DCMM数据安全管理

来自DAMAChina
Root讨论 | 贡献2023年2月17日 (五) 03:46的版本
(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)
跳到导航 跳到搜索

概述

数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生 存周期的数据安全管理。

过程描述

过程描述如下:

  • 数据安全等级的划分.根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部 的数据进行等级划分并形成相关文档;
  • 数据访问权限控制,制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访 问、控制权限进行授权;
  • 用户身份认证和访问行为监控,在数据访问过程中对用户的身份进行认证识别,对其行为进行 记录和监控;
  • 数据安全的保护,提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性;
  • 数据安全风险管理,对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实.

过程目标

过程目标如下:

  • 对组织内部的数据进行分级管理,重点关注数据的管理需求;
  • 对数据在组织内部流通的各个环节进行监控,保证数据安全;
  • 分析潜在的数据安全风险,预防风险的发生.

能力等级标准

能力等级标准如下:

第1级:初始级

  1. 在项目中进行了数据访问授权和数据安全监控;
  2. 对出现的数据安全问题进行分析和管理

第2级:受管理级

  1. 依据数据安全标准在业务部门内部对数据进行安全等级的划分;
  2. 业务部门内部进行了数据利益相关者需求的识别.并进行数据访问授权以及数据安全 保护;
  3. 业务部门内部进行了数据访问、使用等方面的监控;
  4. 业务部门内部对潜在数据安全风险进行了分析.制定了预防措施.

第3级:稳健级

  1. 组织对数据进行了全面的安全等级划分,每级数据的安全需求能清晰定义,安全需求的责任部门明确;
  2. 根据外部监管定义数据范围,能清楚的定义外部监管对数据的安全需求;
  3. 围绕数据生存周期,了解组织内利益相关者的数据安全需求,并对数据进行了安全授权和 安全保护;
  4. 能对数据生存周期进行安全监控,及时了解可能存在的安全隐患;
  5. 对于不同的数据使用对象.通过数据脱敏、加密、过滤等技术保证数据的隐私性;
  6. 定期开展数据安全风险分析活动,明确分析要点.制定风险预防方案并监督实施;
  7. 定期汇总、分析组织内部的数据安全问题,并形成数据安全知识库;
  8. 新的项目建设中能按照数据安全要求进行数据安全等级划分、数据安全控制等;
  9. 定期开展数据安全相关培训和宣贯,提升组织人员数据安全意识

第4级:量化管理级

  1. 定义了数据安全管理的考核指标和考核办法,并定期进行相关的考核;
  2. 定期总结数据安全管理工作,在组织层面发布数据安全管理工作报告;
  3. 重点数据的安全控制可落实到字段级,明确核心字段的安全等级和管控措施.

第5级:优化级

  1. 能主动预防数据安全风险,并对已发生的数据安全问题进行溯源和分析;
  2. 在业界分享最佳实践,成为行业标杆.