小白谈数据安全2
2022-3-15 00:49:19 Author: www.freebuf.com(查看原文) 阅读量:46 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

为什么需要构建数据安全制度管理体系

常言道,工欲善其事,必先利其器。对于一个组织而言,除了有标准的岗位职责,能够落实到实处。

还缺少体系化的指引。例如,笔者在多任务的调研中,就可以发现,大部分单位其实是有基础的信息安全管理制度,但是,对数据安全的制度体系构建,却常常不够重视或者直接忽略。

数据安全制度建设的对象和范围

主体对象是数据

言简意赅,我们制度体系的构建,首要的保护主体就是数据。

制度体系的范围

制度体系的设计框架和范围主要有以下几类

  • 通用数据安全保障(侧重基础安全、例如物理安全、安全计算环境等)
  • 数据全生命周期安全(采集、传输、存储、处理、共享、销毁)

数据安全制度的参考依据

为了更好的指导数据安全的日常工作,我们需要找一个榜样,去参照学习。

那什么是比较合适的参照对象呢?小白我整理了如下这些:

  • 数据安全的法律法规(《中华人民共和国数据安全法》、《个人信息保护法》等)
  • 数据安全相关的国家、行业标准(GBT 、YDT等文件)
  • 业界的最佳实践(金融行业数据分类分级等)

数据安全制度的编制架构

参照ISO 27001国际标准管理内容,可结合单位网络安全管理现状,形成由政策方针、制度规范、操作指南、记录表单等分级、安全的管理制度结构。

数据安全制度的生命周期

其实与其说是数据安全制度的生命周期,倒不如说常规制度的生命轨迹亦如是。

正常的制度都会经历下列的过程,从0到1,从有到持续优化。

主要可以概括为:

  • 制度需求产生,编制
  • 制度的多方参考,审核
  • 制度的最终定稿,发布
  • 制度的可执行性,优化(根据实际情况进行制度优化)

数据安全制度建设的思考

虽然制度体系总体框架是已经拟定好了,但还是会有一些需要考虑的问题:

  1. 数据的流转是否清晰
  2. 是否确定了数据安全制度的使用对象和业务场景
  3. 制度编制是否相关方也有参与
  4. 数据安全制度的执行力度
  5. 数据安全制度的标准框架

数据安全制度建设的建议

  1. 前期的数据安全调研很重要
  2. 制度建设需要考虑数据的流转(业务连续性)
  3. 制度执行程度(需搭配内审内控进行常态化的验证)
  4. 常见的架构如下图


感恩大家的观看,那么今天就到这里哈。

我会继续分享我的一些想法的,再次感谢。


文章来源: https://www.freebuf.com/articles/neopoints/324775.html
如有侵权请联系:admin#unsafe.sh