データセキュリティの構築、完全なアップグレード重剥離後の「データセキュリティガバナンス白書」2.0アップデートの方法論として。中国のネットワークセキュリティデータのセキュリティと情報技術産業のガバナンス委員会により調製白書連合(ガバナンス委員会のデータセキュリティ)、編、データセキュリティシステム、国内外の情勢や市場動向、標準化とフレームワークを探索する、と一緒に業界ベンチマークデータセキュリティの数をもたらしました政府と企業のためのデータセキュリティの構築のためのガバナンスの実践は、全体のデータセキュリティの実装の設計と建設の実践のための基準値を持っているように、データセキュリティソリューションおよびケース管理を提供する、総合的な思考と計画を提供します。
「データセキュリティガバナンス白書」バージョン2.0改訂ノート
「データセキュリティガバナンス白書」バージョン2.0には、次の改訂と改善:
1、抗恐喝データベース技術、脅迫のデータベース分析の増加は、恐喝は、抗技術を提案しています。
2、解釈に関連する個人情報の収集およびプライバシーポリシー評価報告書を高めます。
3、2019年に国内でも国外でのデータセキュリティイベントの概要を更新。
4、データセキュリティの規則および命令の標準リストを高めます。
5、データ・セキュリティ・ポリシーおよび外部ガバナンスは、金融機関データガバナンスガイドラインを銀行、個人情報セキュリティマネジメントの実践の増加が続くことを特徴とします。
6、付録Cデータセキュリティ、省セキュリティガバナンスの実践、市政府のクラウドデータガバナンスの実践、安全性データガバナンス慣行ナショナルグリッド、3つの新たな業界慣行を高めるための教育データガバナンス慣行の。
7、セキュリティイベントを高めるために、重要なデータの付録D国内外では、マリオットの5億データ漏洩やウイルス恐喝のユーザーとOracle Rushqlイベントを含めます。
8、透過的データ暗号化技術が増加します。
9、抗恐喝データベース技術を増やします。
10、テキストと段落構造最適化のフルテキストコンテンツ。
「データセキュリティガバナンス白書」2.0 Liteの
1、データセキュリティは、建物の建設の体系的な思考が必要です
1.1は、データセキュリティは、セキュリティの中核課題となっています
過去20年を振り返ると、政府と情報技術企業の程度は結果として増加し、複雑さとITシステムのオープン性を深めるために引き続き、クラウド・コンピューティング、ビッグデータと人工知能に関連した新技術は、そのようなサポートなどのデータの急速な発展を最先端技術の生産・開発が存在するが、組織、前例のない関心と保護の中核資産となっています。データセキュリティの問題は、セキュリティの問題や企業の社会的意思決定につながります。データセキュリティ上の問題は、企業の資産のセキュリティ、個人のプライバシー、国家と社会保障の中核課題となっています。
1.2、データ漏洩経路の多様化
過去数年にわたり、データ侵害の分析上の別の後に大規模なデータ侵害は、*** ***の両方は、より多くの情報家スタッフの販売は、元従業員は、サードパーティ製のアウトソーサーの取引を情報を漏洩しました、データは、サードパーティのデータ漏洩、違法な開発者や他のテスターを共有します。
防衛・安全保障システムは、データセンターのニーズに政策、伝統的なネットワークセキュリティをオブジェクトのための***、***抵抗するための重要なセキュリティ上の欠陥がある中心の伝統的なネットワークセキュリティの構築:これらは、漏れ防止のすべての複雑な方法ですセキュリティポリシー中心の変更。
1.3、データセキュリティ規制や基準勃発
別の後にセキュリティインシデント、事業資産と国家安全保障上の課題、安定性、個人の自由や社会の安全保障に大きな課題をもたらした高度に発達したデータの時代、個人のプライバシーの大規模なリーク。したがって、すべての国が重要なデータを保護するための規制、個人、企業や国の数を発行しました。
1.4は、データのセキュリティを体系的思考と建築工事のフレームワークを必要とし
データセキュリティのアップグレードの重要性として、ユーザーは、この方向への投資も増加している、KVBResearch2017年大数据安全报告预测显示によると、2017年におけるビッグデータの安全なグローバル投資額は102億ドルに達し、17%で展開中の化合物の年間成長率は、2023年に2000億元である309億ドルに達するだろう。
(KVBリサーチビッグデータセキュリティの市場予測について)
しかし、この方向に投資するデータ資産価値が確認され、政府機関や企業、ネットワークセキュリティ方式の導入により、私たちの国でも、データ監査を増加しており、脱感作対象データセキュリティのための暗号化は、ホット投資の調達となってきています。
技術的なデータセキュリティとデータのセキュリティ管理のデータセキュリティ管理の考え方一緒に、統合サービス、セキュリティ、ネットワークなど、体系的にまとめについてのアイデアや方法のマルチロールマルチセクターの需要。
2、データセキュリティガバナンスの基本的な考え方
データセキュリティガバナンス原則とフレームワーク、国際研究機関、大企業市場の観点から、マイクロソフトのデータプライバシー、コンプライアンス上のこの研究のガートナー排他的なドメインはまた、プライバシー、機密性とコンプライアンスデータガバナンスプログラムを調達していました。国際的な視野この理解に基づいから、我々は中国の哲学と技術的なルートでのデータセキュリティガバナンスを提示し、アイデアをより効果的に中国でのギャップを埋める国の着陸の概念の実装の実現に貢献します。
