数据安全治理实践路线(下)

news2024/12/26 21:43:22

数据安全运营阶段通过不断适配业务环境和风险管理需求,持续优化安全策略措施,强化整个数据安全治理体系的有效运转。

数据安全运营

1. 风险防范
数据安全治理的目标之一是降低数据安全风险,因此建立有效的风险防范手段,对于预防数据安全事件发生有重要作用,可以从数据安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。

数据安全策略制定。一方面,根据数据全生命周期各项管理要求,制定通用安全策略,另一方面,结合各业务场景安全需要,制定针对性的安全策略。通过将通用策略和针对性策略结合部署,实现对数据流转过程的安全防护。

数据安全基线扫描。基于面临的风险形势,定期梳理、更新相关安全规范及安全策略,并转化为安全基线,同时直接落实到监控审计平台进行定期扫描。安全基线是组织数据安全防护的最低要求,各业务的开展必须满足。

数据安全风险评估。通过将日常化定期开展的数据安全风险评估结果与安全基线进行对标,发现不满足基线要求的评估项,再通过改进业务方案或强化安全技术手段的方式实现风险防范。

2. 监控预警
数据安全保护以知晓数据在组织内的安全状态为前提,需要组织在数据全生命周期各阶段开展安全监控和审计,以实现对数据安全风险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风险点进行防控,从而降低数据安全风险。

态势监控。根据数据全生命周期的各项安全管理要求,建立组织内部统一的数据安全监控审计平台,对风险点的安全态势进行实时监测。一旦出现安全威胁,能够实现及时告警及初步阻断。

日常审计。针对账号使用、权限分配、密码管理、漏洞修复等日常工作的安全管理要求,利用监控审计平台开展审计工作,从而发现问题并及时处置。审计内容包括但不限于下表所示内容。

表--日常审计项目示例 

专项审计。以业务线为审计对象,定期开展专项数据安全审计工作。审计内容包括数据全生命周期安全、隐私合规、合作方管理、鉴别访问、风险分析、数据安全事件应急等多方面内容,从而全面评价数据安全工作执行情况,发现执行问题并统筹改进。

3. 应急处理
一旦风险防范及监控预警措施失效,导致发生数据安全事件,组织应立即进行应急处置、复盘整改,并在内部进行宣贯宣导,防范安全事件的再次发生。

数据安全事件应急处置。根据数据安全事件应急预案对正在发生的各类数据安全攻击警告、数据安全威胁警报等进行紧急处置,确保第一时间阻断数据安全威胁。

数据安全事件复盘整改。应急处置完成后,应尽快在业务侧组织复盘分析,明确事件发生的根本原因,做好应急总结,沉淀应急手段,跟进落实整改,并完善相应应急预案。

数据安全应急预案宣贯宣导。根据数据安全事件的类别和级别,在相关业务部门或全线业务部门定期开展应急预案的宣贯宣导,降低发生类似数据安全事件的风险。

 数据安全评估优化

数据安全评估优化阶段主要是通过内部评估与第三方评估相结合的方式,对组织的数据安全治理能力进行评估分析,总结不足并动态纠偏,实现数据安全治理的持续
优化及闭环工作机制的建立。

1. 内部评估
组织应形成周期性的内部评估工作机制,内部评估应由管理层牵头,执行层和监督层配合执行,确保评估工作的有效执行,并应将评估结果与组织的绩效考核挂钩,避免评估流于形式。常见的内部评估手段包括评估自查、应急演练、对抗模拟等。

评估自查通过设计评估问卷、调研表、定期执行检查工具等形式,在组织内部开展评估,主要评估内容至少应包括数据全生命周期的安全控制策略、风险需求分析、监控审计执行、应急处置措施、安全合规要求等内容。

应急演练通过构建内部人员泄露、外部黑客攻击等场景,验证组织数据安全治理措施的有效性和及时止损的能力,并通过在应急演练后开展复盘总结,不断改进应急预案及数据安全防护能力。应急演练可采用实战、桌面推演等方式,旨在验证数据安全事件应急的流程机制是否顺畅、技术工具是否实用、安全处置是否及时等,进一步完善应急预案,补足能力短板。

