当前位置:首页 > 解决方案
数据安全管理标准建设方案
  • 发表时间:2017-08-20 点击数:881
  • 来源:未知

一、数据安全管理体系建设原则

根据企业实际情况、数据安全管理的分类,分别制定企业数据安全管理的制度规范,做到制度约束,规范管理。
数据安全管理是计划、制定、执行相关安全策略和规程,确保数据和信息资产在使用过程中由恰当的认证、授权、访问和审计等措施。

二、数据安全管理体系建设策略

1. 理解数据安全需要和监管要求:实现企业内部数据安全首先需对业务要求进行透彻的了解;

2. 定义数据安全策略:基于数据安全要求定义的数据安全策略工作,需要IT安全管理员、数据管理专员、内部和外部审计小组及法律部的协同努力;

3. 定义数据安全标准:目前企业还没有统一的方式实施数据安全以满足隐私和保密要求。但是企业的利益相关者和监管者都需要关注数据访问、隐私和保密性要求,因此利用这些要求,企业可以创建一个实用的、可执行的安全策略,以及数据安全指导原则;

4. 定义数据安全控制及措施:企业需要设计自己的安全控制措施,并证明这些措施符合法律法规要求,同时记录这些措施的执行情况;

5. 管理用户名、密码和用户组成员:在工作组和和业务单位层面创建组定义,在层级结构中对角色进行组织,通过子角色进一步限制父角色的权限;

6. 管理数据访问视图、字段和权限:通过授予权限,控制用户对敏感数据的访问,没有权限的用户无法执行任何操作;

7. 监控用户身份认证和访问行为:在多个层面或数据接触点出执行监控。如,应用程序监控;对某些用户和角色组实施监控;用于数据完整性验证监控;对配置和核心元数据验证实施监控;对跨异构系统依赖关系检查实施监控。

8. 划分信息密级:典型的密级分类模式主要包括以下5个等级。公众级、内部使用、机密、受限机密、注册机密。

9. 审计数据安全:按照最佳实践和需求,分析数据安全策略和标准;分析实施规程和实际做法,确保数据安全目标、策略、标准、指导方针和预期结果相一致;评估现有标准和规程是否适当,是否与业务要求和技术要求相一致;验证机构是否符合监管法规要求;评价违背数据安全行为的上报规程和通知机制;评审合同、数据共享协议、确保外包和外部供应商切实履行他们的数据安全义务,同时保证组织要履行自己应尽的义务;向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态,以及组织的数据安全事件安全成熟度;推荐数据安全的设计、操作和合规改进工作。