睿治

智能数据治理平台

睿治作为国内功能最全的数据治理产品之一,入选IDC企业数据治理实施部署指南。同时,在IDC发布的《中国数据治理市场份额,2022》报告中,蝉联数据治理解决方案市场份额第一。

DCMM数据管理能力成熟度评估模型-数据安全

时间:2023-06-02来源:互联网浏览数:114

数据安全是指通过采用各种技术和管理措施,保证数据的机密性,完整性和可用性:  机密性:又称保密性,是指个人或团体的信息不为其他不应获得者获得。  完整性:指在传输、存储信息或数据的过程中,确保信息或数据不被未授权的篡改或在篡改 后能够被迅速发现。  可用性:保证合法用户对数据的使用不会被不正当地拒绝 数据安全管理是计划、制定、执行相关安全策略和规程,确保数据和信息资产在使用过程中有恰当 的认证、授权、访问和审计等措施。有效的数据安全策略和规程要确保合适的人以正确的方式使用和更 新数据,并限制所有不适当的访问和更新数据。组织内部的数据安全管理工作主要包含数据安全标准与 策略、数据安全保护,数据安全审计等三个方面。

1数据安全标准与策略
1.1 概述
数据安全标准与策略是对组织内部数据安全等级的划分以及各级数据安全防护、管理原则的定义和 标准化。数据安全标准与策略是数据安全的核心内容,在制定的过程中需要结合组织管理需求、监管需 求以及相关的标准等信息来统一制定。

1.2 过程描述
数据安全标准与策略过程域主要包含以下活动:

a) 理解数据安全的业务需要
理解组织的使命和业务战略,将其作为规划数据安全策略时的指导 因素,并需要协调短期和长期目标来实现均衡和有效的数据安全职能,业务规则和流程定义了 安全接触点。业务工作流中的每一个事件都有自身的安全要求。数据到流程(Data-to-Process) 和数据到角色(Data-to-Role)关系矩阵是映射这些需求的一个有用工具,可以引导数据安全 角色、参数和权限的定义。

b) 理解数据安全的监管需求
快速变化和全球化要求组织遵守越来越多的法规,因此制定数据安 全策略的时候要充分考虑国家、行业等方面的监管需求,在充分了解外部监管需求的情况下进 行组织本身数据安全管理的标准和策略。

c) 定义数据安全标准
在综合考虑组织业务需求、外部监管需求的情况下,制定适合组织自身的 数据安全标准,划分数据安全等级、描述各个安全等级覆盖的范围,数据管理的要求等。

d) 定义数据安全策略
为保证数据的私密性和完整性,需要全面定义组织数据安全管理的目标、 原则、管理制度、管理组织、管理流程等等,为组织的数据安全管理提供保障。

1.3 建设目标
数据安全标准与策略管理的建设目标如下:
a) 建立统一的数据安全标准;
b) 提供清晰的数据安全策略。

1.4 度量标准
度量标准应包含以下内容:
a) 级别 1:初始级
1) 在项目中设置了数据安全标准与策略,并且在文档中进行了描述。

b) 级别 2:受管理级
1) 在业务条线内部建立了数据安全等级标准;
2) 在业务条线内部建立了数据安全管理策略;
3) 在业务条线内部识别了数据安全相关的干系人;
4) 建立了数据安全标准与策略相关的管理流程。

c) 级别 3:已定义级
1) 建立了组织统一的数据安全等级标准以及数据安全控制策略,并且正式发布;
2) 数据安全的标准与策略的制定能够按照业务战略的要求进行优化;
3) 识别了组织内外部的数据安全需求,包括外部监管的需求、法律的需求;
4) 标准化了数据安全标准与策略相关的管理流程;
5) 定期开展数据安全相关的培训和宣讲。

d) 级别 4:量化管理级
1) 建立了数据安全标准与策略的沟通反馈渠道,能够收集各方的意见以及业界发展的动态;
2) 定期优化提升数据安全标准与策略。

e) 级别 5:优化级
1) 数据安全标准与策略被组织内部人员普遍接受,数据安全意识得到极大的提升;
2) 数据安全标准与策略能够满足组织发展各方面的需求。

2 数据安全管理
2.1 概述
数据安全管理是在数据安全标准和策略的规划下统一对组织数据安全的管理工作。通过对数据访问 的授权、分类分级的控制,监控数据的访问等多方面来进行数据安全的管理工作,满足数据安全的业务 需求和监管需求,实现组织内部数据的全生命周期的数据安全管理。

2.2 过程描述
数据安全管理过程域主要包含以下活动:

a) 数据安全等级的划分
根据组织数据安全等级标准,在充分了解组织数据安全管理需求的前提 下,对组织内部的数据进行等级划分,并且形成数据安全等级文档,制定各等级数据的安全控 制策略。

b) 数据访问权限控制
制定数据安全管理相关的干系人清单,了解相关人员数据安全的需求,对 相关人员的数据访问、控制权限进行授权。

c) 监控用户身份认证和访问行为
监控活动有助于检测到异常或可疑的交易,方便进一步调查和 解决问题。执行监控可以是主动的方式,也可以是被动的方式。自动化系统配合一定的人工检 查,一般来说是的最佳监控方式。

d) 数据安全的保护。提供数据安全保护控制相关的措施或者工具,例如数据加密、数据脱敏,数 据自动销毁等,保证数据在应用过程中的隐私性。

2.3 建设目标
建设目标应包括以下内容:
a) 对组织内部的数据分类进行管理,关注重点数据的管理需求;
b) 对数据在组织内部流转的各个环节进行监控,保证数据的安全。

