数据安全文件体系系列(二) | 数据安全政策总纲
点击蓝字,关注我们
本系列主要阐述数据安全领域的制度文件体系,整合业界的经验编写而成,如有谬误,请及时联系我勘正!本系列文章共计会推出6篇,本文是第二篇,感谢您的关注!
推荐阅读:
数据安全的目标。 数据安全的范围。 数据分级与分类管理。 数据安全组织与职责。 授权原则。 数据保护原则。 数据安全外部合规要求。 数据安全事件的问责要求。
01
数据安全以数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪【数据生命周期】为目标,防止敏感数据泄露,并满足合规要求。
02
数据安全要保护的数据范围:
各种结构化数据,包括存放于数据库、缓存系统中的数据。
非结构化数据,是指数据结构不规则,没有预定义的数据模型,不便用二维表来表现的数据;主要包括各类文件如办公文档、文本、图片、音频、视频等。
资源:网络资源、计算资源、存储资源、进程、产品功能、网络服务、系统文件等。
03
数据分级与分类管理
04
数据安全组织与职责
从制定数据安全政策,到最终实施,需要组织推动、各方协调和配合,才能逐步落地。
05
授权原则
仅授予相关角色或人员以完成业务工作所需的最小权限。
涉及敏感数据的权限时,考虑权限分离(SOD,Separation of Duty);
在一人承担多个重要角色时,往往可能导致授权漏洞的发生;
开发人员和运维人员分离,可在一定程度上防止随意变更、数据无意中泄露的情况;
操作系统管理员、数据库管理员、业务后台管理员由不同的员工担任,可防止其中某一个人窃取数据的风险。
授权与行权分离,负责审批权限的人不能执行,即不能审批自己提交的权限或业务单据。
06
数据保护原则
数据保护原则包括:
明确责任人:应确定每个业务领域的数据安全责任人。
基于身份的信任原则:默认不信任企业内部和外部的任何人/设备/系统,需基于身份认证和授权,执行以身份为中心的访问控制和资产保护。
数据流转原则:数据流转,包括但不限于数据共享给其他业务、数据流出当前安全域等,应经过责任人审批。
加密传输原则:外网Web业务应采取全站HTTPS加密,内网对重要的敏感数据加密传输。
加密存储原则:对敏感的个人信息、个人隐私、UGC数据、身份鉴别数据,采取加密存储措施。
脱敏展示原则:当展示个人信息时,应采取脱敏措施。
业务连续性:建立备份和恢复机制。
07
数据安全外部合规要求
数据安全外部合规要求包括:
法律法规:包括但不限于《网络安全法》《个人信息安全规范》、《数据安全法》,GDPR等。
认证/测评要求:如等级保护测评,适用于CII(关键信息资产)。
审计要求:如适用于美国上市公司的SOX审计。
监管要求:来自特定行业(金融、支付、证券、保险等)的监管要求。
08
数据安全事件的问责要求
《数据安全法》规定:
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
数据确权是针对企业重要或者高敏感数据,明确业务和技术的管理部门归属。完善和明确的的数据确权机制和流程,将数据全生命周期中的各类安全责任落实到相关部门和岗位,是数据管理和数据泄漏审计追责的基础,并为数据安全考核和评价提供依据。
数据确权就是明确数据的权利主体(业务系统、部门、组织或个人),以及享有的权利和对应的责任。准确制定这些业务系统的工作人员对敏感数据访问的权限策略和管控措施,并精确到字段级。
企业进行数据确权,明确数据使用权以及数据保护的责任,定责到人,明确数据安全出现问题时的责任对象,倒逼企业中的每个相关人及相关部门都能从源头肩负起保护数据的责任,更好地保障企业的数据安全。
往期回顾
JOIN US ▶▶▶
向下滑动查看所有内容
想了解更多数据安全的管理制度、标准规范、产品服务、认证评估等,可扫码加入「 数据安全备忘录」知识星球,更多精彩内容持续更新中!
想了解更多数据要素的政策制度、标准规范、最佳实践、行业报告等,可扫码加入「 数据要素备忘录」知识星球,更多精彩内容持续更新中!
关注【数据安全备忘录】公众号,获取更多行业资讯!
公众号|数据安全备忘录