)據(jù)安全管理等活動(dòng)中應(yīng)遵循的安全要求,旨在指導(dǎo)SDK提供者和相關(guān)監(jiān)管部門規(guī)范SDK使用2021信安標(biāo)委《網(wǎng)聯(lián)汽車采集數(shù)據(jù)的安全要求(草案)

》規(guī)定了網(wǎng)聯(lián)汽車采集的數(shù)據(jù)在傳輸,存儲(chǔ)和跨境等環(huán)節(jié)的安全要求2021信安標(biāo)委《個(gè)人信息去標(biāo)識(shí)化效果分級(jí)評(píng)估規(guī)范(征求意見稿)》給出了個(gè)人信息標(biāo)識(shí)度的四種級(jí)別,以及個(gè)人信息去標(biāo)識(shí)化效果評(píng)定流程和重標(biāo)識(shí)風(fēng)險(xiǎn)計(jì)算方法優(yōu)秀數(shù)據(jù)治理框架-DGIDGI數(shù)據(jù)治理目標(biāo)目標(biāo)1:能夠做出更好的決策目標(biāo)2:建立標(biāo)準(zhǔn)的、可重復(fù)的過程目標(biāo)3:確保過程的透明度目標(biāo)4:減少運(yùn)營摩擦目標(biāo)5:保護(hù)數(shù)據(jù)利益相關(guān)者的需求目標(biāo)6:培訓(xùn)管理人員和員工采用共同的方法處理數(shù)據(jù)問題目標(biāo)7:通過協(xié)調(diào)努力降低成本并提高效率DGI框架價(jià)值的識(shí)別一個(gè)組織所做的每一件事都應(yīng)該與三個(gè)價(jià)值驅(qū)動(dòng)因素之一聯(lián)系在一起增加收入和價(jià)值管理成本和復(fù)雜性支持風(fēng)險(xiǎn)管理和合規(guī)數(shù)據(jù)治理工作必須與這些驅(qū)動(dòng)因素中的一個(gè)或多個(gè)相關(guān)聯(lián)。你必須傳達(dá)它是如何運(yùn)作的。增加收入和價(jià)值提高公司對(duì)收購方的價(jià)值創(chuàng)造"可銷售"的信息產(chǎn)品利用信息資產(chǎn)進(jìn)行新的銷售利用數(shù)據(jù)實(shí)現(xiàn)新的業(yè)務(wù)功能更好的了解客戶更好地理解產(chǎn)品(和其他)層次結(jié)構(gòu)降低成本管理成本和復(fù)雜性減少重復(fù)的數(shù)據(jù)管理過程(例如數(shù)據(jù)建模、數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量的成本)減少錯(cuò)誤的可能性和相關(guān)成本(在軟件開發(fā),報(bào)告開發(fā),信息解釋),因?yàn)槿狈?duì)數(shù)據(jù)的理解或低質(zhì)量的數(shù)據(jù)在降低成本的同時(shí)支持遵從性支持風(fēng)險(xiǎn)管理和合規(guī)實(shí)現(xiàn)遵從性目標(biāo)避免因不遵守規(guī)定而產(chǎn)生的罰金避免聲譽(yù)沖擊(品牌沖擊)避免因?qū)?權(quán)威數(shù)據(jù)"缺乏信心而增加審計(jì)費(fèi)用降低管理認(rèn)證/認(rèn)證成本降低審核前測(cè)試的成本支持影響分析DGI數(shù)據(jù)治理過程所有程序都有生命周期。數(shù)據(jù)治理生命周期有七個(gè)階段:1:制定一份價(jià)值聲明2:準(zhǔn)備一個(gè)路線圖3:計(jì)劃和基金4:設(shè)計(jì)5:部署6:管理7:監(jiān)視、測(cè)量報(bào)告。推薦數(shù)據(jù)治理角色角色角色簡(jiǎn)要描數(shù)據(jù)治理委員會(huì)數(shù)據(jù)治理委員會(huì)是一個(gè)監(jiān)督委員會(huì),它批準(zhǔn)和指導(dǎo)治理團(tuán)隊(duì)和經(jīng)理的行動(dòng)。該委員會(huì)通常由數(shù)據(jù)所有者和業(yè)務(wù)主管組成。