400-88-27001
service@aryasec.com

解说数据安全治理

来源:    发布日期:2019.06.21   点击量:

    为什么要进行数据治理?
    外部环境:
    1. 美国去年大概发生了1800起重大数据泄漏事件,医疗行业是重灾区,每条记录成本在408美元,其次是金融行业每条成本是206美元。
    2. 2019年第十三届全国人大二次会议提出:要尽快制定落实《中华人民共和国数据安全法》
    政策法规要求:
    1. 银保监会印发了《银行业金融机构数据治理指引》,要求银行业金融机构将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。
    2. 指引提出,银行业金融机构董事会应当制定数据战略,审批或授权审批与数据治理相关的重大事项,督促高级管理层提升数据治理有效性,对数据治理承担最终责任。银行业金融机构应当确定并授权归口管理部门牵头负责实施数据治理体系建设,协调落实数据管理运行机制,组织推动数据在经营管理流程中发挥作用,负责监管数据相关工作,设置监管数据相关工作专职岗位。
    数据治理相关标准可参考《银行业金融机构数据治理指引》、《数据资产管理实践白皮书》、《证券期货业数据安全标准规划》、《证券期货业数据分类分级指引》等。
    数据安全治理目标:
    安全使用数据,合理发挥数据价值。



    数据安全治理框架包含着什么?
    即明确数据安全治理组织、职责并落实责任制,明确目标、内容、范围和策略。具体包括如下:安全治理组织、安全战略管理、安全风险管理、安全合规管理、安全策略管理、安全标准管理和安全能力管理。


    数据全生命周期中的数据治理过程:
    1.数据的分级分类
    数据治理主要依据数据的来源、内容和用途进行分类;以数据的价值、内容敏感程度、影响和分发范围进行敏感级别划分。
    2.数据资产状况的梳理
    2.1数据使用部门和角色梳理
    数据资产梳理中,明确数据如何被存储、数据被哪些对象使用、数据被如何使用。对于数据的存储和系统的使用,需要通过自动化的工具进行;对于部门、人员角色梳理,更多在管理规范文件中体现;对于数据资产使用角色的梳理,关键要明确不同受众的分工、权利和职责。
    2.2数据的存储与分布梳理
    清楚敏感数据分布,才能知道需要对什么样的库实现何种管控策略;对该库运维人员实现怎样的管控措施;对该库的数据导出实现怎样的模糊化策略;对该库数据的存储实现何种加密要求。
    2.3数据的使用状况梳理
    明确数据被什么业务系统访问,才能准确地制订业务系统工作人员对敏感数据访问的权限策略和管控措施。
    3.数据的访问控制
    针对数据使用不同方面,完成对数据使用的原则和控制策略,包括:数据访问的账号和权限管理、数据使用过程管理、数据共享(提取)管理、数据存储管理。
    4.定期的稽核策略
    定期稽核,保证数据安全治理规范落地,包括:
    A、合规性检查;
    B、操作监管与稽核;
    C、风险分析与发现。

    数据全生命周期如下图示:

分享到:

相关新闻: