常见问答
保护企业系统及其存储的数据需要IT和业务利益相关方之间的协作。清晰有力的制度和规程是数据安全治理的基础。数据安全架构是企业架构的一部分,描述了在企业内如何实现数据安全以满足业务规则和外部法规。
一、什么是数据安全
根据《数据安全法》第三条,“数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
数据安全并不仅仅局限于数据本身的安全,而是一个综合概念。在数据从客户端到服务端传输过程中,涉及很多风险因素,比如客户端访问主体的身份是否真实可靠,数据在传输过程中是否完整、防篡改,到达服务端后以明文件存储还是加密存储,以及哪些用户使用等等。
从整体来看,在数据生命周期的每个环节,包括数据收集、存储、使用、加工、传输、提供、公开等,都存在三个重要概念:数据处理主题、数据本身、数据处理行为。
从数据源头上,要确保数据采集主题身份真实、可信;对于数据本身,在传输中要确保其真实性(数据来源真实可信)、完整性(数据未被非授权篡改)、机密性(数据未被非授权者获得)、可用性(数据可被授权者正常使用)等;对于数据处理行为,要确保其发送或接收行为、时间点的不可否认性。
1、识别数据安全需求
区分业务需求、外部监管限制和应用软件产品的规则很重要。尽管应用程序系统是执行业务规则和过程的载体,弹这些系统通常具有超出业务流程所需的数据安全要求。在套装软件和现成的系统中,这些安全需求变得越来越普遍。同时也有必要确保支持组织的数据安全标准。
业务需求:
在组织内实施数据安全的第一步是了解组织的业务需求。组织的业务需求、使命、战略和规模以及所属行业,决定了所需数据安全的严格程度。
通过分析业务规则和流程,确定安全接触点。业务工作流中的每个事件都可能有自己的安全需求。在进行这些需求与数据安全角色组、参数和权限定义之间的映射时,数据-流程矩阵和数据-角色关系矩阵是非常有效的工具。有计划地处理短期和长期目标,以实现均衡有效的数据安全功能。
2、监管要求
当今全球环境瞬息万变,组织需要遵从的法律法规也越来越多。信息时代的到的法律问题促使全国政府制定新的法律和标准,这些都对组织信息管理施加了严格的安全控制。
创建一份完整的清单,其中包含所有相关数据法规以及受每项法规影响的数据主题域,在为法规遵从而制定的相关安全策略和实施的控制措施之间建立链接关系。法规、策略、所需行动和受影响的数据将随时间推移而变化,因此采用的清单格式应易于管理和维护。
二、数据安全细则
制度提供行为准则,但并不能列出所有可能得意外情况。细则是对制度的补充,并提供有关如何满足制度意图的其他详细信息。
1、定义数据保密等级
保密等级分类是重要的元数据特征,用于指导用户如何获得访问权限。每个组织都应创建活采用满足期业务需求的分级方案。任何分级方案都应清晰易行,它将包含从最低到最高的一系列密级。
2、定义数据监管类别
高度公开的数据泄露事件日益增多,导致出台了很多与数据相关的法律。聚焦于金融的数据事件促使全球各国正度实施更多的法规。
这就产生了新的数据类别,可称为“监管信息”。法规要求是信息安全的延伸。需要采取其他措施,以对监管要求进行有效管理。
就像将各种风险归到几个安全类别中一样,对待特定数据法规的有效方法是分析类似法规并分组归类。
安全分级和监管分类的一项关键原则是,大多数信息可以聚合,从而使其具有更高或更低的敏感性。
3、定义安全角色
数据访问控制可根据需要在单个用户级或组织级中进行管理。也就是说,逐个用户账户授予和更新访问权限需要大量的冗余工作。
一、什么是数据安全
根据《数据安全法》第三条,“数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
数据安全并不仅仅局限于数据本身的安全,而是一个综合概念。在数据从客户端到服务端传输过程中,涉及很多风险因素,比如客户端访问主体的身份是否真实可靠,数据在传输过程中是否完整、防篡改,到达服务端后以明文件存储还是加密存储,以及哪些用户使用等等。
从整体来看,在数据生命周期的每个环节,包括数据收集、存储、使用、加工、传输、提供、公开等,都存在三个重要概念:数据处理主题、数据本身、数据处理行为。
从数据源头上,要确保数据采集主题身份真实、可信;对于数据本身,在传输中要确保其真实性(数据来源真实可信)、完整性(数据未被非授权篡改)、机密性(数据未被非授权者获得)、可用性(数据可被授权者正常使用)等;对于数据处理行为,要确保其发送或接收行为、时间点的不可否认性。
1、识别数据安全需求
区分业务需求、外部监管限制和应用软件产品的规则很重要。尽管应用程序系统是执行业务规则和过程的载体,弹这些系统通常具有超出业务流程所需的数据安全要求。在套装软件和现成的系统中,这些安全需求变得越来越普遍。同时也有必要确保支持组织的数据安全标准。
业务需求:
在组织内实施数据安全的第一步是了解组织的业务需求。组织的业务需求、使命、战略和规模以及所属行业,决定了所需数据安全的严格程度。
通过分析业务规则和流程,确定安全接触点。业务工作流中的每个事件都可能有自己的安全需求。在进行这些需求与数据安全角色组、参数和权限定义之间的映射时,数据-流程矩阵和数据-角色关系矩阵是非常有效的工具。有计划地处理短期和长期目标,以实现均衡有效的数据安全功能。
2、监管要求
当今全球环境瞬息万变,组织需要遵从的法律法规也越来越多。信息时代的到的法律问题促使全国政府制定新的法律和标准,这些都对组织信息管理施加了严格的安全控制。
创建一份完整的清单,其中包含所有相关数据法规以及受每项法规影响的数据主题域,在为法规遵从而制定的相关安全策略和实施的控制措施之间建立链接关系。法规、策略、所需行动和受影响的数据将随时间推移而变化,因此采用的清单格式应易于管理和维护。
二、数据安全细则
制度提供行为准则,但并不能列出所有可能得意外情况。细则是对制度的补充,并提供有关如何满足制度意图的其他详细信息。
1、定义数据保密等级
保密等级分类是重要的元数据特征,用于指导用户如何获得访问权限。每个组织都应创建活采用满足期业务需求的分级方案。任何分级方案都应清晰易行,它将包含从最低到最高的一系列密级。
2、定义数据监管类别
高度公开的数据泄露事件日益增多,导致出台了很多与数据相关的法律。聚焦于金融的数据事件促使全球各国正度实施更多的法规。
这就产生了新的数据类别,可称为“监管信息”。法规要求是信息安全的延伸。需要采取其他措施,以对监管要求进行有效管理。
就像将各种风险归到几个安全类别中一样,对待特定数据法规的有效方法是分析类似法规并分组归类。
安全分级和监管分类的一项关键原则是,大多数信息可以聚合,从而使其具有更高或更低的敏感性。
3、定义安全角色
数据访问控制可根据需要在单个用户级或组织级中进行管理。也就是说,逐个用户账户授予和更新访问权限需要大量的冗余工作。
角色组使得安全管理员能够按角色定义权限,并通过在适当角色组中注册用户实现权限授予。
信息来源于网络,侵删