首席數(shù)據(jù)官首席數(shù)據(jù)官通常是負(fù)責(zé)監(jiān)督治理項(xiàng)目的高級(jí)主管。該角色負(fù)責(zé)作為項(xiàng)目的倡導(dǎo)者,確保項(xiàng)目的人員配備、資金和批準(zhǔn),并監(jiān)督項(xiàng)目的進(jìn)展。數(shù)據(jù)治理經(jīng)理和團(tuán)隊(duì)數(shù)據(jù)治理經(jīng)理可能由首席數(shù)據(jù)官角色負(fù)責(zé),也可能由單獨(dú)的人員負(fù)責(zé)。該角色負(fù)責(zé)管理數(shù)據(jù)治理團(tuán)隊(duì),并在任務(wù)的分配和管理中扮演更直接的角色。這個(gè)人幫助協(xié)調(diào)治理過程,領(lǐng)導(dǎo)培訓(xùn)課程和會(huì)議,評(píng)估績(jī)效指標(biāo),并管理內(nèi)部溝通。數(shù)據(jù)管理員數(shù)據(jù)管理員是負(fù)責(zé)監(jiān)督數(shù)據(jù)并執(zhí)行政策和流程的單個(gè)團(tuán)隊(duì)成員。這些角色通常由具有數(shù)據(jù)領(lǐng)域和資產(chǎn)專業(yè)知識(shí)的IT或數(shù)據(jù)專業(yè)人員擔(dān)任。數(shù)據(jù)管理員還可以扮演工程師、質(zhì)量分析師、數(shù)據(jù)建模師和數(shù)據(jù)架構(gòu)師的角色。數(shù)據(jù)安全治理的主要的挑戰(zhàn)主要挑戰(zhàn)隨著國外歐盟《通用數(shù)據(jù)保護(hù)條例》(GeneraldataprotectionRegulation)、我國《數(shù)安法》數(shù)據(jù)監(jiān)管的要求,增加了合規(guī)和數(shù)據(jù)管理的問題,數(shù)字企業(yè)面臨的風(fēng)險(xiǎn)越來越大。由于黑客攻擊、惡意內(nèi)部人士和意外披露而造成的數(shù)據(jù)泄露的數(shù)量正在增加,同時(shí)造成的財(cái)務(wù)成本正在破壞聲譽(yù)和客戶信任。隨著本地IT基礎(chǔ)設(shè)施和新的公共云服務(wù)的采用,數(shù)據(jù)普及度正在增長然而,企業(yè)未能制定普及的數(shù)據(jù)安全政策。需要越來越多的數(shù)據(jù)安全和身份管理產(chǎn)品,它們通常有獨(dú)立的管理控制臺(tái),不集成甚至不共享公共策略。這些產(chǎn)品在數(shù)據(jù)存儲(chǔ)和安全功能方面通常也是孤立的。負(fù)責(zé)數(shù)據(jù)安全和隱私的首席信息安全官(CISO)和安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)人必須致力于實(shí)現(xiàn)適合數(shù)據(jù)增長和擴(kuò)散的數(shù)據(jù)安全治理(DSG)框架。此框架必須在最大化競(jìng)爭(zhēng)優(yōu)勢(shì)的業(yè)務(wù)需求和應(yīng)用適當(dāng)?shù)陌踩呗砸?guī)則(減輕優(yōu)先級(jí)業(yè)務(wù)風(fēng)險(xiǎn))的需求之間提供平衡。這些策略的普及特性允許選擇和實(shí)現(xiàn)適當(dāng)?shù)陌踩a(chǎn)品。一個(gè)合適的DSG框架需要CISO、首席數(shù)據(jù)官(CDO)和數(shù)據(jù)保護(hù)官(DPO)團(tuán)隊(duì)之間進(jìn)行新的合作。CISO和DPO團(tuán)隊(duì)之間的合作已經(jīng)形成,因?yàn)樵跀?shù)據(jù)保護(hù)和數(shù)據(jù)隱私方面的要求有很強(qiáng)的重疊。

