数据安全治理——发挥主导作用的组织与受众
数据安全治理——发挥主导作用的组
织与受众
引言:数据安全治理是由组织中分工明确的人来主导实施的一项系统性工程。该项工作得以良好运作有赖于三大要素:人员组织、策略流程和技术工具。
一. 数据安全治理机构
数据安全治理工作的展开首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。
通常,我们可以将成立的机构称之为“数据安全治理委员会”或“数据安全治理小组”,该机构并非传统意义上的实体机构,属于一个虚拟的机构,机构成员由数据的利益相关者和专家构成,这里之所以称之为利益相关者,是因为这些人可能不仅仅是数据的使用者,也是数据本身的代表者(比如用户),数据的所有者,数据的责任人。
数据安全治理委员会或数据安全治理小组这个机构本身既是安全策略、安全规范和安全流程的制定者,也是安全策略、规范和流程的受众。
在DGPC 框架中这个机构一般称之为DGPC 团队,或者叫Data Stewards,这个团队的职责是:This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management.
①制定数据分类、保护、使用、管理的原则
②制定数据分类、保护、使用、管理的策略
③制定数据分类、保护、使用、管理的流程
这个团队的构成是:IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.(IT、人资、法务、财务、业务和市场部门等所有与人、知识产权、私密信息相关的部门)
二. 机构五大责任
数据安全治理的正式机构的成立,标志着一个组织在数据安全治理工作上的正式启动,使组织内数据安全规范制定、数据安全技术导入、数据安全体系建设得以不断完善。数据安全治理机构成立后,需要完成以下职责:
(1)数据的分级分类原则的制定
数据的分级分类原则,往往是数据安全治理机构成立后要解决的核心问题。只有先制定合理有效的分级分类原则,才能在纷杂广袤的数据中,明确出核心敏感数据、次要敏感数据、公开共享数据,从而基于此再设定数据的不同分享策略和原则。
(2)数据安全使用(管理)规范的制定
数据安全使用规范的制定,标志着数据安全治理进入到一个规范化的阶段,有了可靠的演进框架。
在这个阶段的初期,要完成敏感数据的分布梳理、内部角色的梳理、数据的使用状况梳理。基于此,了解清楚不同类别的敏感数据是如何被相关者使用的。
中期,要完成在现状基础上的安全分析,要明确常规合理、合法行为;要明确风险、非法的行为;要明确在特定情况下数据访问越级的审批结构。
最后,我们要清晰有序地将这些角色、访问过程的控制要求明确为受整个组织认可的文件,以官方的形式正式下发。
(3)数据安全治理技术的导入
数据已经成为人类历史上积累出来的最大资产和财富,数据安全规范的执行,不可能依托于人工的方式完成,任何依托于人工的方式,都是不可想象的。
必须要引入大量的现代化的技术和工具,帮助完成数据的梳理、控制、行为监控和风险预警。
(4)数据安全使用规范的监督执行
作为数据安全治理中的核心机构,信息部门在数据安全管理规范制定完成后,最重要的是职责是监督规范的执行,处理异常和风险行为。
而数据安全治理中的相关业务和使用部门,职责在于将安全管理规范在本部门内落地、执行。
(5)数据安全治理的持续演进
数据安全治理不是一蹴而就的事情,有了首期的框架后,我们要根据执行中所面临的风险状况、安全事件、组织架构调整、业务系统上线等,完成对安全治理中的安全管理规范、技术支撑平台的演进。
三. 数据安全治理受众
数据安全治理人员中的另一个关键角色就是数据安全的受众,这些受众涵盖了数据安全策略、规范和流程的执行者和被管理者;数据的使用者、管理者、维护者、分发者。实际上,大多数数据利益相关者都属于数据安全治理的受众。
常见的组织中与数据相关的部门包括:
安全管理部门:安全制度制定、安全检查、技术导入、事件监控与处理
业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理
运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理
其它:第三方外包、人事、采购、审计等部门
部门内不同角色在数据安全治理中的职责,一般包括:
安全管理部门:政策制定者、检查与审计管理、技术导入者
业务部门:根据单位的业务职能划分
运维部门:运行维护、开发测试、生产支撑
四. 组织框架举例
以某政府部门的数据安全治理组织框架为例:
图1某政府部门的数据安全治理组织框架图
图2 某运营商的数据安全治理的相关组织和角色结构图
以某运营商搭建的数据安全治理组织框架为例:业务管理部门、信息安全部门、运维支撑部门,以及企业信息部、审计部组成的其他部门等都是直接接触数据的核心部门,无论是借助数据来开展正常的业务工作,还是对信息数据进行安全防护,亦或参与数据的测试、开发、共享和维护,都已经是肩负起了数据安全的保护义务和责任,这些受众的日常工作行为需要在既定的数据安全策略与规范下展开,遵从数据安全流程来共同参与数据安全的治理工作。
五. 结语
人或者团队是一切工作的核心,确定好数据安全治理的组织架构、角色分工,才能进一步明确权责,形成科学合理的管理秩序,继而保障数据安全治理工作可以井然有序的推进下去。
出师表
两汉:诸葛亮
先帝创业未半而中道崩殂,今天下三分,益州疲弊,此诚危急存亡之秋也。然侍卫之臣不懈于内,忠志之士忘身于外者,盖追先帝之殊遇,欲报之于陛下也。诚宜开张圣听,以光先帝遗德,恢弘志士之气,不宜妄自菲薄,引喻失义,以塞忠谏之路也。
宫中府中,俱为一体;陟罚臧否,不宜异同。若有作奸犯科及为忠善者,宜付有司论其刑赏,以昭陛下平明之理;不宜偏私,使内外异法也。
侍中、侍郎郭攸之、费祎、董允等,此皆良实,志虑忠纯,是以先帝简拔以遗陛下:愚以为宫中之事,事无大小,悉以咨之,然后施行,必能裨补阙漏,有所广益。
将军向宠,性行淑均,晓畅军事,试用于昔日,先帝称之曰“能”,是以众议举宠为督:愚以为营中之事,悉以咨之,必能使行阵和睦,优劣得所。
亲贤臣,远小人,此先汉所以兴隆也;亲小人,远贤臣,此后汉所以倾颓也。先帝在时,每与臣论此事,未尝不叹息痛恨于桓、灵也。侍中、尚书、长史、参军,此悉贞良死节之臣,愿陛下亲之、信之,则汉室之隆,可计日而待也。
臣本布衣,躬耕于南阳,苟全性命于乱世,不求闻达于诸侯。先帝不以臣卑鄙,猥自枉屈,三顾臣于草庐之中,咨臣以当世之事,由是感激,遂许先帝以驱驰。后值倾覆,受任于败军之际,奉命于危难之间,尔来二十有一年矣。
