“DCMM数据安全管理”的版本间差异
跳到导航
跳到搜索
(创建页面,内容为“10.2数据安全管理 10.2.1 概述 数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生 存周期的数据安全管理。 10.2.2过程描述 过程描述如下: a) 数据安全等级的划分.根据组织数据安全标准,充分了解组织数…”) |
小无编辑摘要 |
||
第1行: | 第1行: | ||
=== 概述 === | |||
数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生 存周期的数据安全管理。 | 数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生 存周期的数据安全管理。 | ||
=== 过程描述 === | |||
过程描述如下: | 过程描述如下: | ||
* 数据安全等级的划分.根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部 的数据进行等级划分并形成相关文档; | |||
* 数据访问权限控制,制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访 问、控制权限进行授权; | |||
* 用户身份认证和访问行为监控,在数据访问过程中对用户的身份进行认证识别,对其行为进行 记录和监控; | |||
* 数据安全的保护,提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性; | |||
* 数据安全风险管理,对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实. | |||
=== 过程目标 === | |||
过程目标如下: | 过程目标如下: | ||
* 对组织内部的数据进行分级管理,重点关注数据的管理需求; | |||
* 对数据在组织内部流通的各个环节进行监控,保证数据安全; | |||
* 分析潜在的数据安全风险,预防风险的发生. | |||
=== 能力等级标准 === | |||
能力等级标准如下: | 能力等级标准如下: | ||
==== 第1级:初始级 ==== | |||
# 在项目中进行了数据访问授权和数据安全监控; | |||
# 对出现的数据安全问题进行分析和管理 | |||
==== 第2级:受管理级 ==== | |||
# 依据数据安全标准在业务部门内部对数据进行安全等级的划分; | |||
# 业务部门内部进行了数据利益相关者需求的识别.并进行数据访问授权以及数据安全 保护; | |||
# 业务部门内部进行了数据访问、使用等方面的监控; | |||
# 业务部门内部对潜在数据安全风险进行了分析.制定了预防措施. | |||
==== 第3级:稳健级 ==== | |||
# 组织对数据进行了全面的安全等级划分,每级数据的安全需求能清晰定义,安全需求的责任部门明确; | |||
# 根据外部监管定义数据范围,能清楚的定义外部监管对数据的安全需求; | |||
# 围绕数据生存周期,了解组织内利益相关者的数据安全需求,并对数据进行了安全授权和 安全保护; | |||
# 能对数据生存周期进行安全监控,及时了解可能存在的安全隐患; | |||
# 对于不同的数据使用对象.通过数据脱敏、加密、过滤等技术保证数据的隐私性; | |||
# 定期开展数据安全风险分析活动,明确分析要点.制定风险预防方案并监督实施; | |||
# 定期汇总、分析组织内部的数据安全问题,并形成数据安全知识库; | |||
# 新的项目建设中能按照数据安全要求进行数据安全等级划分、数据安全控制等; | |||
# 定期开展数据安全相关培训和宣贯,提升组织人员数据安全意识 | |||
==== 第4级:量化管理级 ==== | |||
# 定义了数据安全管理的考核指标和考核办法,并定期进行相关的考核; | |||
# 定期总结数据安全管理工作,在组织层面发布数据安全管理工作报告; | |||
# 重点数据的安全控制可落实到字段级,明确核心字段的安全等级和管控措施. | |||
==== 第5级:优化级 ==== | |||
# 能主动预防数据安全风险,并对已发生的数据安全问题进行溯源和分析; | |||
# 在业界分享最佳实践,成为行业标杆. |
2023年2月17日 (五) 03:46的最新版本
概述
数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生 存周期的数据安全管理。
过程描述
过程描述如下:
- 数据安全等级的划分.根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部 的数据进行等级划分并形成相关文档;
- 数据访问权限控制,制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访 问、控制权限进行授权;
- 用户身份认证和访问行为监控,在数据访问过程中对用户的身份进行认证识别,对其行为进行 记录和监控;
- 数据安全的保护,提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性;
- 数据安全风险管理,对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实.
过程目标
过程目标如下:
- 对组织内部的数据进行分级管理,重点关注数据的管理需求;
- 对数据在组织内部流通的各个环节进行监控,保证数据安全;
- 分析潜在的数据安全风险,预防风险的发生.
能力等级标准
能力等级标准如下:
第1级:初始级
- 在项目中进行了数据访问授权和数据安全监控;
- 对出现的数据安全问题进行分析和管理
第2级:受管理级
- 依据数据安全标准在业务部门内部对数据进行安全等级的划分;
- 业务部门内部进行了数据利益相关者需求的识别.并进行数据访问授权以及数据安全 保护;
- 业务部门内部进行了数据访问、使用等方面的监控;
- 业务部门内部对潜在数据安全风险进行了分析.制定了预防措施.
第3级:稳健级
- 组织对数据进行了全面的安全等级划分,每级数据的安全需求能清晰定义,安全需求的责任部门明确;
- 根据外部监管定义数据范围,能清楚的定义外部监管对数据的安全需求;
- 围绕数据生存周期,了解组织内利益相关者的数据安全需求,并对数据进行了安全授权和 安全保护;
- 能对数据生存周期进行安全监控,及时了解可能存在的安全隐患;
- 对于不同的数据使用对象.通过数据脱敏、加密、过滤等技术保证数据的隐私性;
- 定期开展数据安全风险分析活动,明确分析要点.制定风险预防方案并监督实施;
- 定期汇总、分析组织内部的数据安全问题,并形成数据安全知识库;
- 新的项目建设中能按照数据安全要求进行数据安全等级划分、数据安全控制等;
- 定期开展数据安全相关培训和宣贯,提升组织人员数据安全意识
第4级:量化管理级
- 定义了数据安全管理的考核指标和考核办法,并定期进行相关的考核;
- 定期总结数据安全管理工作,在组织层面发布数据安全管理工作报告;
- 重点数据的安全控制可落实到字段级,明确核心字段的安全等级和管控措施.
第5级:优化级
- 能主动预防数据安全风险,并对已发生的数据安全问题进行溯源和分析;
- 在业界分享最佳实践,成为行业标杆.