CISO和CDO之間的合作將執(zhí)行以下幾個(gè)關(guān)鍵功能:協(xié)調(diào)信息治理和信息安全治理(參見“協(xié)調(diào)信息安全治理與更廣泛的信息治理計(jì)劃")對(duì)齊數(shù)據(jù)分類和數(shù)據(jù)生命周期管理的方法(參見"使用Gartner的信息治理三環(huán)對(duì)記錄進(jìn)行優(yōu)先級(jí)和分類")。使用信息經(jīng)濟(jì)學(xué)為共享預(yù)算責(zé)任和數(shù)據(jù)作為資產(chǎn)和負(fù)債的財(cái)務(wù)分析創(chuàng)造基礎(chǔ)(參見"使用信息經(jīng)濟(jì)學(xué)重置數(shù)據(jù)安全預(yù)算"DSG框架提供了一種平衡的方法來定義如何通過數(shù)據(jù)保護(hù)和隱私斷言實(shí)現(xiàn)實(shí)際的安全。每個(gè)數(shù)據(jù)集都是不同的,由于之前的獨(dú)立治理過程,業(yè)務(wù)風(fēng)險(xiǎn)要求CDO和CISO團(tuán)隊(duì)提供更高級(jí)別的跨溝通和協(xié)作數(shù)據(jù)安全治理（DSG）級(jí)別與核心Gartner將數(shù)據(jù)安全治理(DSG)定義為:信息治理的子集,專門通過定義的數(shù)據(jù)策略和流程保護(hù)公司數(shù)據(jù)(包括結(jié)構(gòu)化數(shù)據(jù)庫和非結(jié)構(gòu)化基于文件的表單)"數(shù)據(jù)安全治理是以"讓數(shù)據(jù)使用更安全"為目的的安全體系構(gòu)建的方法論，核心內(nèi)容包括：滿足數(shù)據(jù)安全保護(hù)、合規(guī)性、敏感數(shù)據(jù)管理三個(gè)需求目標(biāo);核心理念包括：分級(jí)分類、角色授權(quán)、場(chǎng)景化安全;數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建、資產(chǎn)梳理、策略制定、過程控制、行為 稽核和持續(xù)改善;核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織、數(shù)據(jù)安全使用的策略和流程、數(shù)據(jù)安全技術(shù)支 撐三大部分。其核心理念的內(nèi)容包括:數(shù)據(jù)的分級(jí)分類:對(duì)數(shù)據(jù)進(jìn)行不同類別和密級(jí)的劃分;根據(jù)類別和密級(jí)制定不同管 理和使用原則,對(duì)數(shù)據(jù)做到有差別和針對(duì)性的防護(hù)；角色授權(quán):在數(shù)據(jù)分級(jí)和分類后,了解數(shù)據(jù)在被誰訪問，這些人如何使用和訪問數(shù) 據(jù)，針對(duì)不同角色制定不同安全政策。常見角色：業(yè)務(wù)人員(需進(jìn)一步細(xì)分)、數(shù) 據(jù)運(yùn)維人員、開發(fā)測(cè)試人員、分析人員、外包人員、數(shù)據(jù)共享第三方等;場(chǎng)景化安全:針對(duì)不同角色在不同場(chǎng)景下,研究數(shù)據(jù)使用需求;滿足數(shù)據(jù)被正常使用 的目標(biāo)下,完成相應(yīng)安全要求和安全工具選擇。比如對(duì)于運(yùn)維人員,在備份和調(diào)優(yōu)場(chǎng) 景下,并不需要對(duì)真實(shí)數(shù)據(jù)的直接訪問能力,提供行為審計(jì)、敏感數(shù)據(jù)掩碼能力即 可。數(shù)據(jù)安全治理的建議建議，負(fù)責(zé)數(shù)據(jù)安全的CISO和安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)人應(yīng):使用數(shù)據(jù)安全治理框架,優(yōu)先考慮需要通過適當(dāng)?shù)陌踩胧┚徑獾臉I(yè)務(wù)風(fēng)險(xiǎn)。與首席數(shù)據(jù)官和數(shù)據(jù)隱私官合作,分類和識(shí)別受優(yōu)先業(yè)務(wù)風(fēng)險(xiǎn)影響的數(shù)據(jù)集,并確定這將如何影響數(shù)據(jù)管理生命周期。