先帝知臣谨慎,故临崩寄臣以大事也。受命以来,夙夜忧叹,恐托付不效,以伤先帝之明;故五月渡泸,深入不毛。今南方已定,兵甲已足,当奖率三军,北定中原,庶竭驽钝,攘除奸凶,兴复汉室,还于旧都。此臣所以报先帝而忠陛下之职分也。至于斟酌损益,进尽忠言,则攸之、祎、允之任也。
愿陛下托臣以讨贼兴复之效,不效,则治臣之罪,以告先帝之灵。若无兴德之言,则责攸之、祎、允等之慢,以彰其咎;陛下亦宜自谋,以咨诹善道,察纳雅言,深追先帝遗诏。臣不胜受恩感激。
今当远离,临表涕零,不知所言。
数据安全治理——发挥主导作用的组织与受众
数据安全治理——发挥主导作用的组 织与受众 引言:数据安全治理是由组织中分工明确的人来主导实施的一项系统性工程。该项工作得以良好运作有赖于三大要素:人员组织、策略流程和技术工具。 一. 数据安全治理机构 数据安全治理工作的展开首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。 通常,我们可以将成立的机构称之为“数据安全治理委员会”或“数据安全治理小组”,该机构并非传统意义上的实体机构,属于一个虚拟的机构,机构成员由数据的利益相关者和专家构成,这里之所以称之为利益相关者,是因为这些人可能不仅仅是数据的使用者,也是数据本身的代表者(比如用户),数据的所有者,数据的责任人。 数据安全治理委员会或数据安全治理小组这个机构本身既是安全策略、安全规范和安全流程的制定者,也是安全策略、规范和流程的受众。 在DGPC 框架中这个机构一般称之为DGPC 团队,或者叫Data Stewards,这个团队的职责是:This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management. ①制定数据分类、保护、使用、管理的原则 ②制定数据分类、保护、使用、管理的策略 ③制定数据分类、保护、使用、管理的流程 这个团队的构成是:IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.(IT、人资、法务、财务、业务和市场部门等所有与人、知识产权、私密信息相关的部门)
信息安全管理机构
信息安全管理机构 1.组织架构 中国文联文艺资源中心为适应单位发展,促进和加强信息化建设,确保信息化网络和设备安全、稳定运行,组织成立了信息化领导小组,信息化领导小组是信息安全管理的最高管理层,单位各相关部门负责日常管理工作。中国文联文艺资源中心员工需遵守相关的管理制度,配合信息安全检查工作。 2.信息安全管理组织结构图 3.信息安全机构管理职责 3.1.信息化领导小组 信息化领导小组的最高领导由单位主管领导委任或授权。成员有:
委员会主任:向云驹 委员会副主任:冉茂金、彭宽 信息化领导小组职责(信息安全领导小组/信息安全工作委员会): (1)负责指导和管理信息化建设和信息安全工作。 (2)负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。 3.2.应急领导小组 信息化领导小组下设应急领导小组。其成员包括: 组长:向云驹 副组长:冉茂金、彭宽 下设领导小组办公室: 下设领导小组办公室:由中国文联文艺资源中心综合部和各业务部门负责人组成。 应急领导小组职责: (1)拟订或者组织拟订中国文联文艺资源中心应对信息安全突发事件的工作规划和应急预案并组织实施。 (2)督促检查各处室应急预案的执行情况,并给予指导。 (3)督促技术部信息安全突发事件监测、预警工作情况,并给予指导。 (4)汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。(5)监督检查、协调指导技术部及各部门信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。 (6)组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,并督促落实。
信息安全管理组织机构设置及工作职责
信息安全管理组织机构设置及工作职责 一.组织机构 1.1公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4信息安全工作组的主要职责包括: 1.4.1贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 1.4.2根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 1.4.5组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 1.4.6负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 1.4.7及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5应急处理工作组的主要职责包括: 1.5.1审定公司网络与信息系统的安全应急策略及应急预案; 1.5.2决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3每年组织对信息安全应急策略和应急预案进行测试和演练。
数据安全治理三步走之三:数据安全稽核与风险预警
数据安全治理三步走之二: 数据安全稽核与风险预警在有效的数据梳理及严格的数据管控基础上,我们还需要有效地对数据的访问行为进行日志记录,对收集的日志记录进行定期地合规性分析和风险分析。本文对数据安全稽核的策略、风险与挑战以及技术支撑三个方面进行详细说明。 一. 定期的稽核策略 定期的稽核是保证数据安全治理规范落地的关键,也是信息安全管理部门的重要职责,包括: A、合规性检查:确保数据安全使用政策被真实执行; B、操作监管与稽核:主要针对数据访问账号和权限的监管与稽核;要具有账号和权限的报告;要具有账号和权限的变化报告;业务单位和运维部门数据访问过程的合法性监管与稽核;要定义异常访问行为特征;要对数据的访问行为具有完全的记录和分析; C、风险分析与发现:对日志进行大数据分析,发现潜在异常行为;对数据使用过程进行尝试攻击,进行数据安全性测试。 二. 数据安全的稽核和风险发现挑战 2.1 如何实现对账号和权限变化的追踪 定期地对账号和权限变化状况进行稽核,是保证对敏感数据的访问在既定策略和规范内的关键;但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。