对抗模拟通过搭建仿真环境开展红蓝对抗,或模拟黑产对抗,帮助组织面对内外部数据安全风险时实现以攻促防,沉着应对,并在这个过程中不断挖掘组织数据安全可能存在的攻击面和渗透点,尤其是面对组织内部数据泄露风险,可以有针对性的完善数据安全治理工作机制和技术能力。

2. 第三方评估
除了内部评估外,组织还应引入第三方评估。第三方评估以国家、行业及团体标准等为执行准则,能客观、公正、真实地反映组织数据安全治理水平,实现对标差距分析。如中国信息通信研究院2020 年底推出的国内首个数据安全治理能力评估服务,结合业务场景和全生命周期数据流,从组织架构、制度流程、技术工具、人员能力的建设情况入手,综合考察组织数据安全治理能力的持续运转及自我改进能力。目前该评估服务已在金融、电信、互联网、汽车等多个行业领域获得广泛认可,是组织进行全面摸排、横向对比的重要抓手。

以上来源:数据安全推进计划,详见《数据安全治理实践指南2 . 0》个人分享记录使用,如有侵权请联系我删除,谢谢!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1472406.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

3、函数定义,函数调用,this指向总结,闭包

一、函数的定义方式 1、函数声明 function demo1() {var num 12var result Math.pow(num,2)//指数函数return result }2、函数表达式 var demo2 function (x,y) { //内置对象arguments前面的两个参数 是 x,yvar sum arguments[0] arguments[1]console.log(sum) }3、构…

web组态插件

插件演示地址:http://www.byzt.net 关于组态软件,首先要从组态的概念开始说起。 什么是组态 组态(Configure)的概念来自于20世纪70年代中期出现的第一代集散控制系统(Distributed Control System)&#xf…

docker build基本命令

背景 我们经常会构建属于我们应用自己的镜像,这种情况下编写dockerfile文件不可避免,本文就来看一下常用的dockerfile的指令 常用的dockerfile的指令 首先我们看一下docker build的执行过程 ENV指令: env指令用于设置shell的环境变量&am…

渗透测试—信息收集

渗透测试—信息收集 1. 收集域名信息1.1. 域名注册信息1.2. SEO信息收集1.3. 子域名收集1.3.1. 在线子域名收集1.3.2. 子域名收集工具 1.4. 域名备案信息1.5. ICP备案号查询1.6. SSL证书查询 2. 收集真实IP2.1. 超级ping2.2. Ping2.3. CDN绕过 3. 收集旁站或C段IP3.1. 旁站或C段…

一款非常专业的图形设计工具CorelDRAW2024中文破解版

CorelDRAW2024(简称CDR2024)是一款非常专业的图形设计工具,该产品推出了全新的2023版本,在功能和体验上更进一步,最新的填充和透明设备功能可以完全控制任何类型的纹理,适用于网络摄影、印刷项目、艺术、排…

【析】装卸一体化车辆路径问题的自适应并行遗传算法

0 引言 国内外有关 VRPSPD的文献较多,求解目标多以最小化车辆行驶距离为主,但现实中可能存在由租赁费用产生的单次派出成本,需要综合考 虑单次派车成本和配送路径成本。…

JetBrains系列工具,配置PlantUML绘图

PlantUML是一个很强大的绘图工具,各种图都可以绘制,具体的可以去官网看看,或者百度。 PlantUML简述 https://plantuml.com/zh/ PlantUML语言参考指引 https://plantuml.com/zh/guide PlantUML语言是依赖Graphviz进行解析的。Graphviz是开源…

Superhuman 邮箱的替代方案是什么?

