建設(shè)大概步驟:
第一階段:資產(chǎn)梳理和分析--職責(zé)體系--管理制度--分級(jí)分類--關(guān)鍵能力(合法合規(guī)性)--意識(shí)培訓(xùn)
第二階段:落實(shí)管理制度--完善數(shù)據(jù)安全能力--統(tǒng)一數(shù)據(jù)安全平臺(tái)
第三階段:建立審計(jì)體系--優(yōu)化數(shù)據(jù)安全體系--輸出案例或者對(duì)外提供價(jià)值服務(wù)
總體思路
數(shù)據(jù)資產(chǎn)安全
1.資產(chǎn)管理
- 數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)
- 敏感數(shù)據(jù)發(fā)現(xiàn)
- 資產(chǎn)變化監(jiān)控
- 數(shù)據(jù)資產(chǎn)責(zé)任人
2.資產(chǎn)使用情況
- 使用情況監(jiān)控贬丛、統(tǒng)計(jì)歌亲、分析
- 高頻使用資產(chǎn)
- 沉寂資產(chǎn)
3.資產(chǎn)權(quán)限管理
- 權(quán)限劃分
- 授權(quán)管理
- 權(quán)限時(shí)效性
- 數(shù)據(jù)資產(chǎn)分級(jí)分類
- 分級(jí)分類標(biāo)簽
- 各級(jí)各類管理要求
數(shù)據(jù)運(yùn)營安全
1.安全管理
- 合規(guī)性需求
- 管理制度的完整性或辖、可執(zhí)行性譬嚣、實(shí)際落地
- 安全審計(jì)
- 組織和人員管理
- 密鑰管理
- 權(quán)限管理
- 安全審計(jì)
- 代碼審計(jì)
- 配置核查
- 風(fēng)險(xiǎn)評(píng)估
- 影響分析
數(shù)據(jù)業(yè)務(wù)安全
1.安全采集
- 完整性校驗(yàn)
- 合法合規(guī)性驗(yàn)證
- 數(shù)據(jù)源鑒別
- 數(shù)據(jù)質(zhì)量評(píng)估
- 采集工具評(píng)估
2.傳輸安全
- 身份認(rèn)證
- 傳輸加密
- 防泄漏顿天、防篡改
3.使用安全
- 脫敏
- 匿名化
- 去標(biāo)識(shí)化
- 濫用行為識(shí)別
- 數(shù)據(jù)血緣關(guān)系分析
4.存儲(chǔ)安全
- 去標(biāo)識(shí)化
- 加密存儲(chǔ)
- 數(shù)據(jù)備份和恢復(fù)
- 特權(quán)賬號(hào)管理
- 特權(quán)賬號(hào)使用監(jiān)控
5.共享安全
- 接口管理
- 身份認(rèn)證
- 訪問控制
- 接口審計(jì)
- 脫敏
- 同態(tài)加密
- 追蹤溯源蜻韭,數(shù)據(jù)水印
- 合規(guī)性檢查
6.銷毀安全
- 銷毀評(píng)估
- 銷毀實(shí)施
- 銷毀驗(yàn)證
數(shù)據(jù)環(huán)境安全
1.數(shù)據(jù)庫安全
- 數(shù)據(jù)庫加密
- 漏洞識(shí)別、分析傻铣、修復(fù)章贞、驗(yàn)證
- 攻擊行為識(shí)別、分析非洲、阻斷
- 賬號(hào)權(quán)限鸭限、使用監(jiān)控
- 補(bǔ)丁修復(fù)
2.數(shù)據(jù)平臺(tái)環(huán)境
- 身份識(shí)別
- 訪問控制
- 安全配置
- 組件漏洞識(shí)別蜕径、分析、修復(fù)败京、驗(yàn)證
3.物理環(huán)境安全
- 物理接觸管理
- 辦公環(huán)境安全
數(shù)據(jù)運(yùn)維安全
1.人員及職責(zé)
- 數(shù)據(jù)安全管理員
- 數(shù)據(jù)安全審計(jì)員
- 權(quán)限管理員
- 數(shù)據(jù)安全責(zé)任人
2.權(quán)限
- 授權(quán)與審批
- 權(quán)限時(shí)效性
- 違規(guī)操作識(shí)別與阻斷
- 高危操作識(shí)別與阻斷
數(shù)據(jù)安全監(jiān)測(cè)和審計(jì)
1.日志采集
- 數(shù)據(jù)使用日志
- 數(shù)據(jù)操作日志
- 權(quán)限變更日志
- 資產(chǎn)變更日志
- 賬號(hào)變更日志
2.日志分析
- 行為分析
- 數(shù)據(jù)安全模型
- 關(guān)聯(lián)性分析
- 數(shù)據(jù)安全事件溯源分析
- 頻率分析
3.安全監(jiān)測(cè)
- 告警策略
- 可視化
- 應(yīng)急響應(yīng)
4.審計(jì)
- 完整性
- 可用性
- 可控性
- 保密性
- 溯源性
- 合法合規(guī)