2.4 度量标准
度量标准应包含以下内容:
a) 级别 1:初始级
1) 在项目中进行了数据访问授权;
2) 在项目中进行了数据访问监控。

b) 级别 2:受管理级
1) 依据数据安全标准在业务条线内部对数据进行了安全等级的划分;
2) 在业务条线内部进行了项目干系人需求的识别,并进行了数据访问授权;
3) 在业务条线内部进行了数据访问、使用等方面的监控。

c) 级别 3:已定义级
1) 对于组织数据进行了全面的安全等级划分,每级数据的安全需求能够清晰定义,安全需 求的责任部门明确;
2) 外部监管的数据范围得到定义,能够清楚的定义外部监管对于数据的安全需求;
3) 围绕数据的生命周期,了解各阶段相关干系人的数据安全需求,并且进行数据安全授权;
4) 能够对于数据进行全生命周期的安全监控,及时了解可能存在的安全隐患;
5) 对于不同的数据使用对象,可以根据数据脱敏、加密、过滤等技术来提供数据的不同版 本,从而保证数据的私密性;
6) 新的项目建设中能够自动按照数据安全要求进行数据的安全等级划分、数据安全控制等。

d) 级别 4:量化管理级
1) 定义了数据安全管理的考核指标和考核办法;
2) 定期汇总数据安全管理工作进展,在组织层面发布数据安全管理工作报告;
3) 数据安全管理工作中发现问题的责任人明确,能够及时得到解决;

e) 级别 5:优化级
1) 数据安全管理相关的经验得到业界的认可,成为行业最佳实践。

3 数据安全审计
3.1 概述
审计数据的安全性是一项控制活动,负责经常性分析、验证、讨论、建议数据安全管理相关的政策、 标准和活动。数据安全审计是一项管理活动,是就实际数据管理工作细节的分析工作。审计工作可能由 组织内部或外部审计人员来执行,审计人员必须独立于审计所涉及的数据和流程。数据安全审计的目标 是为管理层、数据治理委员以及外部监管机构会提供客观中肯的评价、合理可行的建议。

3.2 过程描述
数据安全策略声明、标准文档、实施指南、变更请求、访问监控日志、报表输出,以及其他电子和 书面记录等形成审计的基础。另外除了评审现有证据,审计活动还可能包括执行一些测试和检查等,通 过一定的工具、命令来评审数据当前的安全性。数据安全审计是一个支持性、可重复的过程,应当有规 律的、高效的持续执行数据安全审计工作。 数据安全审计过程域主要包含以下活动:

a) 过程审计
分析实施规程和实际做法,确保数据安全目标、策略、标准、指导方针和预期结果相一致。

b) 规范审计
评估现有标准和规程是否适当,是否与业务要求和技术要求相一致。

c) 法规审计
检索和审阅机构相关监管法规要求,验证机构是否符合监管法规要求。 d) 供应商审计。评审合同、数据共享协议、确保外包和外部供应商切实履行他们的数据安全义务, 同时保证组织要履行自己应尽的义务。

e) 审计报告发布
向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状 态,以及组织的数据安全实践成熟度。

f) 数据安全建议
推荐数据安全的设计、操作和合规改进工作建议。

3.3 建设目标
数据安全审计的建设目标如下:
a) 确保组织的安全需求、监管需求得到满足;
b) 及时发现数据安全隐患、问题,改进数据安全措施;
c) 提出数据安全管理建议,促进数据安全的优化提升。

3.4 度量标准
度量标准应包含以下内容:

a) 级别 1:初始级
1) 对组织内部重点数据的安全管理策略文档进行了检查;
2) 对组织内部重点数据的安全管理过程进行检查;
3) 对组织内部重点数据的管理流程建了检查。

b) 级别 2:受管理级
1) 检查数据安全管理标准与策略是否能够满足各业务条线数据安全管理的需要;
2) 评价数据安全管理的措施是否能够是按照数据安全管理标准与策略的要求来进行开展;
3) 数据安全管理流程是否按照要求开展,是否具有过程文档记录。

c) 级别 3:已定义级
1) 评审数据安全标准与策略对于业务需求、外部监管需求的满足度;
2) 评审数据安全管理组织、职责、流程的设置情况;
3) 评审组织数据安全等级的划分情况;
4) 评审数据安全管理组织工作开展情况;
5) 评审数据安全监控的结果记录情况;
6) 评审新项目开展过程中的数据安全管理工作情况。

d) 级别 4:量化管理级
1) 引入外部专业数据安全审计机构进行数据安全管理工作的评审;
2) 数据安全报告中是否评价了数据安全的业务影响、经济影响,是否分析了数据安全的根 本原因。
3) 数据安全审计中是否提出数据安全管理工作的改进建议,相关的改进建议是否能够得到 落实;
4) 数据安全的管理流程、组织能够根据数据安全审计来进行优化提升,实现数据安全管理 的闭环。

e) 级别 5:优化级
1) 数据安全设计成为公司审计工作的重要组成,能够数据安全的审计推动数据安全标准和 策略的优化以及实施;
2) 成为行业标杆,进行行业经验分享。
(部分内容来源网络,如有侵权请联系删除)
立即申请数据分析/数据治理产品免费试用 我要试用
customer

在线咨询