数据安全管理是指企业分析信息系统环境中数据的保密性、完整性和可用性等方面所面临的安全问题,分析数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响,围绕这些问题所开展数据采集、存储、使用、加工、传输、提供、公开等数据处理时采取的一系列安全管理活动。数据安全管理不仅涉及制度策略、技术实施和管理规则,还包括法律、政策和组织行为的综合考量,通过体系化层面建设来保护数据不被未授权访问、泄露、破坏或丢失,确保数据的完整性、可用性以及保密性等安全特性,满足个人信息保护和数据保护的法律法规、标准等要求。
实施数据安全管理时企业通过运用可信身份认证、数据签名、接口鉴权、数据溯源等数据安全新技术,强化对数据资源、数据产品的安全防护,提高数据安全管理的能力。数据整个生存周期的安全管理包括以下几个阶段:
(1)数据采集阶段的安全管理
基于法律法规以及业务需求,建立元数据管理体系,实现对组织内元数据的集中管理。
确定组织内部的数据分类分级方法,对生成或采集的数据进行分类分级标识。
在采集外部客户、合作伙伴等相关方数据的过程中,应明确采集数据的目的和用途,确保满足数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性、一致性。
对产生数据的数据源进行身份鉴别和记录,防止数据仿冒和数据伪造。
建立组织的数据质量管理体系,保证对数据采集过程中收集或产生的数据的准确性、一致性和完整性。
(2)数据传输阶段的安全管理
根据数据传输的要求,采用适当的加密保护措施,保证传输通道、传输节点和传输数据的安全,防止传输过程中的数据泄露。
通过网络基础设施及网络层数据防泄露设备的备份建设,实现网络的高可用性,从而保证数据传输过程的稳定性。
(3)数据存储阶段的安全管理
根据实际的应用场景,提供有效的技术和管理手段,防止对存储媒体(包括终端设备和网络存储)的不当使用而可能引发的数据泄露风险。
基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全控制。
通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。
(4)数据处理阶段的安全管理
根据相关法律法规、标准的要求以及业务需求,制定相应的规则,对敏感数据进行脱敏处理,平衡数据的可用性和安全性。
采取适当的安全控制措施,防范数据挖掘、分析过程中有价值信息和个人隐私泄露的安全风险。
参照相关的法律法规,建立数据使用过程中的责任机制、评估机制,保护国家秘密、商业秘密和个人隐私,防止数据资源被用于不正当目的。
为数据处理环境建立安全保护机制,提供统一的数据计算、开发平台,确保数据处理过程中有完整的安全控制管理和技术支持。
在数据的导入导出过程中,防止对数据自身的可用性和完整性造成损害,降低可能存在的数据泄露风险。
(5)数据交换阶段的安全管理
在向组织内部的数据需求方提供数据时,应执行共享数据的安全风险控制,以降低数据共享场景下的安全风险。
在对外部组织发布数据的过程中,通过对发布数据的格式、适用范围、发布者与使用者权利和义务执行的必要控制,以实现数据发布过程中数据的安全可控与合规。
通过建立组织的对外数据接口的安全管理机制,防范组织数据在接口调用过程中的安全风险。
(6)数据销毁阶段的安全管理
通过建立针对数据的删除、净化机制,实现对数据的有效销毁,防止因对存储媒体中的数据进行恢复而导致的数据泄露风险。
通过建立对存储媒体安全销毁的规程和技术手段,防止因存储媒体丢失、被窃或未授权的访问而导致存储媒体中的数据泄露的安全风险。
对于推进数据资产化的组织来说,不仅需要明确数据整个生存周期每个阶段的安全管理要求,还需要建立通用的安全管理制度和流程,具体包括:
左上角“海纳数智研究院”,感谢您的关注!