2.2 如何实现全面的日志审计 在新的网络安全法出台后全面的数据访问审计要求,日志存储最少保留6个月;在新的等保中要求,云的提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑,1000 亿数据以上的存储、检索与分析能力上,均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。 2.3 如何快速实现对异常行为和潜在风险的发现与告警 数据治理中,有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模,是海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。 三. 数据安全稽核的技术支撑 3.1 数据审计技术 数据审计的目标是对所有的数据访问行为进行记录,对危险行为进行告警,提供数据访问报表,提供对数据的检索和分析能力;数据审计技术是对工作人员行为是否合规进行判定的关键;数据审计技术主要是基于网络流量分析技术、高性能入库技术、大数据分析技术和可视化展现技术: 图14 数据审计技术
XXXX医院信息安全管理组织机构及岗位职责
XXXX医院信息安全管理组织机构及岗位职责 为规范我院信息安全管理工作,建立信息安全工作管理体系,需建立健全相应的组织管理体系,以推动医院信息安全工作的开展。 1、我院的医院信息化工作领导小组,是信息安全的最高决策机构,日常机构设立在医院微机中心,负责信息安全的日常事务。 2、信息化工作领导小组负责研究重大事件,落实方针政策和制定总体策略等。主要职责: 根据国家和行业有关信息安全的政策、法律和法规,批准医院信息化安全总体策略规划、管理规范和技术标准; 确定医院信息安全各有关部门工作职责,指导、监督信息安全工作。 3、微机中心具体负责医院信息安全工作和应急处理工作,主要工作包括:执行医院信息化工作领导小组的决议,协调和规范医院信息安全工作;根据信息化工作领导小组的工作部署,对信息安全工作进行具体安排、落实;组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和相关科室的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 负责接受各部门的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 及时向信息安全工作领导小组和上级有关部门报告信息安全事件。组织信息安全知识的培训和宣传工作。 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 定期组织对信息安全应急策略和应急预案进行测试和演练。 4、设置信息系统的关键岗位并加强管理。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 系统管理员主要职责有: 负责系统的运行管理,实施系统安全运行细则; 严格用户权限管理,维护系统安全正常运行; 认真记录系统安全事项,及时向信息安全人员报告安全事件;
数据安全治理——数据安全的必由之路
数据安全的必由之路:数据安全治理引言:企业转型,对中国大量成长型企业而言,其转型的过程就是完成从创业到成长,从成熟到规范成熟的企业生命体的进化。其本质就是企业从单一产品和简单环节的低级或初级的价值创造状态,向组合产品以及多环节整合的高级的价值创造状态的转变和进化。这是面对市场经济的迅速发展及行业成熟规律下企业的自然行为与必然选择。2017年,安华金和加快从数据库安全厂商向数据安全治理产品和服务提供商转型的步伐,致力于在数据安全治理领域大刀阔斧,开创全新领地。 数据治理或者数据安全在大多数安全从业者的印象中是比较熟悉的概念,但数据安全治理却似乎是个新名词。实际上,对于拥有重要数据资产的企业或政府部门,在数据安全治理方面或多或少都有实践,只是尚未系统化的实行。比如运营商行业的客户数据安全管理规范及其落地的配套管控措施,一些政府部门的数据分级分类管理规范;在国外由Microsoft 提出的DGPC(Data Governance for Privacy Confidentiality and Compliance)框架也是专门的面向数据安全治理的管理和技术框架。接下来我们将把数据安全理念分成四篇系列文章,有侧重的,相对系统化地加以阐述。 1. 数据安全治理概论 2. 数据安全治理的组织和受众 3. 数据安全治理的策略与流程 4. 数据安全治理的技术支撑框架 5. 数据安全治理小结 今天这篇文章,我们对“数据安全治理”概论做个认知。 一. 愿景 数据安全治理的愿景。在这里,笔者首先要强调的是数据安全治理的目标是——数据安全使用。我们不谈脱离了“使用”的安全,数据存在的目的就是为了使用,如果不是基于这个前提去谈安全,最终有可能产生无法落地的情况,或者即使落地,效果也会差强人意。 1.1 数据安全治理概论 数据安全治理的概念——数据安全治理是以数据的安全使用为目的的综合管理理念。 三个需求目标:
大数据在安全应急管理中的应用思路
大数据在安全应急管理 中的应用思路 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】
大数据在安全生产应急管理中的应用思路 比尔·盖茨曾经说过:“个人用户的内存只需640K足矣”,托马斯·沃森的言论则更是惊人:“全世界只需要5台电脑就足够了”。而这些话仅仅只过去了几十年,就已经沦为最大的笑话。同时,数据相关技术的发展也已经走过了3个重要的时代: 从上图中,我们看到了一个有意思的现象,在具体的数据模式上,环境和需求驱动技术,没有绝对的先进和落后,就仿佛经历了一个轮回之后,再回到原点。 个人计算和集中式计算 个人计算:在网络不发达环境,个人计算机迅猛发展;直到CPU主频难以提高,摩尔定律正走向终结。 集中式计算:在网络发达的环境,通过集中的云计算中心为客户端提供计算能力。 分布式数据管理和集中式数据管理 分布式管理:在网络不发达环境,采用分布式数据管理,数据同步和一致性问题导致业务系统非常复杂,业务互通困难,且数据非常分散。 集中式管理:在网络发达的环境,通过集中的数据中心提供统一存储,形成数据的全局视图,简化业务系统的实现。 