建设大概步骤:
第一阶段:资产梳理和分析--职责体系--管理制度--分级分类--关键能力(合法合规性)--意识培训
第二阶段:落实管理制度--完善数据安全能力--统一数据安全平台
第三阶段:建立审计体系--优化数据安全体系--输出案例或者对外提供价值服务
总体思路
数据资产安全
1.资产管理
- 数据资产发现
- 敏感数据发现
- 资产变化监控
- 数据资产责任人
2.资产使用情况
- 使用情况监控、统计、分析
- 高频使用资产
- 沉寂资产
3.资产权限管理
- 权限划分
- 授权管理
- 权限时效性
- 数据资产分级分类
- 分级分类标签
- 各级各类管理要求
数据运营安全
1.安全管理
- 合规性需求
- 管理制度的完整性、可执行性、实际落地
- 安全审计
- 组织和人员管理
- 密钥管理
- 权限管理
- 安全审计
- 代码审计
- 配置核查
- 风险评估
- 影响分析
数据业务安全
1.安全采集
- 完整性校验
- 合法合规性验证
- 数据源鉴别
- 数据质量评估
- 采集工具评估
2.传输安全
- 身份认证
- 传输加密
- 防泄漏、防篡改
3.使用安全
- 脱敏
- 匿名化
- 去标识化
- 滥用行为识别
- 数据血缘关系分析
4.存储安全
- 去标识化
- 加密存储
- 数据备份和恢复
- 特权账号管理
- 特权账号使用监控
5.共享安全
- 接口管理
- 身份认证
- 访问控制
- 接口审计
- 脱敏
- 同态加密
- 追踪溯源,数据水印
- 合规性检查
6.销毁安全
- 销毁评估
- 销毁实施
- 销毁验证
数据环境安全
1.数据库安全
- 数据库加密
- 漏洞识别、分析、修复、验证
- 攻击行为识别、分析、阻断
- 账号权限、使用监控
- 补丁修复
2.数据平台环境
- 身份识别
- 访问控制
- 安全配置
- 组件漏洞识别、分析、修复、验证
3.物理环境安全
- 物理接触管理
- 办公环境安全
数据运维安全
1.人员及职责
- 数据安全管理员
- 数据安全审计员
- 权限管理员
- 数据安全责任人
2.权限
- 授权与审批
- 权限时效性
- 违规操作识别与阻断
- 高危操作识别与阻断
数据安全监测和审计
1.日志采集
- 数据使用日志
- 数据操作日志
- 权限变更日志
- 资产变更日志
- 账号变更日志
2.日志分析
- 行为分析
- 数据安全模型
- 关联性分析
- 数据安全事件溯源分析
- 频率分析
3.安全监测
- 告警策略
- 可视化
- 应急响应
4.审计
- 完整性
- 可用性
- 可控性
- 保密性
- 溯源性
- 合法合规