使用持續(xù)的自適應(yīng)風(fēng)險(xiǎn)和信任評(píng)估來選擇適當(dāng)?shù)陌踩呗砸?guī)則和功能,以減輕關(guān)鍵的業(yè)務(wù)風(fēng)險(xiǎn)。每季度回顧安全政策規(guī)則,或者如果業(yè)務(wù)風(fēng)險(xiǎn)發(fā)生變化,當(dāng)他們需要識(shí)別政策差距或建議產(chǎn)品變更時(shí)。數(shù)據(jù)安全治理分析平衡業(yè)務(wù)需求與風(fēng)險(xiǎn)識(shí)別優(yōu)先級(jí)與管理數(shù)據(jù)集生命周期定義數(shù)據(jù)安全政策實(shí)踐安全產(chǎn)品編排所有產(chǎn)品的策略分類和識(shí)別受業(yè)務(wù)風(fēng)險(xiǎn)影響的數(shù)據(jù)集在評(píng)估數(shù)據(jù)集的細(xì)節(jié)和其管理對(duì)企業(yè)的要求時(shí),有幾個(gè)步驟是有用的:在所有存儲(chǔ)位置應(yīng)用數(shù)據(jù)發(fā)現(xiàn)技術(shù),以實(shí)現(xiàn)對(duì)每個(gè)數(shù)據(jù)集的容量、多樣性和準(zhǔn)確性問 題的范圍界定。應(yīng)用星序和分析不僅需要獲取數(shù)據(jù),還需要?jiǎng)?chuàng)建數(shù)據(jù)來支持業(yè)務(wù)流 程。識(shí)別并優(yōu)先考慮每個(gè)數(shù)據(jù)集帶來的業(yè)務(wù)風(fēng)險(xiǎn)和財(cái)務(wù)影響。"審查由于地理來源而影響每個(gè)數(shù)據(jù)集的數(shù)據(jù)駐留問題,這將限制數(shù)據(jù)存儲(chǔ)和處理選 擇。確定來自每個(gè)司法管轄區(qū)的數(shù)據(jù)保護(hù)和隱私法律的安全要求,以及國家訪問法 律是否影響地理存儲(chǔ)位置的選擇。然后考慮員工如何需要從不同的工作地點(diǎn)訪問 (參見"全球轉(zhuǎn)移個(gè)人數(shù)據(jù)")應(yīng)用數(shù)據(jù)分類和主數(shù)據(jù)策略,以優(yōu)先考慮哪些數(shù)據(jù)集需要安全性和應(yīng)用哪些政策, 以及長期資產(chǎn)管理(參見"主數(shù)據(jù)治理從主數(shù)據(jù)生命周期開始")為每個(gè)數(shù)據(jù)集創(chuàng)建訪問和使用策略,使其與所有可用的數(shù)字業(yè)務(wù)環(huán)境、應(yīng)用程序和 端點(diǎn)的數(shù)據(jù)流一致。生命周期還提供了對(duì)這些功能需要應(yīng)用多長時(shí)間的關(guān)鍵見解,這些功能可以從分鐘、幾個(gè)月甚至幾十年不等使用CARTA模型選擇安全策略規(guī)則和功能以降低風(fēng)險(xiǎn)預(yù)防在所有存儲(chǔ)位置發(fā)現(xiàn)數(shù)據(jù)是至關(guān)重要的。必須一致地將通過模式匹配和其他技術(shù)識(shí)別和分類數(shù)據(jù)的能力應(yīng)用于結(jié)構(gòu)化或非結(jié)構(gòu)化格式的數(shù)據(jù)。這很少是由單一產(chǎn)品提供的,這些產(chǎn)品還可以跨本地和跨公共云服務(wù)進(jìn)行操作。并非所有數(shù)據(jù)都需要或應(yīng)該存儲(chǔ);因此,積極計(jì)劃盡量減少存儲(chǔ)。數(shù)據(jù)保護(hù)和匿名化選項(xiàng)包括加密、標(biāo)記化、屏蔽或編輯。然而,這些僅僅是用于執(zhí)行職責(zé)隔離(SOD)的訪問控制。它們可能具有保護(hù)靜止、使用或傳輸中的數(shù)據(jù)的幾個(gè)功能,并可能有助于數(shù)據(jù)駐留和特定的遵從要求。檢測(cè)審查對(duì)關(guān)鍵數(shù)據(jù)集的訪問,并為應(yīng)用程序用戶、開發(fā)人員、管理員和安全人員執(zhí)行SOD,這需要仔細(xì)監(jiān)視和限制權(quán)限,比如讀取、修改和刪除。