云计算改变了IT,而大数据则改变了业务,支撑大数据以及云计算的底层原则是一样的,即规模化、自动化、资源配置、自愈性。云计算是大数据的IT基础,大数据有云计算作为基础,才能高效运行。通过大数据的业务需求,为云计算的落地找到了实际应用。 而现在安全生产应急管理中最大的问题在于: 数据量较大:各类应用系统繁多,数据量庞大。 类型少:数据类型单一,绝大部分为关系型数据。 价值密度低:累计上报的结构化数据大都是间接性数据、可利用价值低。 时效性差:数据主要依赖企业按月、按季度报送。 技术屏障:安监部门获取重点监控高危(行业)企业实时动态数据的接入还存在着机制、技术等方面的问题。 无法快速处理:实时动态数据的实时处理和分析缺少平台支撑。 数据源单一:互联网、社交网络中安全生产相关信息(数据)的抓取机制欠缺。 难以共享:整个“大安全”框架下,安监部门与气象、国土、地震、交通、公安、工商、质监、消防、城管等诸多部门的信息(数据)共享机制有待建立。 难以互联:各级安监部门的内部以及上下级之间的互联互通还未建立。 针对以上问题,最关键的词其实就是一个:“统一”。而且要从基础、技术、业务全方位地进行统一。 实现基础设施的统一管理,集约化整合利用已有资源。构建统一的运维体系和标准,建立一支高效的运维队伍。 实现信息集成和数据交换共享,整合异构数据、结构化数据、非结构化数据、实时数据、空间数据等,构建公共的数据共享中心。实现业务集成,集成已有应用系统、其它部委系统、第三方系统,形成跨系统的业务流、产品流、数据流,构建互联互通的信息通道,形成公共的服务中心。 构建系统研发平台,提供一体化系统技术框架,基于组件和服务可快速构建应用,加速研发过程。构建系统支撑平台,提供应用系统运行所需的业务要素、基础代码、控制数据、流程、规则、权限控制等。 可在国家、省级和市级,形成多个集中云服务中心,实现多级信息集中和共享。既减少了系统复杂性,也提高系统的可用性。多服务中心间基础数据同步由应用支撑平台处理,应用不需要关
网络及信息安全管理组织机构设置及工作职责.docx
网络与信息安全管理组织机构设置及工作职责一、网络与信息安全责任人: 1. 网络与信息安全第一责任人:企业 法定代表人姓名;工作职责为:对机构内的信息安全工作负有领 导责任;联系方式:电话及邮箱。(联系电话应为本人常用、真实 有效的手机号码,可抽测。) 2.网络与信息安全责任人:分管信息安全工作的负责人姓名;工作职责为:对企业内信息安全工作负有直接领导责任。联系方式:电话及邮箱。(联系电话应为本人常用、真实有效的手机号码,可抽测。)(上述两项请全部填写)二、网络与信息安全管理组织机 构设置及工作职责 1.企业需设置或指定网络与信息安全主管部门(如信息安全领导小组、信息安全工作组、信息安全部等),负责本企业网络与信息安全 相关工作;企业网络与信息安全管理组织架构:包括主管部门、相关 配合部门; 2.网络与信息安全管理机构职责(包括但不限于下述内容,要对公 司实际制度建立和管理情况进行简述):( 1)建立健全网络与信息 安全规章制度,以及各项规章制度执行情况监督检查;( 2)开展网 络与信息安全风险监测预警和评估控制、隐患排查整改工作;( 3) 建立健全网络与信息安全事件应急处置和上报制度,以及组 织开展应急演练;( 4)建立健全从业人员网络与信息安全教育培 训以及考核制度;( 5)违法有害信息监测处置制度和技术手段建 设;( 6)建立健全用户信息保护制度。 3.对于申请 IDC/ISP( 开展网站接入业务的)企业,在许可证申请 完成后,开展业务前,企业的 IDC/ISP 信息安全管理系统需与我局IDC/ISP 信息安全管理系统进行对接,并且按照《工业和信息化部办 公厅关于印发《互联网信息安全管理系统使用及运行维护管理办法 (试行)》(工信厅网安(2016)135 号)要求,制定本企业 IDC/ISP 信息安全管理系统的运行维护管理办法。 网络与信息安全一、网络与信息安全管理人员配备情况及相应资质请按照下表内容在系统管理人员配备情上填写相关文字信息: 况及相应资质网络与信息安全管理人员配备情况表 责任人 第一责任人( 公司法人 /总经理)姓名身份联系归属工作全职/资质证号方式部门内容兼职情况 (手 机)
信息安全管理简要概述
第六章信息安全管理 第一节信息安全管理概述 一、信息安全管理的内容 1、什么信息安全管理? 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。 2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径; 建设信息安全组织机构,设置岗位、配置人员并分配职责; 实施信息安全风险评估和管理;制定并实施信息安全策略; 为实现信息安全目标提供资源并实施管理; 信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。 3、信息安全管理的基本任务 (1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施 (4)信息安全工程项目管理(5)资源管理 ◆(1)组织机构建设 ★组织应建立专门信息安全组织机构,负责: ①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算 ③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度 ⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查 ⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查 ⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理 ⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作 ★组织应设立信息安全总负责人岗位,负责: ①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定 ③提出信息安全年度工作计划④总协调、联络 ◆(2)风险评估 ★信息系统的安全风险 信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 ★信息安全风险评估 是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 ★信息系统安全风险评估的总体目标是: 服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。 ★信息系统安全风险评估的目的是: 认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。 ★信息安全风险评估的基本要素 使命:一个单位通过信息化实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依靠程度。 资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 价值:资产的重要程度和敏感程度。 威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、
