官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 观点

什么是数据安全

数据安全，从严格意义上来说，是通过管理和技术措施，确保数据有效保护和合规使用。

数据安全常见术语

数据安全顶层设计

通常我们说的数据安全的顶层设计，分别包含以下步骤

• 确定保障对象及范围
• 现状调研及差异化分析
• 保障合法合规前提，参考行业标准开展规划
• 全局规划，提供超前的数据安全建设方案
  

数据安全三板斧

1. 安全管理
2. 安全技术
3. 安全运营

常言道，三分技术，七分管理。虽然这样说会给技术大佬一种很不爽的感觉。但是，个人感觉，这个管理，并不单单就是明面上的管理。而俗话说，不懂全局的管理不是好管理，举个例子，就像一个企业的管理者，不熟悉自身的业务，也就没办法真正的管到关键 ，也就没办法带活企业。

安全管理

那么数据安全，管理体现在哪方面呢？

• 核心是数据
• 其次是人员

数据安全，首先要有数据，那么首要的核心，就是数据；

数据，水不活无鱼，那数据有了，缺乏的是用起来的人，那么人就是关键因素；

管理，就是在充分利用数据的同时，管好用数据人的过程安全。

那么，从管理者的思维来看待，更多需要注意：

• 组织架构有没有（有没有人知道自己定位，要负责什么）
• 制度流程有没有（有没有比较明确的规范定义，明确事项及人物责任）
• 安全管理的措施有没有（有没有对应的措施，保障数据安全）

安全技术

安全技术，更加侧重与数据安全生命周期中的各个环节的技术应用。

• 基础安全，身份鉴别、访问控制、办公网安全等
• 采集，身份鉴别、访问控制、数据源鉴别、数据审计、资产管理系统
• 传输，国密算法应用、HTTPS链路传输加密、专线环节
• 存储，国密算法应用、数据有效性校验、加密存储、备份恢复技术
• 处理，数据脱敏、数据加密、数据标记、数据库审计
• 交换，溯源、数据脱敏、数据加密、数据库审计
• 销毁，销毁不可逆、销毁应用

安全运营

安全运营，基于个人理解，更加像是管理与技术的融合，结合风险管理主要通过。

• 基于技术的异常监测和发现
• 基于专家经验的预判
• 基于流程化的响应执行
• 基于PDCA的有效复盘和闭环
  

其实，参考像网络安全的安全运营作业，也和数据安全的比较相似。个人感觉更需要关注前期的安全管理措施是否已到位，例如：

• 内审内控的订立（常态化运营的检查）
• 安全策略的调优
• 安全人员保密管理
• 安全人员                                                                                                                                                                                                                                             

其实综合上面的三点，也是自己在涉及数据安全方案的时候写的比较多的。

时间有限，分享就到这里啦。谢谢大家。