因此,請(qǐng)仔細(xì)規(guī)劃員工如何使用應(yīng)用程序和分析產(chǎn)品來訪問各種數(shù)據(jù)存儲(chǔ)庫。業(yè)務(wù)流程、IAM(identityandaccessmanagement)和數(shù)據(jù)安全產(chǎn)品獨(dú)立控制數(shù)據(jù)訪問。因此,映射用戶和管理員是如何被授予對(duì)數(shù)據(jù)集的訪問、特權(quán)和權(quán)限的。監(jiān)控、識(shí)別和報(bào)告對(duì)訪問、特權(quán)或權(quán)利的任何更改。響應(yīng)監(jiān)控和分析用戶行為的能力是理解和創(chuàng)建適當(dāng)?shù)陌踩憫?yīng)的重要第一步。監(jiān)控和分析異?；驖撛趷阂鈹?shù)據(jù)的更改權(quán)限和活動(dòng),并向相關(guān)安全官員或數(shù)據(jù)所有者發(fā)出警報(bào)?；蛘?應(yīng)用自動(dòng)阻塞響應(yīng)來阻止某些數(shù)據(jù)移動(dòng)或活動(dòng),甚至是惡意軟件的機(jī)器速度活動(dòng)。了解數(shù)據(jù)如何跨地域流動(dòng),對(duì)于理解需要改變政策規(guī)則或功能的數(shù)據(jù)駐留或合規(guī)問題至關(guān)重要。預(yù)測(cè)為了完成該周期,必須根據(jù)安全映射練習(xí)確定的差距重新評(píng)估風(fēng)險(xiǎn)緩解的選擇。檢查行為分析輸出可以幫助確定策略的粒度是否足夠，例如,通過查看誤報(bào)率,以及檢測(cè)惡意或不適當(dāng)活動(dòng)的準(zhǔn)確性。審計(jì)日志是識(shí)別策略規(guī)則差距和跨數(shù)據(jù)存儲(chǔ)訪問權(quán)限映射的重要分析來源。法規(guī)遵從性要求經(jīng)常需要對(duì)用戶和管理員的活動(dòng)提供審計(jì)報(bào)告。在發(fā)生安全事件或?qū)徲?jì)過程后,需要進(jìn)行法醫(yī)分析以檢查日志。一些產(chǎn)品如安全信息和事件管理(SIEM);安全操作、分析和報(bào)告(SOAR),和安全操作中心(SOC--可以提供日志的解釋和創(chuàng)建。然而,他們?nèi)狈?shù)據(jù)活動(dòng)的知識(shí)或洞察力。這需要以數(shù)據(jù)為中心的產(chǎn)品,如數(shù)據(jù)丟失預(yù)防(DLP)和以數(shù)據(jù)為中心的審計(jì)和保護(hù)(DCAP)。每季度檢查一次安全策略規(guī)則,或者如果業(yè)務(wù)風(fēng)險(xiǎn)發(fā)生變化DSG必須定義一組獨(dú)立于可用產(chǎn)品的策略規(guī)則。在選擇和管理一套產(chǎn)品時(shí),實(shí)現(xiàn)會(huì)產(chǎn)生大量的選擇和問題,因?yàn)檫@需要大量獨(dú)立的管理控制臺(tái).

Gartner的客戶表示,這個(gè)數(shù)字可能超過50臺(tái)獨(dú)立主機(jī)。應(yīng)考慮下列問題:iam產(chǎn)品不提供基于數(shù)據(jù)內(nèi)容的洞察或訪問控制。大多數(shù)數(shù)據(jù)安全產(chǎn)品不與IAM產(chǎn)品集成,也不驗(yàn)證誰已登錄到特定設(shè)備或應(yīng)用程序。應(yīng)用和分析產(chǎn)品通常由業(yè)務(wù)部門負(fù)責(zé)人或數(shù)據(jù)所有者獨(dú)立于IAM、數(shù)據(jù)安全管理員和產(chǎn)品進(jìn)行管理。多個(gè)控制臺(tái)的部署已經(jīng)發(fā)展了很多年,以滿足特定的戰(zhàn)術(shù)安全需求。這通常是由影響網(wǎng)絡(luò)通信或支付卡行業(yè)標(biāo)準(zhǔn)的特定法規(guī)造成的。