金融和政务数据安全治理最佳实践.docVIP

北京安华金和科技有限公司 01 数据安全治理体系最佳实践 02 行业客户成功案例介绍 第四章 数据安全保护义务 数据分类分级保护制度 (重要数据保护目录) 数据安全应急处置机制 政务数据开放目录和开放平台 第六章 法律责任 第七章 附则 1、定期开展风险评估，并向有关主管部门报送风 险评估报告 2、报告应包括重要数据的种类、数量，开展数 据处理活动的情况，面临的数据安全风险及其应 对措施等 确定本地区、本部门以及相关行业、领域的重要 数据具体目录 重要数据的出境安全管理办法，由国家网信部门 会同国务院有关部门制定 依法启动应急预案，采取相应的应急处置措施， 发布与公众有关的警示信息 1、建立数据安全审查制度 2、进行国家安全审查 建立健全数据安全管理制度，落实数据安全保护 责任，保障政务数据安全 对歧视性禁止、限制的对等反制措施 委托他人建设、维护电子政务系统，存储、加工 政务数据 1、应当经过严格的批准程序 履行数据安全保护义务，不得擅自留存、使用、 泄露或者向他人提供政务数据 五.第四十一条 五.第四十二条 国家机关 国家机关 及时、准确公开政务数据。依法不予公开的除外 制定政务数据开放目录，构建安全可控的政务数 据开放平台 数据分类 分级服务 数据安全风 险评估服务 数据安全管理 体系建设服务 1 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或 者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安 全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。 　　关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核 心数据，实行更加严格的管理制度。 　　各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及 相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。 第五章 国家建立数据安全审查制度，对 影响或者可能影响国家安全的数 据处理活动进行国家安全审查。 　　依法作出的安全审查决定为 最终决定。 《数据安全检查规范》 交付物 《风险场景评估报告》 服务 价值 发现数据安全风险场景 针对性的进行数据安全建设 行业及上级部门安全检查 定期安全检查考核 《数据安全事件应急响应 《数据分类分级基线考核 《数据分类分级清单》 《重要数据目录》 《数据分类分级安全防护策略》 ………… 《数据泄露安全事件应急 演练》 《数据安全策略落实KPI》 操作 规范 分级实施操作规范 《数据分类分级情况检查 表》 数据资产梳理产品 数据自动化分类分级系统 数据脱敏/加密/水印等 数据安全运营管控平台（含合规标准解读模块/数据资 产梳理备案/自动分类分级模块/脱敏/加密/水印/审 计等模块） 分类分级 级别校核 咨询顾问 数据资产清单 数据库 工具 金融，运营商，医疗标准 敏感数据清单 高级别数据 4 级管控 3 级管控 数据加工生产 数据分发共享 场景风险排序（来源现状调研和风险评估） 多风险 少风险 无风险 人员风险排序（来源现状调研和风险评估） 访问人员复杂性 人员权限复杂性 …….（这些维度还需总结归纳） 用数访问的人员（来源现状调研和风险评 估） 业务、三方、合作、外包、内部、领 导、安全管理等。 人员风险排序（来源现状调研和风险评估） 访问人员复杂性 人员权限复杂性 …….（这些维度还需总结归纳） 操作风险排序（来源现状调研和风险评估） 共享分发操作风险排序（来源现状调研和 越权访问 …….（这些维度还需总结归纳） 威胁处置 防火墙 运维堡垒 脱敏加密 安全审计 漏洞扫描 源头边界—— 从数据采集到数据使用的管控级别研判标准 分发边界—— 从数据分发到用数访问的管控级别研判标准 数据分类 分级服务 数据安全风 险评估服务 数据安全管理 体系建设服务 1 国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或 者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安 全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。 　　关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核 心数据，实行更加严格的管理制度。 　　各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及 相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。 第五章 国家建立数据安全审查制度，对 影响或者可能影响国家安全的数 据处理活动进行国家安全审查。 　　依法作出的安全审查决定为 最终决定。 《数据安全检查规范》 交付物 《