数据安全治理体系.pptx

数据安全治理-国家已经开始行动 网络安全法 刑法修正案 个人数据保护法（专家意见稿） 数据出境管理办法 关键信息基础设施安全保护条例 国标《政务信息共享 数据安全技术要求》送审稿 国标《政府数据 数据分级分类》草案 《证券期货业数据分类分级指引》 《国网营销系统数据脱敏规范》 《电信和互联网用户个人信息保护规定》 决 策 层 管理层 支持层 组织建立 ①决策层：负责数据安全治理体系目标、范围、策略的决策工作，决策层属于虚拟组织。 ②管理层：负责数据安全治理体系建设工作，管理层的成员一般由数据合规部门承担。 ③支持层：负责安全手段和制度执行的可行性，一般由业务部门承担，提出在业务开展过程中的数据安全需求。 ④ 监督层：由审计部门担任，监督层需要定期向决策层汇报当前数据安全状况。 高层 参与建设组织 阶段1 建立安全组织——决策层参与 监督层 敏感数据指引 敏感数据分级分类指引 对比 能力评估 阶段2 能力评估——数据安全整体评估 数据安全管控总体规范 数据安全管控 法律法规 网络安全法、个人信息保护、关键信息基础设施安全保护、国办39号文。 国家标准 《个人信息安全规范》《等级保护2.0相关标准》 合规要求 组织制度规范体系 制度设计 阶段3 制度设计——基于业务流程设计 SQL注入 业务行为安全 敏感数据扰乱 数据高度仿真 数据溯源 运维行为可控 敏感数据隔离 数据加密 敏感数据绕乱 分析结果可用 数据摸底 数据管控 行为稽核 3个技术路线 安全建设 敏感数据梳理 敏感数据智能识别 识别敏感数据分布、分析访问压力情况、记录操作日志信息等。 敏感数据分级分类 梳理各部门业务系统数据，将数据按照特征或者所属部门进行归类。 标记数据敏感级别。 敏感数据标记 增强数据存储保密性，防止业务数据泄露 数据存储加密 数据备份加密 数据安全存储与管控 数据脱敏(静态/动态) 静态脱敏：对第三方测试开发，实时性使用不高的数据进行脱敏处理。 动态脱敏：对应用环境或者业务系统使用的实时性数据，进行动态脱敏处理。 数据安全存储与管控 细粒度访问控制 数据库运维管控 对数据访问者进行审批管控，识别访问者身份。 对业务环节中的数据使用，基于业务角色授予用户相应的访问权限。 对运维环节中用户操作进行访问控制，拦截风险操作，阻断攻击行为。 监控、审计、追溯 数据安全 存储 数据流转监控 异常行为告警 数据水印 监控数据流向，记录数据传输的范围。 对敏感数据的流向异常、操作异常等事件进行及时的告警。 将数据进行水印标记，追溯数据的流动情况。 监控、审计、追溯 数据库审计 记录数据操作者身份。 记录数据除操作行为。 告警数据操作异常行为。 还原数据销毁全过程。 安全设计 数据安全治理体系建设总体框架 数据安全治理体系框架 管理体系框架 技术体系框架 组织架构 决策层 采集 管理层 执行层 存储 传输 使用 共享 删除 运营体系框架 审计监管 管理规范 技术规范 数据安全管理制度 数据资产管理规范 数据分发管控规范 数据分类分级标准 数据安全风险评估规范 数据安全事件管理规范 数据脱敏策略 数据传输加密策略 数据存储安全策略 数据安全加密策略 数据安全审计策略 数据防泄漏策略 防火墙 加密 防泄漏/防火墙 脱敏/审计 加密/审计 审计 策略 中心 安全事件 风险分析 数据资产管理 数据安全管控平台展示 数据安全事件应急响应 数据安全治理体系建设实施步骤 第一阶段 第二阶段 第三阶段 基础防护建设阶段 数据资产管理规范 敏感数据定义和发现 数据分类分级标准及管控要求 数据安全评估 策略优化及能力提升建设阶段 用户权限责任矩阵 资产/准入基线 加密 数据安全事件应急管理及运维 数据安全运营风险管控阶段 组织架构定岗定责 数据安全建设规划 用户行为 业务流程 接口权限 数据安全防护方针策略 脱敏 数据风险策略特征库 审计 防泄漏 流转行为库 数据安全意识技能培训 策略中心 数据安全管控平台 事件监测 风险分析 数据安全治理体系起步建设 第一阶段 基础防护建设阶段 数据资产管理规范 敏感数据定义和发现 数据分类分级标准及管控要求 数据安全评估 组织架构定岗定责 数据安全建设规划 用户行为 业务流程 接口权限 数据安全治理体系设计路线 业务系统情况 业务数据情况 业务使用情况 用户行为情况 业务流转情况 现状问题分析报告 业务类型汇总 分类分级标准建立 分类分级落地执行 对外开放管控要求 组织架构 用户权限 数据全生命周期评估 数据库风险脆弱性评估 现有数据 防护能力 组织架构 权责分配 数据安全管理制度规划 数据安全技术防护规划 数据安全管控平台建设规划