“ 可信数据空间的前提是安全的数据治理体系。”
今天我们把2024年还没做完的作业赶紧赶完,哈哈。
前几天一直在说可信数据空间,但是在数据从企业出来,进入到行业或者通用的数据空间之前,还是需要先进行治理,而治理的一个横向的重要的领域就是数据安全,今天我们来一起学习一下中关村网络安全与信息化产业联盟的《数据安全治理白皮书》,2024年是6.0版本。
我们来看一下目录。
02 数据安全领域
——————————————————
从第二章,我们可以看到,数据安全治理主要涉及的领域包括如下几块:
1.数据分类分级
2.个人信息保护
3.数据安全风险和认证及审查 --这里原文是三部分,但是从相对其他部分,这三块关联性强,我觉得可以归到一起。
4.数据出境安全
这里明显可以看出,分类分级和个人数据保护是重要的两个领域。
分类分级这块我们以前也有关注:国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第三部分
个人信息保护也有一些:[法规规划]大模型时代的个人数据保护问题
03 安全治理框架
——————————————————
第三部分,安全治理框架内容是最多的。
我们看看白皮书是如何介绍数据安全治理框架的。
整个框架里,数据分类分级与敏感个人信息识别通过对数据资产的发现、理、备案,明确数据保护对象,是开展差异化、动态化安全治理的前提。
组织架构和数据安全管理制度体系构建治理人员组织及系列管理制度,是开展多元化安全治理工作的先导。
数据安全技术体系面向数据全生命周期和数据处理活动落实安全技术需求与工具支撑。
数据安全运营体系通过开展常态化的安全运维,将管理和技术体系进行有效衔接,实现持续化防护,通过管理、技术、运营体系三位一体、有机融合,形成以动态数据安全管控策略为中心,以管理体系为驱动,以运营体系为纽带、以技术体系为落地支撑的治理核心。
数据安全监督评价体系则是指对数据安全治理情况进行总体的监督、核与评价,从而有效促进组织的治理水平提升。
在框架设计后,首要的还是分类分级。
不过白皮书在这部分的内容略显单薄
这个流程的各个步骤细节我们就不多说了,之前也都有过很多介绍。
然后是组织架构和技术和运营体系。
这个管理办法的体系大家倒是可以借鉴,用来构建自己公司的管理体系。
同样,安全运营体系也有参考价值。
白皮书建议的整体建设思路如下
数据安全治理规划建设分为三个阶段建设:
基础阶段-基础防护建设,主要以咨询服务为主,包括资产管理、数据分类分级、安全评估、管理制度建设、安全策略建设、方案规划。
优化阶段-策略优化及能力提升建设,主要以产品为主,依据管理流程和安全策略部署自动化防护工具,解决业务风险。
运营阶段-数据安全管控平台建设,主要基于管理流程、安全策略、业务场景和防护积累的经验形成行为特征库、安全事件知识库、结合业务场景的积累,形成风险分析模型,建立数据安全管控平台有监测、有预警、有管理、有控制、有审计、有运维、可感知。
可以采取迭代式的建设思路
在数据安全治理实践中,一次性建立完整的数据安全体系存在方案复杂、投入高、周期长,见效慢效果不可控等问题,且各单位数据安全建设基础情况不一,可循序渐进地开展数据安全治理建设工作。
组织需坚持以业务数据资产为核心,数据安全治理体系的建设可划分为多个阶段,并将管理+技术+运营的建设思想贯穿在每一个阶段的建设任务中,"快速达成阶段性目标,再由前一个阶段的建设成果指导下一个阶段的建设目标,通过“小步快跑,不断迭代”的方式,横向形成应用全面纳管纵向持续优化防护策略,逐步建成数据安全闭环管控体系。
有兴趣看白皮书原文的,在公众号后台发送 0114 即可下载。
*** 历史文章分类推荐
——————————————————
数据概念
法规规划
方案实操
公共数据
清华数据大讲堂系列
—————————————————————————
数据资产化,鼹鼠哥与你一起。
欢迎大家公众号后台留言,或者后台回复“进群”,进群一起聊。
