安全补救和应急处置是应对安全漏洞和安全事件的预案,应定期开展演练工作,确保真正发生时能快速应对,必要时可以聘请相关机构和专家共同开展。
对于重要数据的处理,应定期开展风险评估工作,确保数据处理是在可信、可靠的环境下开展,对于潜在的风险能够尽早发现、尽早防范。
四、企业数据安全治理的5个步骤
1.数据安全治理评估
首先从业务视角出发,对业务应用的现状、使用情况进行调研、分析,确定业务的关联关系 、访问的关键路径、数据的流向及演变过程,结合对基础安全管控措施的分析,找出主要业务所面临的管理、技术及运营风险。
其次,集合多个业务系统的调研结果,找出系统间的共性问题,为制定业务的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开展评估梳理工作,形成《数据资产清单》,明确相关平台各系统的输入输出,数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。
最后,基于业务场景梳理数据操作过程中的主体(人、用户、账号)、客户(数据)、过程(操作的时域、地域、权限、结果等)属性;以角色控制为视角,明确被审计用户(账号)的类型、角色,包括应用程序所有者(业务账号)、应用程序终端用户(业务终端)、数据管理账号(数据库管理员)等;建立符合业务最小够用的安全策略模型。
2.数据安全组织架构建设
数据安全管理是一项需要多方联动型的复合型工作,在开展组织架构建设时,需要考虑组织层面实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,所有部门均需要参与安全建设当中。同时,需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。
3.数据安全管理制度建设
数据安全保障体系的规范一般从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
一般情况下,数据安全管理规体系文件可分为四个层面:
(1)一级文件是由决策层确定管理要求、目标及基本原则;
(2)二级文件是由管理层根据一级管理要求制定通用的管理办法、制度及标准。二级文件作为上层的管理要求,应具备科学性、合理性、完善性及普遍的适用性;
(3)三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范;
(4)四级文件属于辅助文件,一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。四级文件是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。
4.数据安全技术保护体系建设
不同安全级别的数据,可参照数据生命周期的原则进行数据安全应用执行。具体保护要求及措施,可参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。
5.数据安全运营管控建设
数据安全保障体系因其业务的持续性,需要进行长期性服务,建立完善的数据安全运营团队是必然选择。数据安全运营主要包括以下内容:
(1)数据安全运维:主要是数据安全措施的使用、运维,驻场或定期对数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化,并定期输出数据安全运维报告和策略优化建议等;
