数据安全

数据安全包括安全策略和过程的规划、建立与执行，为数据和信息资产提供正确的身份验证、授权、访问和审计。

有效的数据安全策略和过程确保合法用户能以正确的方式使用和更新数据，并且限制所有不适当的访问和更新（Ray，2012）

降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全，可降低风险并增加竞争优势。

数据安全活动目标，包括以下几个方面：

• 支持适当访问并防止对企业数据资产的不当访问。
• 支持对隐私、保护和保密制度、法规的遵从。
• 确保满足利益相关方对隐私和保密的要求。

组织数据安全遵循以下指导原则：

• 协同合作：数据安全是一项需要协同的工作，涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。
• 企业统筹：运用数据安全标准和策略时，必须保证组织的一致性。
• 主动管理：数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈，如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。
• 明确责任：必须明确界定角色和职责，包括跨组织和角色的数据“监管链”。
• 元数据驱动：数据安全分类分级是数据定义的重要组成部分。
• 减少接触以降低风险：最大限度地减少敏感/机密数据的扩散，尤其是在非生产环境中。