大数据安全保障措施
(一)数据产生/采集环节的安全技术措施 从数据安全角度考虑,在数据产生/采集环节需要实现的技术能力主要是元数据安全管理、数据类型和安全等级打标,相应功能需要内嵌入后台运维管理系统,或与其无缝对接,从而实现安全责任制、数据分级分类管理等管理制度在实际业务流程中的落地实施 1、元数据安全管理 以结构化数据为例,元数据安全管理需要实现的功能,包括数据表级的所属部门、开发人、安全责任人的设置和查询,表字段的资产等级、安全等级查询,表与上下游表的血缘关系查询,表访问操作权限申请入口。完整的元数据安全管理功能应可以显示一个数据表基本情况,包括每个字段的类型、具体描述、数据类型、安全等级等,同时显示这个数据表的开发人、负责人、安全接口人、所属部门等信息,并且可以通过这个界面申请对该表访问操作权限。 2、数据类型、安全等级打标 建议使用自动化的数据类型、安全等级打标工具帮助组织内部实现数据分级分类管理,特别是在组织内部拥有大量数据的情况下,能够保证管理效率。打标工具根据数据分级分类管理制度中定义的数据类型、安全等级进行标识化,通过预设判定规则实现数据表字段级别的自动化识别和打标。下图是一个打标工具的功能示例,显示了一个数据表每个字段的数据类型和安全等级,在这个示例中,“C”表示该字段的数据类型,“C”后面的数字表示该字段的安全等级。
数据类型、安全等级标识示例 (二)数据传输存储环节的安全技术措施 数据传输和存储环节主要通过密码技术保障数据机密性、完整性。在数据传输环节,可以通过HTTPS、VPN 等技术建立不同安全域间的加密传输链路,也可以直接对数据进行加密,以密文形式传输,保障数据传输过程安全。在数据存储环节,可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。 (三)数据使用环节的安全技术措施 数据使用环节安全防护的目标是保障数据在授权范围内被访问、处理,防止数据遭窃取、泄漏、损毁。为实现这一目标,除了防火墙、入侵检测、防病毒、防DDoS、漏洞检测等网络安全防护技术措施外,数据使用环节还需实现的安全技术能力包括: 1、账号权限管理 建立统一账号权限管理系统,对各类业务系统、数据库等账号实现统一管理,是保障数据在授权范围内被使用的有效方式,也是落实账号权限管理及审批制度必需的技术支撑手段。账号权限管理系统具体实现功能与组织自身需求有关,除基本的创建或删除账号、权限管理和审批功能外,建议实现的功能还包括:一是权限控制的颗粒度尽可能小,最好做到对数据表列级的访问和操作权限控制。二是对权限的授予设置有效期,到期自动回收权限。三是记录账号管理操作日志、权限审批日志,并实现自动化审计;日志和审计功能也可以由独立的系统完成。 2、数据安全域 数据安全域的概念是运用虚拟化技术搭建一个能够访问、操作数据的安全环境,组织内部的用户在不需要将原始数据提取或下载到本地的情况下,即可以完成必要的查看和数据分析。原始数据不离开数据安全域,能够有效防范内部人员盗取数据的风险。图7 是数据安全域的拓扑结构示例,数据安全域由一个虚拟机集群组成,与数据库服务器通过网关连接,组织内部用户安装相应的终端软件,可以通过中转机实现对原始数据的访问和操作。
数据安全设计处理方案
数据安全处理设计方案 一、说明: 为保证税务数据的存储安全,保障数据的访问安全,对数据库的用户采取监控机制,分布式处理各种应用类型的数据,特采取三层式数据库连接机制。 二、作用机理: 1、对于整个系统而言,均采用统一的用户名称、用户密码进行登陆。 这个阶段的登陆主要用于获取数据库的对应访问用户、密码及其对应访问 权限。 2、登陆成功后,读取用户本地机的注册信息、密码校验信息,然后 到通用用户对应的数据表中去读取对应的记录。该记录主要为新的用户名 和密码。 3、获取对应权限、用户和密码后,断开数据库连接,然后按新的数 据库用户和密码进行连接。 4、连接成功后,开始个人用户的登陆。 三、核心内容: 该安全方案的核心内容为:三层式数据访问机制、数据加密处理机制。 三层式数据访问机制的内容: 第一层:通用用户方式登陆。对于通用用户而言,所有用户均只有一个表的访问权限,并且对该表只能读取和修改。 第二层:本地注册(或安装)信息的读取和专用数据库用户密码的对应获取。根据安装类型,获取对应的(数据库)用户和密码,此用户一般有多个表的操作权限。 第三层:断开通用连接,以新的用户和密码进行登陆。登陆成功后,再用个人用户帐号和密码进行登陆处理。 数据加密处理机制主要对数据库的访问密码和个人密码进行加密处理。采用当
前较为流行的基数数据加密机制,主要方式为:采用数据基数数组方式进行加密与解密。变动加解密机制时,只需修改对应的基数位置或基数值即可。实现方式简单方便,而解密则极为困难。 四、 数据库设计: 系统主要涉及到的数据库为用户登陆数据库表。这张表与数据库的使用用户表数据内容类似,主要保存类用户信息。 其主要结构为: 五、 程序流程设计: Y
信息安全管理组织机构及岗位职责
