下载后可任意编辑数据安全治理——关键步骤:策略与流程的制定在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制定,在企业或行业内常常被作为《某某数据安全管理法律规范》进行发布,所有工作流程和技术支撑都是围绕着此法律规范来制定和落实。法律规范的出台往往需要经过大量的工作才能完成,这些工作通常包括:A、梳理出组织所需要遵循的外部政策以及与数据安全管理相关的内容;B、根据该组织的数据价值和特征,梳理出核心数据资产,并对其分级分类;C、理清核心数据资产使用的状况(收集、存储、使用、流转);D、分析核心数据资产面临的威胁和使用风险;E、明确核心数据资产访问控制的目标和访问控制流程;F、制订出组织对数据安全法律规范落实和安全风险进行定期的核查策略。一. 外部所要遵循的策略在我国,数据安全治理同样需要遵循国家级的安全政策和行业内的安全政策。举例如下:1.网络安全法;2.等级保护政策;3.BMB17;4.行业相关的政策要求举例:(a) PCI-DSS、Sarbanes-Oxley Act(SOX 法案)、 HIPPA ;(b) 企业内部控制基本法律规范;(三会、财政、审计)(c) 中央企业商业秘密保护暂行规定;这些政策通常是在制订组织内部政策时重点参考的外部政策法律规范。© 2024 安华金和www.dbsec.cn- 1 -下载后可任意编辑二. 数据的分级分类数据治理主要依据数据的来源、内容和用途对数据进行分类;根据数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。信息类别信息项对三方价值事故影响分类定义客户基本资料政企客户资料牟取暴利造成政企客户流失、损失巨大机密数据个人客户资料价值较大造成客户损失、损失大敏感数据各类特别名单牟取暴利造成投诉、损失大敏感数据身份鉴权信息用户密码牟取暴利造成客户损失、损失巨大机密数据客户通信信息详单价值较大造成投诉、损失大敏感数据账单价值一般损失一般普通数据客户当前位置信息价值较大损失一般敏感数据客户消费信息价值一般损失一般普通数据订购关系价值低无明显损失普通数据增值业务订购关系价值低无明显损失普通数据增值业务信息牟取暴利造成客户损失、损失大敏感数据客户通信内容信息客户通信内容记录牟取暴利客户私密信息泄露,损失巨大机密数据移动上网内容及记录价值低损失一般普通数据增值业务客户行为记录价值低客户私密信息泄露,损失大敏感数据领航平台交互信息牟取暴利损失一般敏感数据图 1 某运营商对数据分级分类的...