然而,業(yè)務(wù)風(fēng)險(xiǎn)來自于對(duì)內(nèi)部數(shù)據(jù)存儲(chǔ)更普遍的威脅,以及云服務(wù)采用的巨大轉(zhuǎn)變。不可能在所有這些控制臺(tái)中自動(dòng)提取、共享、同步或編排策略。CISO和SRM領(lǐng)導(dǎo)人必須使用政策規(guī)則審查來解決由于有限的數(shù)據(jù)安全資源造成的不足。他們應(yīng)該建立一個(gè)過程來提供培訓(xùn),并使安全管理員能夠作為一個(gè)團(tuán)隊(duì)進(jìn)行協(xié)作。評(píng)審必須按優(yōu)先級(jí)和開發(fā)流程,通過以下幾個(gè)步驟手動(dòng)協(xié)調(diào)和同步產(chǎn)品之間的策略規(guī)則:識(shí)別并繪制所有本地和云服務(wù)中的數(shù)據(jù)存儲(chǔ)和處理豎井。識(shí)別和映射所有安全產(chǎn)品和相關(guān)管理控制臺(tái)的實(shí)施,授權(quán)和管理數(shù)據(jù)訪問或安全。識(shí)別已部署的數(shù)據(jù)發(fā)現(xiàn)和分類產(chǎn)品,以及它們覆蓋非結(jié)構(gòu)化和結(jié)構(gòu)化數(shù)據(jù)的能力。確定每個(gè)簡(jiǎn)倉中存儲(chǔ)了哪些數(shù)據(jù)集和卷。確定每個(gè)安全控制臺(tái)包含哪些數(shù)據(jù)集。映射每個(gè)控制臺(tái)授予的用戶和權(quán)限。創(chuàng)建分析,以確定每個(gè)用戶訪問數(shù)據(jù)集的不一致或差距。確定潛在的路線圖,以同步和協(xié)調(diào)更一致的政策。識(shí)別現(xiàn)有產(chǎn)品組合中無法通過編制來解決的差距和風(fēng)險(xiǎn),并建議進(jìn)行變更。記錄策略規(guī)則更改,并識(shí)別由于不同管理員的操作而出現(xiàn)的策略不一致和差距。

DSG的實(shí)施應(yīng)該持續(xù)評(píng)估政策變化,并啟動(dòng)季度審查。管理人員通過地方執(zhí)法改變無法解決的問題應(yīng)報(bào)告DSG利益攸關(guān)方進(jìn)行審查國內(nèi)《數(shù)據(jù)安全治理白皮書》白皮書建議步驟：1.組織構(gòu)建:組建專門的數(shù)據(jù)安全組織團(tuán)隊(duì),是作為數(shù)據(jù)安全治理建設(shè)的首要任務(wù),是保 證數(shù)據(jù)安全治理工作能夠持續(xù)執(zhí)行的基礎(chǔ)。2.資產(chǎn)梳理:資產(chǎn)梳理是數(shù)據(jù)資產(chǎn)安全管理的第一步,通過資產(chǎn)梳理能夠掌握數(shù)據(jù)資產(chǎn) 分布、數(shù)據(jù)責(zé)任確權(quán)、數(shù)據(jù)使用流向等,使數(shù)據(jù)資產(chǎn)安全管理更全面。3.策略制定:掌握了數(shù)據(jù)資產(chǎn)概況后,需要制定安全策略來作為數(shù)據(jù)資產(chǎn)管控的安全規(guī) 則。通過數(shù)據(jù)分類分級(jí)與重要數(shù)據(jù)識(shí)別,區(qū)分人員角色權(quán)限及場(chǎng)景,制定針對(duì)性的安 全策略,能夠?qū)崿F(xiàn)對(duì)敏感數(shù)據(jù)進(jìn)行分級(jí)管控,使數(shù)據(jù)在生命周期中安全流動(dòng)。4.過程控制:策略制定后需要將安全規(guī)則落地,通過數(shù)據(jù)安全管理體系、技術(shù)體系、運(yùn)營 體系的有效配合,能夠幫助企業(yè)進(jìn)行數(shù)據(jù)資產(chǎn)安全管理的過程控制。5.行為稽核：要對(duì)數(shù)據(jù)的訪問過程進(jìn)行審計(jì),要判斷這些數(shù)據(jù)訪問行為過程是否符合所 制定的安全策略;要對(duì)數(shù)據(jù)的安全訪問狀況進(jìn)行深度評(píng)估,看在當(dāng)前的安全策略有 效執(zhí)行的情況下,是否還有潛在的安全風(fēng)險(xiǎn)。