数据安全治理的常见思路

数据安全治理通常分为资产梳理及分类分级、风险评估、建设能力等三个阶段,您可参考本文了解各阶段的具体目标。

数据安全治理通常会经历如下阶段。

image.png

阶段一:摸清家底

image.png

  1. 梳理资产摸清家底,产出《数据资产清单》。例如:

    • 本企业有哪些数据?服务哪些业务?

    • 数据存在哪里?数据量有多大?

    • 数据类型有哪些?

    • 数据负责部门、负责人是谁?

  2. 进行数据分级分类,产出《数据分级分类清单》。例如:

    • 根据企业的服务场景,确认业务分类。

    • 根据业务重要性,确认数据敏感级别。

阶段二:评估风险

image.png分别进行如下三项评估:

  • 合规风险评估:基于法律法规及国家标准,调研合规现状。梳理合规风险点,对标法律法规进行差距分析,产出《合规风险报告》。

  • 技术风险评估:基于数据全生命周期,调研技术现状。基于泄露风险(机密性)、篡改风险(完整性)、不可用风险(可用性)梳理技术风险点,产出《技术风险报告》。

  • 管理风险评估:基于组织架构、流程、规范,调研管理现状。基于法律法规对管理的要求梳理管理风险点,产出《管理风险报告》。

阶段三:建设能力

image.png

根据阶段二产出的评估报告,对如下三个体系进行建设:

  • 管理体系建设:着重对组织人员、制度流程、职责权力、资源分配、能力培训进行建设,最终产出各类机构、各类管理办法与规范。

  • 技术体系建设:基于数据全生命周期的识别、检测、防护、响应等安全技术设施,按实际需求部署各类安全防护产品。

  • 运营体系建设:定期评估风险与基线扫描,并进行日常与专项审计。同时,建立监控预警机制,落实风险事件应急处理,产出“数据安全运营成效评估指标”。