Superhuman是一个极好的人工智能工具在电子邮件助理领域。根据SimilarWeb的最新统计,它在全球网站排名中排名第21980位,月访问量为1751798。然而市场上还有许多其他优秀的选择。为了帮助您找到最适合您需求的解决方案,我们为您精心挑选了10种…

快让Live2D小可爱住进你的网站吧

文章目录 一、效果请欣赏二、教程1.下载项目工程2.本地自行修复测试3. 测试 一、效果请欣赏 二、教程 1.下载项目工程 github地址 可以根据工程的readme来使用demo测试,demo中需要修改 autoload.js api的cdnPath或者apiPath,否则加载不出来人物图片 api…

10个Premiere创意设计项目列表文字清单视频模板素材

10个创意设计项目列表文字清单pr模板视频制作素材,高清分辨率:19201080,Premiere Pro 2019项目,无需插件,包括视频教程,预览图像不包括音频不包括。 更多PR素材下载:https://prmuban.com/37908.…

vue2.0及起步(前端面试知识积累)

1、需要了解的vue概要知识 1、vue是什么? 一套用于构建用户界面的渐进式JavaScript框架。 为什么vue被称为是渐进式JS框架? 答:Vue允许开发者在不同的项目中以渐进式的方式使用它,这种渐进式表现在以下的方面: 逐步采…

linux中将普通用户添加sudo权限

1.登录root权限账号,编辑/etc/sudoers文件 2.找到"root ALL(ALL) ALL",并在下面添加普通用户 格式:username ALL(ALL) ALL vim /etc/sudoers ## Next comes the main part: which users can run what software …

搜维尔科技:【周刊】适用于虚拟现实VR中的OptiTrack

适用于 VR 的 OptiTrack 我们通过优化对虚拟现实跟踪最重要的性能指标,打造世界上最准确、最易于使用的广域 VR 跟踪器。其结果是为任何头戴式显示器 (HMD) 或洞穴自动沉浸式环境提供超低延迟、极其流畅的跟踪。 OptiTrack 主动式 OptiTrack 世界领先的跟踪精度和…

调度服务看门狗配置

查看当前服务器相关的sqlserver服务 在任务栏右键,选择点击启动任务管理器 依次点击,打开服务 找到sqlserver 相关的服务, 确认这些服务是启动状态 将相关服务在看门狗中进行配置 选择调度服务,双击打开 根据上面找的服务进行勾…

【C进阶】顺序表详解

文章目录 📝线性表的概念🌠 顺序表🌉顺序表的概念 🌠声明--接口🌉启动🌠初始化🌉扩容🌠尾插🌉 打印🌠销毁🌉 尾删🌠头插🌉…

【大厂AI课学习笔记NO.54】2.3深度学习开发任务实例(7)数据标注和数据集拆分

数据标注 有时我们会把特征工程和数据集的标注弄混淆,在普通的机器学习项目中,我们需要进行特征工程,但是在深度学习项目过程中,我们需要进行数据标注工作。 标注工具 在本案例中,使用的是开源的标注工具Labelme&am…

SSMBUG之 url +

1. Failed to configure a DataSource: ‘url’ attribute is not specified and no embedded datasource could be configured. 经查, 书写一切正常. 注意到此时yml文件的图标是一个红色的Y而不是绿色的spring , 推测没有正确加载. 重新创建项目, 所有东西拷贝一份便恢复正常…

递归与回溯(一)

递归 递归一定要有出口,不然会无限调用,死循环 string fun(int n){if(n0)return "a";if(n1)return "b";return fun(n - 1) fun(n - 2); }输出前8种结果: 双写数字递归例子 注意递归的return int doubleNum(int n){i…

内衣洗衣机哪个牌子好用?甄选安利四款优质好用的内衣洗衣机

内衣洗衣机是近几年新兴的一种家用电器产品,正日益引起人们的重视。但是,面对市面上品牌繁多、款式繁多的内衣洗衣机,使得很多人都不知道该如何选择。身为一个数码家电博主,我知道这类产品在挑选方面有着比较深入的了解。为此&…

python3GUI--酷狗音乐By:PyQt5(附下载地址)

文章目录 一.前言二.展示1.主界面2.乐库3.歌单3.频道4.视频5.我的频道6.视频7.听书8.探索9.其他细节1.搜索中间页2.主菜单3.歌单详情4.托盘菜单 三.心得四.总结 一.前言 之前仿作了几款音乐播放器,有的有功…