05_数据治理方案_数据安全管理.docx

  1. 1、本文档共8页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

PAGE2/NUMPAGES8

数据安全方案

二零一八年四月

目录

TOC\o1-3\h\u1.概述 3

2.规范性引用文件 3

3.术语与定义 6

4.数据标准体系框架 7

5.标准的编号与版本 10

6.数据标准的准入原则 10

7.数据标准分类原则 11

8.数据标准信息项属性定义 11

8.1.基础类数据标准信息项属性 11

8.2.分析类数据标准信息项属性 15

附录AX企业数据标准的数据类型 18

A.1范围 18

A.2数据类型 18

PAGE3/NUMPAGES8

概述

在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制定,在企业或行业内经常被作为《某某数据安全管理规范》进行发布,所有工作流程和技术支撑都是围绕着此规范来制定和落实。

规范的出台往往需要经过大量的工作才能完成,这些工作通常包括:

A、梳理出组织所需要遵循的外部政策以及与数据安全管理相关的内容;

B、根据该组织的数据价值和特征,梳理出核心数据资产,并对其分级分类;

C、理清核心数据资产使用的状况(收集、存储、使用、流转);

D、分析核心数据资产面临的威胁和使用风险;

E、明确核心数据资产访问控制的目标和访问控制流程;

F、制订出组织对数据安全规范落实和安全风险进行定期的核查策略。

工作策略

在我国,数据安全治理同样需要遵循国家级的安全政策和行业内的安全政策。举例如下:

1.网络安全法;

2.等级保护政策;

3.BMB17国家保密标准;

4.行业相关的政策要求举例:

(a)企业内部控制基本规范;(三会、财政、审计)

(b)中央企业商业秘密保护暂行规定;

这些政策通常是在制订组织内部政策时重点参考的外部政策规范。

数据分类原则

数据治理主要依据数据的来源、内容和用途对数据进行分类;按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。

信息类别

信息项

对三方价值

事故影响

分类定义

客户基本资料

政企客户资料

牟取暴利

造成政企客户流失、损失巨大

机密数据

个人客户资料

价值较大

造成客户损失、损失大

敏感数据

各类特殊名单

牟取暴利

造成投诉、损失大

敏感数据

身份鉴权信息

用户密码

牟取暴利

造成客户损失、损失巨大

机密数据

客户通信信息

详单

价值较大

造成投诉、损失大

敏感数据

账单

价值一般

损失一般

普通数据

客户当前位置信息

价值较大

损失一般

敏感数据

客户消费信息

价值一般

损失一般

普通数据

订购关系

价值低

无明显损失

普通数据

增值业务订购关系

价值低

无明显损失

普通数据

增值业务信息

牟取暴利

造成客户损失、损失大

敏感数据

客户通信内容信息

客户通信内容记录

牟取暴利

客户私密信息泄露,损失巨大

机密数据

移动上网内容及记录

价值低

损失一般

普通数据

增值业务客户行为记录

价值低

客户私密信息泄露,损失大

敏感数据

领航平台交互信息

牟取暴利

损失一般

敏感数据

只有对数据进行有效分类,才能够避免一刀切的控制方式,在数据的安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。

数据资产状况的梳理

数据使用部门和角色梳理

在数据资产的梳理中,需要明确这些数据如何被存储,数据被哪些部门、系统、人员使用,数据被如何使用。对于数据的存储和系统的使用,往往需要通过自动化的工具进行;而对于部门和人员的角色梳理,更多是要在管理规范文件中体现。对于数据资产使用角色的梳理,关键要明确在数据安全治理中不同受众的分工、权利和职责。

组织与职责,明确安全管理相关部门的角色和责任,一般包括:

安全管理部门:制度制定、安全检查、技术导入、事件监控与处理;

业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理;

运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理;

其它:第三方外包、人事、采购、审计等部门管理。

数据治理的角色与分工,需要明确关键部门内不同角色的职责,包括:

安全管理部门:政策制定者、检查与审计管理、技术导入者;

业务部门:根据单位的业务职能划分;

运维部门:运行维护、开发测试、生产支撑。

数据的存储与分布梳理

敏感数据在什么数据库中分布着,是实现管控的关键。只有清楚敏感数据在什么库中分布,才能知道需要对什么样的库实现怎样的管控策略;对该库的运维人员实现怎样的管控措施;对该库的数据导出,实现怎样的模糊化策略;对该库数据的存储实现怎样的加密要求。

数据的使用状况梳理

在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制订这些业务系统的工作人员对敏感数据访问的

文档评论(0)

186****5983 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档