数据安全治理通常分为资产梳理及分类分级、风险评估、建设能力等三个阶段,您可参考本文了解各阶段的具体目标。
数据安全治理通常会经历如下阶段。
阶段一:摸清家底
梳理资产摸清家底,产出《数据资产清单》。例如:
本企业有哪些数据?服务哪些业务?
数据存在哪里?数据量有多大?
数据类型有哪些?
数据负责部门、负责人是谁?
进行数据分级分类,产出《数据分级分类清单》。例如:
根据企业的服务场景,确认业务分类。
根据业务重要性,确认数据敏感级别。
阶段二:评估风险
分别进行如下三项评估:
合规风险评估:基于法律法规及国家标准,调研合规现状。梳理合规风险点,对标法律法规进行差距分析,产出《合规风险报告》。
技术风险评估:基于数据全生命周期,调研技术现状。基于泄露风险(机密性)、篡改风险(完整性)、不可用风险(可用性)梳理技术风险点,产出《技术风险报告》。
管理风险评估:基于组织架构、流程、规范,调研管理现状。基于法律法规对管理的要求梳理管理风险点,产出《管理风险报告》。
阶段三:建设能力
根据阶段二产出的评估报告,对如下三个体系进行建设:
管理体系建设:着重对组织人员、制度流程、职责权力、资源分配、能力培训进行建设,最终产出各类机构、各类管理办法与规范。
技术体系建设:基于数据全生命周期的识别、检测、防护、响应等安全技术设施,按实际需求部署各类安全防护产品。
运营体系建设:定期评估风险与基线扫描,并进行日常与专项审计。同时,建立监控预警机制,落实风险事件应急处理,产出“数据安全运营成效评估指标”。
反馈
- 本页导读 (1)