數據安全治理通常分為資產梳理及分類分級、風險評估、建設能力等三個階段,您可參考本文了解各階段的具體目標。
數據安全治理通常會經歷如下階段。
階段一:摸清家底
梳理資產摸清家底,產出《數據資產清單》。例如:
本企業有哪些數據?服務哪些業務?
數據存在哪里?數據量有多大?
數據類型有哪些?
數據負責部門、負責人是誰?
進行數據分級分類,產出《數據分級分類清單》。例如:
根據企業的服務場景,確認業務分類。
根據業務重要性,確認數據敏感級別。
階段二:評估風險
分別進行如下三項評估:
合規風險評估:基于法律法規及國家標準,調研合規現狀。梳理合規風險點,對標法律法規進行差距分析,產出《合規風險報告》。
技術風險評估:基于數據全生命周期,調研技術現狀。基于泄露風險(機密性)、篡改風險(完整性)、不可用風險(可用性)梳理技術風險點,產出《技術風險報告》。
管理風險評估:基于組織架構、流程、規范,調研管理現狀。基于法律法規對管理的要求梳理管理風險點,產出《管理風險報告》。
階段三:建設能力
根據階段二產出的評估報告,對如下三個體系進行建設:
管理體系建設:著重對組織人員、制度流程、職責權力、資源分配、能力培訓進行建設,最終產出各類機構、各類管理辦法與規范。
技術體系建設:基于數據全生命周期的識別、檢測、防護、響應等安全技術設施,按實際需求部署各類安全防護產品。
運營體系建設:定期評估風險與基線掃描,并進行日常與專項審計。同時,建立監控預警機制,落實風險事件應急處理,產出“數據安全運營成效評估指標”。
文檔內容是否對您有幫助?