信息安全管理组织机构及岗位职责. 组织机构 1.1 公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。 1.2 信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准; 确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 1.3 信息安全领导小组下设两个工作组: 信息安全工作组、应急处理工作组。组长均由公司负责人担任。 1.4 信息安全工作组的主要职责包括: 1.4.1 贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作 1.4.2 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 1.4.3 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 1.4.4 负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行 1.4.5 组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 1.4.6 负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施
1.4.7 及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 1.4.8 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 1.5 应急处理工作组的主要职责包括: 1.5.1 审定公司网络与信息系统的安全应急策略及应急预案 1.5.2 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 1.5.3 每年组织对信息安全应急策略和应急预案进行测试和演练。 1.6 公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 . 关键岗位 2.1 设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.2 系统管理员主要职责有: 2.2.1 负责系统的运行管理,实施系统安全运行细则 2.2.2 严格用户权限管理,维护系统安全正常运行 2.2.3 认真记录系统安全事项,及时向信息安全人员报告安全事件 2.2.4 对进行系统操作的其他人员予以安全监督。 2.3 网络管理员主要职责有: 2.3.1 负责网络的运行管理,实施网络安全策略和安全运行细则 2.3.2 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
信息安全管理组织机构及岗位职责
一.组织机构 1.公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室, 负责信息安全领导小组的日常事务。 2.信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。 职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。 3.信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。 组长均由公司负责人担任。 4.信息安全工作组的主要职责包括: 1)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落 实; 3)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安 全总体策略规划,并监督执行; 4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统 工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全 风险的防范对策; 6)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原 因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 5.应急处理工作组的主要职责包括: 1)审定公司网络与信息系统的安全应急策略及应急预案; 2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障, 恢复系统;
3)每年组织对信息安全应急策略和应急预案进行测试和演练。 6.公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全 技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。 二.关键岗位 1.设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、 应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。 要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。 2.系统管理员主要职责有: 1)负责系统的运行管理,实施系统安全运行细则; 2)严格用户权限管理,维护系统安全正常运行; 3)认真记录系统安全事项,及时向信息安全人员报告安全事件; 4)对进行系统操作的其他人员予以安全监督。 3.网络管理员主要职责有: 1)负责网络的运行管理,实施网络安全策略和安全运行细则; 2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运 行; 3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向 信息安全人员报告安全事件; 4)对操作网络管理功能的其他人员进行安全监督。 4.应用开发管理员主要职责有: 1)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的 准确实现; 2)系统投产运行前,完整移交系统相关的安全策略等资料; 3)不得对系统设置“后门”; 4)对系统核心技术保密等。 5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计 和监督,主要职能包括:
信息安全组织及岗位职责管理制度
信息安全组织及岗位职责管理制度 二零一八年八月 版本控制
