DCMM数据安全管理

来自DAMAChina
Root讨论 | 贡献2023年2月16日 (四) 14:41的版本 (创建页面,内容为“10.2数据安全管理 10.2.1 概述 数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生 存周期的数据安全管理。 10.2.2过程描述 过程描述如下: a)    数据安全等级的划分.根据组织数据安全标准,充分了解组织数…”)
(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)
跳到导航 跳到搜索

10.2数据安全管理

10.2.1 概述


数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生 存周期的数据安全管理。

10.2.2过程描述


过程描述如下:

a)    数据安全等级的划分.根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部 的数据进行等级划分并形成相关文档;

b)   数据访问权限控制,制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访 问、控制权限进行授权;

c)   用户身份认证和访问行为监控,在数据访问过程中对用户的身份进行认证识别,对其行为进行 记录和监控;

d)   数据安全的保护,提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性;

c)    数据安全风险管理,对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实.


10.2.3过程目标


过程目标如下:

a)   对组织内部的数据进行分级管理,重点关注数据的管理需求;

b)   对数据在组织内部流通的各个环节进行监控,保证数据安全;

c)   分析潜在的数据安全风险,预防风险的发生.


10.2.4能力等级标准


能力等级标准如下:

a)    第 1级 : 初始级

)在项目中进行了数据访问授权和数据安全监控;

2)  对出现的数据安全问题进行分析和管理

b)    第2 级 : 受管理级

1)  依据数据安全标准在业务部门内部对数据进行安全等级的划分;

2)  业务部门内部进行了数据利益相关者需求的识别.并进行数据访问授权以及数据安全 保护;

3)  业务部门内部进行了数据访问、使用等方面的监控;

4)  业务部门内部对潜在数据安全风险进行了分析.制定了预防措施.

c)     第3级;稳健级

1)  组织对数据进行了全面的安全等级划分,每级数据的安全需求能清晰定义,安全需求的责

任部门明确;

2)  根据外部监管定义数据范围,能清楚的定义外部监管对数据的安全需求;

3)  围绕数据生存周期,了解组织内利益相关者的数据安全需求,并对数据进行了安全授权和 安全保护;

4)  能对数据生存周期进行安全监控,及时了解可能存在的安全隐患;

5)  对于不同的数据使用对象.通过数据脱敏、加密、过滤等技术保证数据的隐私性;

6)  定期开展数据安全风险分析活动,明确分析要点.制定风险预防方案并监督实施;

7)  定期汇总、分析组织内部的数据安全问题,并形成数据安全知识库;

8)  新的项目建设中能按照数据安全要求进行数据安全等级划分、数据安全控制等;

9)  定期开展数据安全相关培训和宣贯,提升组织人员数据安全意识

d)    第 4级:量化管理级

)定义了数据安全管理的考核指标和考核办法,并定期进行相关的考核;

2)  定期总结数据安全管理工作,在组织层面发布数据安全管理工作报告;

3)  重点数据的安全控制可落实到字段级,明确核心字段的安全等级和管控措施.

e)    第5级:优化级

1)  能主动预防数据安全风险,并对已发生的数据安全问题进行溯源和分析;

2)  在业界分享最佳实践,成为行业标杆.