数据安全治理整理概述

数据安全治理不仅局限于组织内部，而是需要一个国家、行业组织、可言机构、企业和个人共同努力完成的课题。因此，应该分别重广义和狭义的角度看待数据安全治理。
广义地说：数据安全治理是在过数据安全战略的知道下，为形成社会共同维护数据安全和促进发展的狼嚎环境，国家有关部门、行为组织、科研机构、企业、个人共同参与和实施的一些列活动集合。
工作内容：完善相关政策法规，推动政策法规落地，建设与实施标准体系，培养并应用关键技术，培养专业人才等。
狭义地说：数据安全治理是在组织数据安全安全战略的知道下，为确保数据安全处于有效保护和合法利用的状态下，多个部门协作实施的一系列活动集合。
工作内容：建立组织数据安全治理团队，指定数据安全相关制度规范，构建数据安全技术体系，建立数据安全人才梯队等。
1、完善相关政策法律，法规的落地
2、建设与实施相关标准体系，培养人才，应用关键技术
3、数据安全与发展的平衡；

数据安全治理总体视图
在这里插入图片描述
治理规划
在组织启动数据安全治理工作前，必须制定相应的规划，明确治理的目标和具体任务，匹配对应的资源，使得治理工作有条不紊的展开。
现状分析：
- 外部合规遵从：外部合规要求对比组织现有的情况；
- 现状风险分析：梳理风险清单，提炼数据安全建设需求点；
- 行业最佳实践对比：明确差距，找到问题；
方案规划：
- 组织机构建设—制度流程建设—技术工具建设—人员能力建设
访问论证：
- 可行性分析：投入与产出比是否合理
- 安全性分析：方案本身的安全性
- 可持续分析：发展兼容

治理建设—组织架构体系
明晰的组织建设是保障数据安全工作顺利开展的首要条件。
治理建设---组织架构体系

治理建设–制度流程体系
制度流程是数据安全防护要求、管理策略、操作规程等的集合。

制度层级	层级作用	制度示例
一级：防止政策	面向组织，规定时间护具安全管理的数据安全管理总则方针和总则	《数据安全管理总则》
二级：管理规定	将一级制度的总体规划，落实未相应地阿奴去拿管理制度和办法，用以知道各阶段数据安全建设。	《对外数据输出管理办法》《账号与权限管理办法》《数据脱敏管理办法》
三级：操作手册	将二级制度的各项管理办法，以操作流程或执行指南等细则方式展现，保障执行的一致性	《传输接口管理细则》《账号与权限操作指南》
四级：各类表单	按照三级制度执行过程中，产生的各类报表，记录，报告等文件。	《数据接口清单》《访问控制记录表》

治理建设–技术工具体系
技术工具是落实各项安全管理要求的有效手段，也是支撑数据安全治理系统建设的能力底座。
治理建设--技术工具体系

治理建设–人员能力体系
数据安全治理离不开相应人员的具体执行，加强对数据安全人员的培养是数据安全治理的应有之义。
治理建设--人员能力体系
治理成效评估
数据安全治理是一个持续性的过程，成效评估是考核组织数据安全治理能力的重要环节，其结果也是新一轮数据安全治理的改进依据

内部评估
应由组织管理层牵头，执行层和监督层配合执行。
应将评估结果与组织的绩效考核挂钩，皮面评估流于形式。
内部评估（评估自查，应急演练，对抗模拟）
第三方评估
《数据安全法》：支持专业机构开展数据安全相关评估认证服务工作。
现状：行业水平参差不齐，度量方法确实与监管要求，公众脐带尚有差距，缺乏贴近产业现状的指南。
问题：如何让监管放心？如何使用户满意？如何保证数据安全？

