记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

浅谈企业数据安全治理

2021-07-27 16:08


数据安全对企业生存发展举足轻重,数据资产的外泄、破坏都会导致无可挽回的经济损失和核心竞争力缺失。企业的安全管理和防护机制不健全往往忽略了数据安全重要性,导致数据安全事件频发。近期多家互联网企业接受网络安全审查,一时间数据安全再次成为关注焦点,中央纪委国家监委刊文更是强调“数据安全关乎国家安全”。


2021年6月10日,历经三审,第十三届全国人大常务委员会第二十九次会议审议通过《中华人民共和国数据安全法》,自2021年9月1日正式实施。

数据的意义和价值

一般将数据的生命周期分为:产生、使用、传输、存储、销毁,通过信息分类政策制定信息分类矩阵保护每个生命周期数据的安全。很多企业都会制定信息分类政策,按照常规意义将数据划分为:公开、内部、机密、高度机密4类,数据敏感程度逐渐增大。机密数据对于企业至关重要,是企业的命脉,同时,任何数据都有价值。

根据《数据安全法》第二十一条,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护。

欧洲某外资银行发生过真实的案例,存储几十个****的U盘没有加密,在快递过程中丢失,监管机构开出罚单300万英镑。根据Verizon最新发布的《2019年数据泄露调查报告》,银行业中DoS攻击和应用程序中使用窃取凭证的现象普遍存在。其中,网络应用程序攻击、滥用特权和其他错误导致数据泄露占比高达72%,造成的数据泄露中43%为个人信息泄露,38%为凭证信息泄露,38%为内部业务信息泄露。金融获益是网络攻击最常见的动机,占比高达88%,另外间谍攻击占比达10%。


数据分类的重要性

1、数据分类是数据治理和信息生命周期管理的基础,通过对企业内部的数据全生命周期的盘点梳理,可以帮助确定企业数据所有权的适当分配和建立完善的问责制度,满足监管及合规要求;
2、根据梳理的数据资产对企业的重要程度(比如敏感性和关键性),为数据打上不同的标签,对敏感数据进行分级,根据数据所属的级别,一目了然哪些数据可以使用、哪些不可以使用、哪些能对外开放、哪些不能开放、不同等级的数据在不同场景使用哪种安全策略,可以考虑采取技术方法(比如数据泄露防护、加密、企业权限管理等),对机密信息提供进一步的保护,从而降低数据泄露带来的风险;
3、企业内部建立完善的数据分类分级制度,还可以帮助员工增强数据安全意识,从而降低未经授权使用信息资产的风险。

企业数据安全面临的内部风险

企业内部风险.png

企业数据安全面临的外部风险

01、法律法规

以网络安全法、数据安全法、GDPR为代表的一系列国内外法律法规的颁布,增大了数据合规和数据跨境风险。


02、安全攻击

黑客、勒索病毒、突发的数据泄露事 件持续上升,造成组织财务损失,破坏了声誉和客户信任度。


03、新技术快速应用

新的IT架构和云服务被广泛应用,数据量增长迅速,但是全面的数据安全管理严重滞后。


04、安全边界失效

业务快速发展,数字化转型过程中传统 的网络边界变得模糊,已有安全产品无法有效管控风险。



安全行业普遍认为,要确保数据安全,首先要建立完善数据安全治理机制,然后再来落实管 理与技术措施。国际上知名的数据安全治理的最佳实施为微软的DGPC和高德纳的DSG,这两个方法都强调了技术工具、组织人员及策略流程为核心的数据安全治理机制的重要性。


数据安全治理框架DSG.png

数据安全治理框架:Gartner DSG


企业数据安全设计.png

 企业数据安全体系设计


决策层管理层.png

数据安全治理的组织架构建设

 


数据安全相关的部分法规
国家法律:

《中华人民共和国网络安全法》

《数据安全法》

《个人信息保护法》


国家标准:

《信息安全技术个人信息安全规范》

《大数据安全管理指南》

《数据安全能力成熟度模型》

《信息安全技术网络安全等级保护基本要求》

《信息安全技术 大数据服务安全能力要求》

《信息安全技术 个人信息安全影响评估指南》

《信息安全技术 个人信息去标识化指南》


行业规定:

《个人金融信息保护技术规范》

《银行业金融机构数据治理指引》

《证券期货业数据分类分级指引》

《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》

个人信息和重要数据出境安全评估办法(征求意见修改稿)

数据安全管理办法(征求意见稿)


国际法规:

GDPR 欧盟《一般数据保护条例》

CCPA 美国

日本出口管制法

ISO/IEC 27701

ISO/IEC 27018


行业报告指南:

数据安全治理白皮书3.0(中国(中关村)网络安全与信息化产业联盟发布)

中小银行数据安全治理研究报告(谷安研究院安全牛发布)

数据安全治理实践指南(中国信通院发布)


信息安全治理相关资格认证

DPO(数据保护官)

DSG(注册数据安全治理专业人员)



数据安全风险评估方法、数据安全风险识别分析、数据安全治理的技术和工具,数据调研表、企业数据资产清单模板、数据安全治理的组织架构建设数据分级分类样例请点击《数据安全治理》访问完整内容。



知识来源: https://www.secpulse.com/archives/163190.html
想收藏或者和大家分享这篇好文章→复制链接地址

“浅谈企业数据安全治理”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