2.1データセキュリティガバナンスの概要
データセキュリティガバナンスは、セキュリティシステムの方法論を構築する目的のために、「より安全にデータを作る」ことで、コアコンテンツが含まれます:
(1)满足数据安全保护(Protection)、合规性(Compliance)、敏感数据管理(Sensitive)三个需求目标;
(2)核心理念包括:分级分类(Classfiying)、角色授权(Privilege)、场景化安全(Scene);
(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;
(4)核心实现框架为数据安全人员组织(Person)、数据安全使用的策略和流程(Policy & Process)、数据安全技术支撑(Technology)三大部分。
2.2、数据安全治理建设与演进模型
为了有效地实践数据安全治理过程,我们需要一个系统化的过程完成数据安全治理的建设
数据安全治理建设体系
组织构建:在数据安全治理中,首要任务是成立专门的安全治理团队,保证数据安全治理工作能够长期持续的得以执行;
资产梳理:在队伍构建后,重要的是对企业中的数据资产进行盘点;
策略制订:根据梳理的情况,要对数据进行分级分类,要对人员进行角色划分,要对角色对数据使用的场景进行限定,要对这些场景下的安全策略和措施进行规定;
过程控制:不同的角色团队,要在日常的管理、业务执行和运维工作中,将相关的流程规定落地执行,要采用相对应的数据安全支撑工具,在办公和运维的过程中将这些工具进行融入;
行为稽核:要对数据的访问过程进行审计,看在当前的安全策略有效执行的情况下,是否还有潜在的安全风险;
持续改善:对当前的数据资产情况进行进一步的梳理,改组当前的数据安全组织结构,修订当前企业的数据安全策略和规范,持续保证安全策略的落地。
3、数据安全治理的组织建设
数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。
某运营商的数据安全治理的相关组织和角色结构图
(注:深色是部门,浅色是角色,结构中覆盖了业务、安全、运维和企业的相关管理支撑部门)
4、数据安全治理规范制定
在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制定,在企业或行业内经常被作为《某某数据安全管理规范》进行发布,所有的工作流程和技术支撑都是围绕着此规范来制定和落实。
5、数据安全治理技术支撑框架
5.1、数据安全治理的技术挑战
实施数据安全治理的组织,一般都具有较为发达和完善的信息化水平,数据资产庞大,涉及的数据使用方式多样化,数据使用角色繁杂,数据共享和分析的需求刚性,要满足数据有效使用的同时保证数据使用的安全性,需要极强的技术支撑。
数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。
当前数据安全治理面临的挑战
5.2、数据安全治理的技术支撑
5.2.1数据资产梳理的技术支撑
数据安全治理,始于数据资产梳理。数据资产梳理是数据库安全治理的基础,通过对数据资产的梳理,可以确定敏感数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况。根据本单位的数据价值和特征,梳理出本单位的核心数据资产,对其分级分类,在此基础之上针对数据的安全管理才能确定更加精细的措施。
(1)静态梳理技术
(2)动态梳理技术
(3)数据状况的可视化呈现技术
(4)数据资产存储系统的安全现状评估
5.2.2数据使用安全控制
数据在使用过程中,按照数据流动性以及使用需求划分,将会面临如下使用场景:
●通过业务系统访问数据
●在数据库运维时调整数据
●开发测试时使用数据
●BI分析时使用数据
●面向外界分发数据
●内部高权限人员使用数据
在数据使用的各个环节中,需要通过技术手段将各个场景下的安全风险有效规避。
5.2.3数据安全审计与稽核
数据的安全审计和稽核机制由四个环节组成,分别是行为审计与分析、权限变化监控、异常行为分析、建立安全基线。
6、数据安全治理的发展展望
Gartner预测,到2021年,将有超过30%的企业开始实施执行数据安全治理框架。到2022年,90%的企业战略将明确数据作为关键企业资产,数据分析作为必不可少的能力。30%的CDO(首席数字官)将与CFO(首席财务官)正式对组织的数据资产价值进行评估,以改善数据的管理和收益。超过30%的企业(目前不到5%)将使用其数据资产的财务风险评估来对IT、分析、安全和隐私的投资选择进行优先级排序。
数据安全治理产业,大体可以分为大型数据中心用户、安全治理咨询服务商、技术产品 供应商、技术方案提供商;当前在中国这样的产业链环境正在形成,通过这些产业链的构建,将为数据安全治理的落地提供保障。
数据使用带来的财务影响,Gartner最新通过信息经济学模型来评估,即财务数据风险评估(FinDRA)模型。信息经济学作为一个重要的工具,可以使安全和风险管理(SRM)领导者,首席信息安全官(CISO),首席数据官(CDO)和CIO,根据收入机会评估每个数据集。信息经济学模型还允许他们对管理、存储、分析和保护数据的有形和无形成本进行评估。财务数据风险评估(FinDRA)模型如图所示:
财务数据风险评估流程
这意味着需要仔细评估不同金融负债的业务风险,无论是数据货币化产生的短期还是长期影响。该研究将描述如何评估潜在负债的规模并根据影响确定优先级。需要注意的是,财务风险评估是更广泛的数字风险评估视图的一部分。
7、附录
附件A 词汇列表
附件B 国际数据安全治理理论
附件C 数据安全治理实践
附件D 数据安全生态环境
附件E 数据安全成熟度模型
附件F 数据安全治理重要相关技术
扫描二维码
获取白皮书完整版