治理运营
数据安全治理的持续运营，能够打通各环节的建设内容，促进整改体系的良心发展。

数据安全治理参考框架

数据安全生命周期安全

数据安全规划

明确组织的数据安全决策团队及其分工；
梳理组织面临的内外部数据安全风险；（内部员工的误操作，删库跑路，无数据库审计，无法溯源，无法监控风险等，外部- 黑客攻击，信息泄露等）
根据业务发展指定年度及中长期发展规划，形成规划清单；
按照规划内容，落实各团队任务分工及考核；
简历任务分发及考核平台
机构人员管理
明确组织负责数据安全管理、数据安全执行、数据安全监督等工作的团队及职责分工；
明确人员岗位及职责，按最小化原则开通各项权限；
与工作人员签订保密协议、数据安全责任协议等；
明确相应的数据安全追责机制；
指定并落实各项数据安全培训及考核计划；
针对岗位变动，落实人力资源部门与数据安全管理部门、IT部门、业务部门等在用系统账号、访问权限等；
建立人员统一管理平台。

数据采集安全

明确负责数据采集安全工作的团队及职责
采集数据源可信管理，身份鉴定、用用授权；
数据采集设备管理，比如访问控制、安全加固等；
设计个人信息和重要数据的业务场景，应在采集前进行合规评估；
采集过程的日志记录及监控审计；（网络审计，数据库审计，堡垒机）
建立数采集工具；（数据库审计，网络审计，全流量监控设备）
采集过程中，实现敏感数据是被及防泄露；

数据安全传输安全

明确负责数据传输安全工作的团队及职责；
传输通管道两端主体的身份鉴别；
在数据分类分级的基础上，根据业务场景，指定数据加密传输方案，以及传输通道加密方案；（数据加密传输，可防篡改）
梳理数据传输接口，形成接口管控清单；
开展接口调用日志记录及监控审计；

数据存储安全

明确负责存储安全工作的团队及职责
在数分类分级的基础上，结合业务场景，明确不通类别和级别数据的加密存储要求，包括对急卖算法的要求和加密秘钥的管理要求；
建立存储系统或平台，并实现对账号、权限、安全基线的管理；
建立存储介质管理系统或平台，对购买，标记、审批、入库等操作进行安全管理，保障存储介质本身的安全‘

数据备份与恢复（保证数据的高可用性）

明确负责数据备份与恢复工作的推断及职责；
指定数据备份与恢复的操作流程；（定期数据恢复与备份的演练，数据备份可还原）
建立数据备份与恢复清单；
建立数据备份与恢复平台，按照上述清单定期执行备份，并对备份数据完整性和可用性进行验证；

数据使用安全
明确负责使用安全工作的软对及职责；
基于数据分类分级情况，建立不同类别和级别的数据使用、审批流程及安全评估机制；
部署数据脱敏工具，实现不通类别、不同级别的数据脱敏；
对各类数据处理活动进行日志记录和监控审计；

数据处理环境安全

明确负责数据处理安全工作的团队及职责；
明确系统的开发、上线、运维过程的安全控制措施；
对生产王、测试网等不通环境进行资源隔离；
对用户在数据处理环境上的各项加工操作进行日志审计和监控审计；
部署数据处理环境的数据防泄漏工具；
’
数据内部共享安全
明确负责数据内部共享安全工作的团队及职责；
对共享的数据内容进行评估、审批；
对共享过程进行日志记录及监控审计；
简历内部共享清单，明确共享链条；
简历数据共享工具或平台，并对其账号、权限等进行管控；
部署数据脱敏工具；
部署数据溯源工具；

数据外部共享安全

明确负责数据外部共享安全工作的团队及职责；
针对数据脱敏、数据溯源、数据留存期限、监控审计、共享接收方的身份识别、共享平台或接口的访问控制等内容制定响应的安全管理策略；
明确共享双方的安全责任，尤其是接收方的安全责任。应在共享全过程中，对接收方的数据安全防护能力进行评估。

数据销毁安全

明确负责数据销毁安全工作的团队及职责
根据数据分类分级情况，结合业务场景需要，明确不同的销毁方法和销毁工具；（销毁方式：1、物理销毁，软销毁，强磁铁进行消磁，磁盘复写，云磁盘再分配，硬销毁，直接砸磁盘。2、化学销毁，利用腐蚀性化学药剂进行磁盘腐蚀。）
建立数据账期清单，确保过期数据按时销毁；
对数据销毁过程进行监督；
对数据销毁效果进行评估；
针对已外部共享的数据，明确销毁记录并验证；