第一章总则 第一条为加强公司等级保护保障工作的组织协调,建立健全等级保护管理制度和运行机制,切实提高公司等级保护保障工作水平,全面提高信息系统信息安全管理能力,根据《国家信息化领导小组关于加强信息安全保障工作的意见》、《GB/T22239-2008信息安全等级保护基本要求》等政策要求,特制定本制度。 第二条本规定依照信息安全管理的主要领导负责原则、全员参与原则、依法管理原则、分权和授权原则和体系化管理原则编制,具体原则为: (一)主要领导负责原则:确保公司主要领导参与并确立组织统一的信息系统信息安全保障宗旨和政策,组织有效的安全保障队伍,调动并优化配置必要的资源,协调安全管理工作与各部门工作的关系,并确保其落实、有效; (二)全员参与原则:信息系统所有相关人员普遍参与信息系统的安全管理,并与相关方面协同、协调,共同保障信息系统的安全; (三)依法管理原则:信息系统信息安全管理工作应保证管理主体合法、管理行为合法、管理内容合法、管理程序合法; (四)分权和授权原则:对特定职能或责任领域的管理功能实施分离、独立审计等实行分权,避免权力过分集中所带来的隐患,以减小未授权的修改或滥用系统资源的机会。任何实体(如用户、管理员、进程、应用或系统)仅享有该实体需要完成其任务所必须的权限,不应享有任何多余权限。
(五)体系化管理原则:信息系统应符合信息安全相关政策的体系化管理目标和要求。 第三条本规定适用于公司。 第二章组织目标 第四条本制度旨在实现信息安全管理组织的以下目标: (一)管理组织内的信息系统安全保护工作; (二)管理外部组织访问组织内信息处理设施和信息资产的安 全。 第三章安全管理组织架构 第五条为加强对公司信息安全管理工作的领导,贯彻落实监管部门的信息安全保护要求,经研究决定成立公司信息安全管理委员会。 第六条信息安全管理委员会为公司信息安全工作的最高管理机构。 第七条由公司副总经理担任信息安全管理委员会主席,成员包括: (一)生产技术部主管领导; (二)各部门主管领导。 第八条生产技术部是信息安全管理工作的执行机构,负责执行信息安全管理委员会交办的各项工作,由生产技术部总经理担任负责人,成员包括:
企业网络与信息安全管理组织架构
企业网络与信息安全管理组织构架 公司成立信息安全领导小组,是信息安全的最高决策机构,下设负责信息安全领导小组的日常事务。 二、信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括: 1.根据国家和行业有关信息安全的政策、法律和法规; 2.批准公司信息安全总体策略规划、管理规范和技术标准; 3.确定公司信息安全有关部门工作职责,指导、监督信息安全工作。 二、信息安全领导小组下设两个工作组: 1.信息安全工作组于海峰负责、 2.应急处理工作组张会负责。 3.组长均由公司负责人郑建国担任。 三、信息安全工作组的主要职责包括: 1.贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2.根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3.组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行; 4.负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5.组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6.负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 7.及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 8.跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。 四、应急处理工作组的主要职责包括: 1.审定公司网络与信息系统的安全应急策略及应急预案;
2.决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 3.每年组织对信息安全应急策略和应急预案进行测试和演练。 五、公司指定分管信息的领导负责本单位信息安全管理,并配备信息安全相关人员对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
数据安全治理三步走之一:数据资产状况梳理
数据安全治理三步走之一: 数据资产状况梳理 数据安全治理是以“数据安全使用”为目标的综合管理理念,具体实现数据安全保护、敏感数据管理与合规性三个需求;数据安全治理涵盖数据的分类、梳理、管控与审计四大重要环节。由于数据的分级分类根据不同行业特点有着显著的区别,缺乏普遍性,所以笔者将在后续的文章中针对不同行业的数据分级分类进行说明,本系列文章将主要对数据的梳理、安全管控与稽核进行深入的说明。 本文从数据资产状况梳理的需求、技术挑战以及技术支撑三方面进行详细的阐述。 一. 数据资产状况梳理需求 1.1 数据使用部门和角色梳理 在数据资产的梳理中,需要明确这些数据如何被存储,需要明确数据被哪些部门、系统、人员使用,数据被如何使用。对于数据的存储和系统的使用,往往需要通过自动化的工具进行;而对于部门和人员的角色梳理,更多是要在管理规范文件中体现。对于数据资产使用角色的梳理,关键是要明确在数据安全治理中不同受众的分工、权利和职责。 组织与职责,明确安全管理相关部门的角色和责任,一般包括: 安全管理部门:制度制定、安全检查、技术导入、事件监控与处理; 业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理; 运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理; 其它:第三方外包、人事、采购、审计等部门管理。 数据治理的角色与分工,需要明确关键部门内不同角色的职责,包括: 安全管理部门:政策制定者、检查与审计管理、技术导入者业务部门:根据单位的业务职能划分 运维部门:运行维护、开发测试、生产支撑
1.2 数据的存储与分布梳理 敏感数据在什么数据库中分布着,是实现管控的关键。 只有清楚敏感数据在什么库中分布,才能知道需要对什么样的库实现怎样的管控策略;对该库的运维人员实现怎样的管控措施;对该库的数据导出,实现怎样的模糊化策略;对该库数据的存储实现怎样的加密要求。 1.3 数据的使用状况梳理 在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制订这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。 图5某运营商对敏感系统分布的梳理结果
