数据安全的思与行.pdf

数据安全合规的思与行

魏嵩尧

01国家法律法规基础

02企业内部规章制度

03合规稽查态势分析

04数据加固应用构建

05总结

01国家法律法规基础

三法一条例

保障网络安全，维护网络空间主规范数据处理活动，保障数据安保护个人信息权益，规范个人

权和国家安全、社会公共利益。全，促进数据开发利用，维护国信息处理活动，促进个人信息

保护公民、法人和其他组织合法家主权、安全和发展利益。保护合理利用。

权益。个人、组织的合法权益。

《网络数据安全管理条例》

规范网络数据处理活动，保障网络数据安全，

促进网络数据依法合理有效利用。

02企业内部规章制度

企业内部数据安全管理制度

集团发布数据安全理制度

一级文件

《信息安全管理制度》-安全管理体系总则。明确信息安全部门职能范围、总体目标、工作策略、底线要求及奖惩条例。

二级文件：

《数据安全管理规定》-数据全生命周期中数据管理者、使用者的责任划分，如何根据数据场景化制定分类分级，严格

区分重要数据和一般数据的性质。

《数据库安全基线管理办法》-数据库权限访问控制，重要数据备份机制，应急恢复演练以及管理人员的职业素养。

《数据运营管理流程》-数据展示、共享、提取等在流程体系中如何规避风险，根据数据重要程度和量级设立多级审批

制，主导“谁生产、谁运营、谁负责”的原则。

03合规稽查态势分析

合规稽查中的数据治理

数据安全风险自评估

数据安全防护能力薄弱引数据处理人员违规操作引

数据非法收集引发的风险数据生命周期引发的风险

发的风险发的风险

移动应用程序、网站权限合作方管理不善，造成数

数据接口防护不当数据采集过程

违规调用据违规传输、泄漏

数据库安全保障措施不健

账号权限配置不当数据传输与存储

全

鉴权访问控制不完备数据应用与共享

数据传输或存储未加密

合规稽查中的数据治理

数据安全风险评估对分类分级的要求

分类分级

01行业指南06数据加密

02权限管控07行为审计

03数据脱敏08态势感知