6持續(xù)改善:數(shù)據(jù)安全需要?jiǎng)討B(tài)跟蹤,持續(xù)改善。可通過資產(chǎn)梳理,持續(xù)掌握數(shù)據(jù)資產(chǎn)動(dòng) 態(tài); 通過預(yù)警演練,提升應(yīng)急響應(yīng)能力;通過數(shù)據(jù)安全評(píng)估,了解數(shù)據(jù)安全管控現(xiàn)狀, 持續(xù)優(yōu)化安全策略等數(shù)據(jù)安全管理安全設(shè)計(jì)原則經(jīng)濟(jì)適用原則保持系統(tǒng)的設(shè)計(jì)盡可能的簡(jiǎn)單和精巧軟件設(shè)計(jì)越復(fù)雜,出現(xiàn)問題的概率越高。刪除不需要的代碼和功能,避免增加攻擊面。設(shè)計(jì)重用組件,減少冗余代碼。失敗默認(rèn)安全原則設(shè)計(jì)案例:重復(fù)輸入錯(cuò)密碼閥值保護(hù)機(jī)制?；谠试S而非排除的基本訪問決策。默認(rèn)應(yīng)該不允許訪問。保護(hù)機(jī)制是用來識(shí)別可以訪問的情況。復(fù)雜系統(tǒng)在處理功能失效后，應(yīng)該有應(yīng)急機(jī)制。完全仲裁原則對(duì)于受保護(hù)對(duì)象,必須在每次訪問時(shí),檢查對(duì)象的訪問權(quán)限。基于允許而非排除的基本訪問決策。默認(rèn)應(yīng)該不允許訪問。保護(hù)機(jī)制是用來識(shí)別可以訪問的情況。復(fù)雜系統(tǒng)在處理功能失效后,應(yīng)該有應(yīng)急機(jī)制。緩存機(jī)制、初始化、關(guān)機(jī)操作等要特別注意!開放設(shè)計(jì)原則安全性不應(yīng)該依賴于潛在攻擊者的無知,而是取決于擁有特定的,受到保護(hù)的密鑰或 密碼。允許審閱者檢查機(jī)制,而不用擔(dān)心審查本身可能損害保護(hù)措施?？梢允谷魏纬謶岩蓱B(tài)度的用戶相信。保持任何廣泛分發(fā)的系統(tǒng)的保密性是不現(xiàn)實(shí)的。權(quán)限分離原則重要的資產(chǎn)/操作采用需要兩個(gè)密鑰解鎖的機(jī)制一旦被鎖定,這兩個(gè)密鑰可以在物理上分開,不同的程序，組織或個(gè)人對(duì)它們負(fù) 責(zé)。任何單一的事故,欺騙或違反信任都不足以危害受保護(hù)的信息。這一原則通常 用于銀行保管箱。在計(jì)算機(jī)系統(tǒng)中,分離的密鑰適用于在允許訪問之前必須滿足兩個(gè)或更多條件 的任何情況。最小權(quán)限原則系統(tǒng)的每個(gè)程序和每個(gè)用戶都應(yīng)該使用完成工作所需的最少權(quán)限集來運(yùn)行。這個(gè)原則限制了事故或錯(cuò)誤可能造成的損害。將特權(quán)程序之間潛在的交互次數(shù)減少到正確操作的最小值,從而不太可能發(fā)生 無意的,不需要的或不正當(dāng)?shù)奶貦?quán)使用。"需要知道(最小知情權(quán))"的軍事安全規(guī)則就是這一原則的一個(gè)例子。最小公共化原則用于訪問資源的機(jī)制不應(yīng)該被共享最大限度地減少多個(gè)用戶共同使用的機(jī)制數(shù)量。每個(gè)共享機(jī)制(尤其是涉及共享變量的機(jī)制)都代表了用戶之間潛在的信息路徑, 必須非常謹(jǐn)慎地設(shè)計(jì),以確保它不會(huì)無意中危及安全性。為所有用戶提供服務(wù)的任何機(jī)制必須經(jīng)過認(rèn)證,以使每個(gè)用戶滿意。心理可承受原則人機(jī)界面的設(shè)計(jì)必須易于使用。減少用戶犯錯(cuò)。1、安全機(jī)制設(shè)計(jì)時(shí),人的因素也需要納入考慮范圍。2、如果用戶的預(yù)期和實(shí)際相匹配,那么很少會(huì)出錯(cuò)。3、如果讓用戶基于他完全不理解的內(nèi)容做判斷,他就會(huì)犯錯(cuò)誤。