信息安全管理机构及岗位设置
1 总则 1.1 目的 为加强医院信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本制度。 1.2 适用范围 本制度适用于本院的信息安全组织机构和人员职责管理。 2 信息安全领导小组 2.1 本院成立信息安全领导小组,领导小组组长由分管本院信息工作的院长担任。领导小组是信息安全的最高决策机构。 2.2 信息安全领导小组下设信息安全工作组。 2.3 信息安全领导小组的职责主要包括: 1)根据国家和行业有关信息安全的政策、法律和法规,批准医本院信息安全总体决策规划、管理规范和技术标准; 2)确定本院信息安全各有关部门工作职责,指导、监督信息安全工作; 3)审定本院网络与信息系统的安全应急策略及应急预案; 4)决定相应应急预案的启动,负责现场指挥。 3 信息安全工作组 3.1 信息安全工作组组长由医院信息科负责人担任。 3.2信息安全工作组的主要职责包括: 1)贯彻执行医院信息安全领导小组的决议,协调和规范医院信息安全工作;
2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 3)组织对信息安全工作制度和技术操作策略的制定,拟订信息安全总体规划,制定近期和远期的安全建设工作计划并监督执行; 4)负责协调、督促各职能部门的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; 5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策; 6)采取相应应急措施,组织协调相关人员排除系统故障,恢复系统; 7)负责医院的紧急信息安全事件报告,组织事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施; 8)及时向信息安全工作领导小组和上级有关部门报告信息安全事件。 9)组织信息安全知识的培训和宣传工作。 10)每年组织对信息安全应急预案进行测试和演练。 4 信息安全人员基本要求 4.1 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。 4.2信息安全管理人应有计算机专业工作三年以上经历,具备专科以上学历。 4.3违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。 5 信息安全人员管理 5.1 信息安全人员的配备和变更情况,应向分管院长报告、备案。
数据安全治理白皮书
数据安全治理白皮书
目录 前言 (1) 一、概述 (3) 1.1数据治理概念 (3) 1.2数据安全治理 (3) 1.3XX数据安全治理 (4) 二、全球数据安全标准化情况 (5) 2.1数据安全标准化总体情况 (5) 2.2国内数据安全标准化概述 (5) 2.3国际数据安全标准化概述 (7) 三、XX数据安全治理组织框架 (10) 3.1数据安全治理组织框架概述 (10) 3.2数据安全治理需求 (11) 3.3数据安全组织机构 (14) 3.4数据安全治理规划 (15) 3.5数据安全治理工具 (19) 四、XX数据安全治理建设流程 (22) 4.1数据安全治理建设流程概述 (22) 4.2价值数据分析 (23) 4.3数据分类分级 (24) 4.4数据发现分布 (24) 4.5数据安全风险评估 (25) 4.6数据安全策略 (25) 4.7数据安全防护 (26) 4.8数据安全运维 (26) 五、XX数据安全治理建议 (27) 5.1数据安全分类分级为起点 (28) 5.2数据生命周期安全为主线 (28) 5.3合规性评估数据安全为支撑 (29) 5.4数据场景安全治理应用 (30) 六、XX数据安全技术框架 (31) 七、结束语 (32)
前言 随着信息化技术的快速发展,互联网应用增长迅猛,与之相伴的信息安全风险飚升,特别是“棱镜门”事件,引起全球大部分国家对信息泄漏的关注,进而激发对信息安全风险的进一步重视;无论是欧盟、美国,还是日本、俄罗斯、韩国等许多国家都从国家安全、社会稳定、企业和个人信息安全层面出台相应的法律、法规和管理要求,加强对信息安全,特别是数据安全的风险防范,如:欧盟的GDPR 和《Regulation “on a framework for the free flow of non-personal data in the European Union(非个人数据在欧盟境内自由流动框架条例)》。 我国在大数据、云计算、AI、IoT、5G 等新技术带动下的数字经济发展过程中,数据已经成为国家和企业的重要资产和战略资源,多来源多类型的数据集中整合与综合应用带来了爆发式增长,与此相伴的是数据过度采集和使用、数据泄漏等安全风险日益凸显;在严峻的国际信息安全和国内泄漏风险两方面同样面临明显挑战,无论从国家层面,还是行业监管层面都陆续出台法律、法规和管理要求,进一步引导和加强信息安全,特别是数据安全的风险防范。 本白皮书旨在系统性描述数据安全治理的通用性方法论,为业界提供数据安全治理需要考虑哪些方面、涉及哪些主要事项、工作开展逻辑和流程、XX信息在数据安全治理方面能够提供哪些服务等,寄希在数据安全治理落地时提供方法论指导;白皮书共分七个部分:第一部分是概述,主要对数据治理和数据安全治理间的关系进行阐述;第二部分是全球数据安全标准化情况,分别阐述国内和国外在数据安全方面的标准化情况,为阅读者提供对比和深入阅读的线索;第三部分是XX数据安全治理框架,分别从治理策略、组织机构、治理流程和治理工具四个方面对框架进行阐述;第四部分是XX数据安全治理建设,是在治理框架下具体说明数据安全治理的建设内容和步骤;第五部分是XX数据安全治理建议,是从XX实践的角度提出数据安全治理如何开展的建议;第六部分是XX数据安全技术防护体系,给出XX在数据安全方面能够提供什么样的服务和技术防护措施;第七部分是结束语。 浙江XX信息安全技术股份有限公司(简称“XX信息”),成立于2007 年,是国家规划布局内的重点软件企业,是新一代数据安全治理解决方案及服务提供商。总部位于杭州和北京,在上海、广州、深圳、南京、成都、济南等十多个区域设有分支机构,保障全国6 小时响应支撑服务。