数据安全

来自DAMAChina
Root讨论 | 贡献2023年2月15日 (三) 16:29的版本
跳到导航 跳到搜索

数据安全包括安全策略和过程的规划、建立与执行,为数据和信息资产提供正确的身份验证、授权、访问和审计。有效的数据安全策略和过程确保合法用户能以正确的方式使用和更新数据,并且限制所有不适当的访问和更新(Ray,2012)

数据安全管理的业务驱动因素

降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全,可降低风险并增加竞争优势。

业务驱动因素

  • 降低风险
  • 业务增长
  • 安全性作为资产

目标和原则

数据安全管理的目标

数据安全管理的目标,包括以下几个方面:

  • 支持适当访问并防止对企业数据资产的不当访问。
  • 支持对隐私、保护和保密制度、法规的遵从。
  • 确保满足利益相关方对隐私和保密的要求。

数据安全管理的指导原则:

  • 协同合作:数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
  • 企业统筹:运用数据安全标准和策略时,必须保证组织的一致性。
  • 主动管理:数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈,如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
  • 明确责任:必须明确界定角色和职责,包括跨组织和角色的数据“监管链”。
  • 元数据驱动:数据安全分类分级是数据定义的重要组成部分。
  • 减少接触以降低风险:最大限度地减少敏感/机密数据的扩散,尤其是在非生产环境中。

基本概念

  • 脆弱性(Vulnerability)
  • 威胁(Threat)
  • 风险(Risk)
  • 风险分类
  • 数据安全组织
  • 安全过程
  • 访问(Access)
  • 审计(Audit)
  • 验证(Authentication)
  • 授权(Authorization)
  • 权限(Entitlement)
  • 监控
  • 数据完整性(Data Integrity)
  • 加密(Encryption)
  • 哈希(Hash)
  • 对称加密
  • 非对称加密
  • 混淆
  • 脱敏
  • 后门(Backdoor)
  • 机器人(Robot)
  • 僵尸(Zombie)
  • Cookie
  • 防火墙(Firewall)
  • 周界(Perimeter)
  • DMZ
  • 超级用户账户
  • 键盘记录器
  • 渗透测试
  • 虚拟专用网络VPN
  • 数据安全类型
  • 设施安全
  • 设备安全
  • 凭据安全
  • 密码标准
  • 多因素识别
  • 数据安全制约因素
  • 系统安全风险类型
  • 服务账户
  • 共享账
  • 平台入侵攻击
  • 注入漏洞
  • 默认密码
  • 备份数据滥用
  • 黑客行为/黑客
  • 网络钓鱼
  • 社工威胁
  • 恶意软件
  • 广告软件
  • 间谍软件
  • 特洛伊木马
  • 病毒
  • 蠕虫
  • 恶意软件来源
  • 即时消息
  • 社交网
  • 垃圾邮件

管理活动

工具和方法

实践指南

数据安全的治理