一、数据安全治理体系建设思路:
-
一级文档。由决策层认可、面向组织的数据安全方针,通常应包括组织数据安全工作的总体目标、基本原则、数据安全决策机构设置与职责划分等。
-
二级文档。根据数据安全方针的要求,对组织数据安全工作各关键领域的管理要求做出具体规定,可包括基础类管理制度、人员类管理制度以及场景类管理制度等。
-
三级文档。与二级文档中各类管理制度要求相呼应,针对具体环节落地实施的操作规范、 指南,包括基础类规范、人员类规范和场景类规范等。
4.四级文档。管理制度具体执行过程中产生和使用的过程性文档,通常包括模板类文档、清单类文档、记录类文档等。
建立政策总纲。
建立数据分级和分类标准,明确数据Owner的定义与权利、职责。
建立数据安全的管理政策,包括建立最小化权限以及权限分离的相
关政策。
建立数据安全算法/协议标准、产品标准、开发规范、运维规范。
建立和完善数据生命周期管理制度,从源头开始对数据保护,覆盖
数据生成、存储、使用、传输、共享审核、销毁等。
建立针对法律、监管/行管所需要的合规要求(网络安全法、PCIDSS等),可单独发文或整合到上述规范中去。
数据分级和分类清单的建立与例行维护,并考虑建立/完善数据安
全管理系统,或者整合到数据管理中台(所谓中台,是相对于前台
和后台而言的,是统一的中间层基础设施)。
风险管理与闭环:基于分级管理,例行开展指标化风险运营,建立
并完善风险闭环跟进流程。
将安全要求融入到产品开发发布的流程中去。我们可基于业务实际
情况,建立适合业务需要的SDL流程,对关键控制点进行裁剪或取
舍,串行或并行开展安全质量保障、质量控制活动。