新闻资讯
相关推荐
- 数据治理的“内忧外患”[2022-06-16]
- 数据治理应平衡好安全与创[2022-06-15]
- 开展全球数据治理——现实[2022-06-14]
- 数据治理:银行业高质量发展[2022-06-13]
- 加强数据高质量治理 发挥大[2022-06-10]
- 我国大数据产业规模突破1.3[2022-06-09]
- 江苏推行首席数据官制度 增[2022-06-08]
- 数据治理为智慧医院建设按[2022-06-07]
- 隐私计算练兵金融数据治理[2022-06-06]
- 工业互联网平台赋能制造业[2022-06-02]
政府行业如何进行数据安全治理?
发布时间:[2020-07-06]
来源:王峰MR
点击量:
数据安全治理与以网络为中心的安全建设的核心区别在于是否关注业务,数据安全治理关注业务其目的是更好了解数据传输、数据存储、数据处理等环节的情况,以便有针对性进行数据管控,而网络为中心的安全建设是通过网络传输内容进行管控,特点为重网络,轻业务。简单来说,数据安全治理是项目型,网络安全更多是产品型。现今数据安全治理相关人员既要懂安全、懂网络,也要懂客户业务,这是数据安全治理难点同样也是价值所在。
网络安全与数据安全示例图
一、需求调研
需求调研主要从管理、业务、技术,三个方面进行,管理与技术主要从现有体系下,如何体现数据安全内容,在数据生命周期下如何进行决策管理及技术支撑。由于管理与技术差异化较强(不同政府部门建安全建设不一),文章不进行过多介绍,由于政府行业核心业务类似,同时又是数据安全治理的核心,所以本篇着重介绍业务层面。
在进行需求调研前,首先需要了解客户几种业务类型,了解业务自然就了解数据。政府行业业务主要有5个方面:以三定方案及权责清单为主的政务服务;以五公开为核心的政务公开;以便捷互动为主的政民互动;以自身新闻为基础政务要闻;以数据共享为核心的数据公开。
业务组成示例图
以核心业务为切入点,从采集、传输、存储、处理、交换(共享、应用)、销毁几个方面进行梳理,最终确定数据库基础信息、数据类型及数据项、敏感数据情况、业务访问规则、安全识别等。
梳理内容示例图
1.数据库基础信息:数据库品牌、版本、数据量、基础网络信息等;
2.数据类型及数据项:类型以主数据、业务数据、分析数据为一级,逐层下分最终至具体数据项;
3.敏感数据情况:敏感数据类型、所在数据库等;
4.业务访问规则:客户端、服务端、数据端等各端访问及规则;
5.安全识别:包括,威胁性识别、脆弱性识别等。
二、规划设计
针对需求调研和个性化要求,形成整体的规划设计。该设计需要从管理、技术、运维、标准等方面入手,既要有全面性、深入性,又要有一定灵活性以便后期扩展。
管理:在现有管理体系基础下,完善战略和合规两部分内容,包括:总纲、制度、办法、规范、应急、绩效、各种记录表等。
技术:在现有技术体系基础下,建设以数据生命周期的数据安全相关的技术产品。包括:审计、脱敏、加密、防火墙、认证网关等。相关技术一定要与业务结合,所以需要具有一定二次开发工作。
运维:数据项进行分类分级、应用场景设计(分业务与技术)、角色规划及涉及数据安全治理运维的相关内容(如:业务新增、变更带来的相关改动等)。
标准:根据外部合规要求及内生安全需要,形成相关安全标准,包括:能力评估标准、分类分级标准、去标识化标准等。该环节下标准非最终版,需要结合治理实施过程中所遇问题进行动态调整。
三、治理实施
依据规划设计进行治理实施。数据安全治理实施可分为三个阶段。
第一阶段建设价值为数据可视化。主要为加强数据流动可视,实现数据访问、敏感数据访问等数据流向可视,其主要目的为项目快速呈现价值,便于后期项目容易推进。
第三阶段为数据安全体系化。该阶段需要根据前期实施过程中所遇见的问题,不断完善标准体系,实现技术、运维、标准的融合,达到安全治理体系化效果,实现“表里如一”。
