近日,华途信息重磅发布了《华途数据安全治理白皮书》。
该白皮书系统性描述了数据安全治理的适用性方法,为业界提供数据安全治理所需要考虑的多个维度所开展的主要工作事项,包括制定治理需求、治理策略、治理流程所需要的工具等服务能力。
从实践出发,结合国际和国内相关标准及框架,在数字化转型大背景下,提出符合数据安全管理需求的数据安全治理理念与框架,从整体上系统性针对数据安全建设提供思路和方法,服务于政府和企业的数据安全治理,推动数据安全治理在各个行业下的应用场景安全使用,促进数据有效使用、流动和分享,释放数据价值。
![图片[1]-《华途数据安全治理白皮书》:从实践出发,系统推动数据治理纵深发展! – 作者:华途信息007-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200929/1601358730_5f72cb8a94c966130925e.png)
(华途数据安全治理白皮书)
》大数据时代,安全治理需求爆发式增长
随着信息化技术的快速发展,互联网应用增长迅猛,与之相伴的信息安全风险飙升,特别是“棱镜门”事件,引起全球大部分国家对信息泄漏的关注,进而激发对信息安全风险的进一步重视。
无论是欧盟、美国,还是日本、俄罗斯、韩国等许多国家都从国家安全、社会稳定、企业和个人信息安全层面出台相应的法律、法规和管理要求,加强对信息安全,特别是数据安全的风险防范,如:欧盟的GDPR和《Regulation“on a framework for the free flow of non-personal data in the European Union(非个人数据在欧盟境内自由流动框架条例)》。
我国在大数据、云计算、人工智能、物联网、5G等新技术带动下的数字经济发展过程中,数据已经成为国家和企业的重要资产和战略资源,多来源多类型的数据集中整合与综合应用带来了爆发式增长,与此相伴的是数据过度采集和使用、数据泄漏等安全风险日益凸显。
在严峻的国际信息安全和国内泄漏风险两方面同样面临明显挑战,无论从国家层面,还是行业监管层面都陆续出台法律、法规和管理要求,进一步引导和加强信息安全,特别是国内近些年出台相关数据安全的法律法规。
![图片[2]-《华途数据安全治理白皮书》:从实践出发,系统推动数据治理纵深发展! – 作者:华途信息007-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200929/1601358795_5f72cbcba3e6a3f3539c0.png)
》从实践出发,系统性综合治理落地化
数据安全治理是一套完整的数据安全管理的方法和系统工程,在实际操作过程中,完整实施体系,是有必要和意义的。从数据安全治理实践,以数据分级分类为起点,数据生命周期为主线,合规性评估为支撑,数据场景安全治理为应用,进行数据安全治理项目实施。主线、支撑和应用分别从不同的角度进行需求分析和安全防护规划,相互关联一定的逻辑关系,可以专门基于一个角度进行实施,也可以基于数据安全治理框架下综合考虑,都可以达到很好的效果。
数据安全分类分级为起点
对数据资产进行摸底,按照一定的策略和方法进行分类和标识,形成数据资产分类清单,明确数据安全主体责任及防护边界。综合分析数据的保密性、完整性、可用性和可控性等属性,进行数据的逐类安全定级和标识,并明确各级别各类型的安全需求,配套相应保障措施,实现分类分级安全管理。
数据生命周期安全为主线
对数据生命周期定义了六个方面的数据活动:数据产生管理,数据存储管理,数据使用管理,数据传输管理,数据共享管理,数据销毁管理。同时根据需要也可以基于其他系统定义的数据生命周期为主线进行数据安全治理和管理规划。
合规性评估数据安全为支撑
随着从法律法规上的数据合规治理体系的日趋严苛,基于合规性的数据安全管理需求,是企业组织迫切落实的数据安全需求。基于合规性评估的数据安全治理,应当明确建设范围,给出合规性评估,建设规划设计,开展数据安全保护措施,以达到顺利验收评审。
数据场景安全治理为应用
数据场景是从数据使用、处理和流动的角度进行提炼,包括内部数据使用,内外交互场景,业务系统安全防护,以及移动应用场景。基于数据场景的安全治理,就是从这四个数据场景,结合相关的法律法规,标准规范,以及企业自身的数据安全的需求,界定数据安全治理范围,制定相应的数据安全保护制度,并实施数据安全保护相关的技术,达成数据安全治理实践。
》数据安全技术框架,为治理提供保障
![图片[3]-《华途数据安全治理白皮书》:从实践出发,系统推动数据治理纵深发展! – 作者:华途信息007-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200929/1601358827_5f72cbebd3f7da76a963b.png)
(华途数据安全技术框架)
基于结构化数据和非结构化数据,聚焦数据本身的安全,从数据生态的角度提供数据安全治理的技术工具的服务。
从数据分类分级开始
定义数据密级,进行数据资产识别定位,支持的数据处理系统包括终端节点,文档管理系统,关系型数据库,云计算以及大数据系统。
基于结构化和非结构化数据
提供相应的数据安全工具防护工具,对数据生命周期中各种数据活动实施相应的数据安全防护措施。结构化数据安全工具,华途提供有访问权限控制,业务应用水印溯源,数据库脱敏,数据库加密等产品。非结构化数据安全工具,华途提供有文档安全管理系统,数据放泄漏系统,终端安全管理系统,个人信息保护系统等。
数据安全可视化管理
根据分级分类以及各种技术工具或产品,形成分类分级报告,资产分布视图,以及数据安全态势视图等,发现数据安全风险节点,及时采取相关的措施,达到数据安全治理的目的。
从数据安全管理的角度
提供数据安全风险评估和数据安全运维管理服务和能力,并根据相应的数据安全治理和运维管理,输出相匹配的数据安全管理规范,持续优化数据安全的技术防护,达到数据安全治理最佳实践。
https://mp.weixin.qq.com/s/Wulm2W3J7E72E3BNxrwiAA
来源:freebuf.com 2020-09-29 13:57:26 by: 华途信息007
请登录后发表评论
注册