COBIT數(shù)據(jù)治理管理COBIT數(shù)據(jù)治理管理建議原則數(shù)據(jù)可用性確保需要數(shù)據(jù)的業(yè)務(wù)功能可以輕松使用數(shù)據(jù)。數(shù)據(jù)可用性確保數(shù)據(jù)結(jié)構(gòu)清晰,文檔化和標(biāo)簽化,易于搜索和檢索,并與業(yè)務(wù)用戶使用的工具兼容。數(shù)據(jù)完整性:確保數(shù)據(jù)在不同平臺(tái)上存儲(chǔ)、轉(zhuǎn)換、傳輸和查看時(shí)仍能保持其基本質(zhì)量。數(shù)據(jù)質(zhì)量:確保數(shù)據(jù)是正確的,一致的,沒有可能阻礙使用和分析的“噪音"。數(shù)據(jù)安全:確保數(shù)據(jù)根據(jù)其敏感性進(jìn)行分類,并定義保護(hù)信息和防止數(shù)據(jù)丟失和泄漏的過程。DGI數(shù)據(jù)治理建議原則1、完整性原則2、透明性原則3、可審核性原則4、問責(zé)性原則5、管理性原則6、制衡性原則7、標(biāo)準(zhǔn)化原則8、管理變更性原則DGI原則數(shù)據(jù)安全的主要要素所有組織都應(yīng)該遵守?cái)?shù)據(jù)安全的三個(gè)核心要素機(jī)密性、完整性和可用性。這些概念也被稱為CIATriad,作為頂級(jí)數(shù)據(jù)安全的安全模型和框架。以下是每個(gè)核心元素在保護(hù)敏感數(shù)據(jù)不受未經(jīng)授權(quán)訪問和數(shù)據(jù)泄露方面的含義。機(jī)密性:確保數(shù)據(jù)僅由具有適當(dāng)憑據(jù)的授權(quán)用戶訪問。完整性:確保所有存儲(chǔ)的數(shù)據(jù)是可靠的,準(zhǔn)確的,不受不必要的更改。可用性:確保數(shù)據(jù)可隨時(shí)、安全地獲取并可用于持續(xù)的業(yè)務(wù)需求。數(shù)據(jù)安全規(guī)劃與策略安全規(guī)劃是為使控制、預(yù)防危險(xiǎn)及減少損失的系統(tǒng)起作用并保證其有效性,所制訂的管理和措施方面的計(jì)劃?！ぐ踩?guī)劃有秩序地安排互相依存的活動(dòng)與有關(guān)的措施，以提高工作與工藝過程的安全性能及控制其中潛在的危險(xiǎn)安全規(guī)劃的組成部分包括如下內(nèi)容:確定安全目標(biāo)措施;提供為完成安全管理工作所需要的手段;制定、采用安全設(shè)計(jì)與性能標(biāo)準(zhǔn)、規(guī)程、條例等;建立鑒別故障、事故而收集和分析數(shù)據(jù)的程序;"

確定和執(zhí)行具體的防范措施;執(zhí)行具體的安全規(guī)章和標(biāo)準(zhǔn),訓(xùn)練使用與維護(hù)所有安全保障系統(tǒng);根據(jù)規(guī)定的安全目標(biāo),衡量、評(píng)價(jià)安全規(guī)劃與防范措施的效果；促使管理部門發(fā)揮作用并保持其作用等。讓數(shù)據(jù)安全成為公司文化的一部分真正、全面的商業(yè)安全取決于兩個(gè)因素:作為公司的領(lǐng)導(dǎo),你把它作為首要任務(wù),你得到了所有員工的支持。當(dāng)然,你可以制定安全政策和程序,但除非你向員工宣傳數(shù)據(jù)安全的重要性,否則他們只是在走過場(chǎng)。將數(shù)據(jù)安全與業(yè)務(wù)的健康和安全聯(lián)系起來。明確為什么數(shù)據(jù)安全對(duì)組織中的每個(gè)成員都至關(guān)重要。建立基于角色的訪問即使你的公司很小,你也需要考慮哪些員工需要并且應(yīng)該獲得哪些信息。(例如,你的個(gè)人檔案不應(yīng)該,對(duì)每個(gè)人都開放,銀行賬戶的權(quán)限也必須受到限制。)不要忘記管理員工在家或在路上訪問信息時(shí)使用的設(shè)備的安全。誰可以訪問IT數(shù)據(jù)? 誰可以訪問客戶端信息?每個(gè)員工的密碼可