官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
为什么需要构建数据安全制度管理体系
常言道,工欲善其事,必先利其器。对于一个组织而言,除了有标准的岗位职责,能够落实到实处。
还缺少体系化的指引。例如,笔者在多任务的调研中,就可以发现,大部分单位其实是有基础的信息安全管理制度,但是,对数据安全的制度体系构建,却常常不够重视或者直接忽略。
数据安全制度建设的对象和范围
主体对象是数据
言简意赅,我们制度体系的构建,首要的保护主体就是数据。
制度体系的范围
制度体系的设计框架和范围主要有以下几类
- 通用数据安全保障(侧重基础安全、例如物理安全、安全计算环境等)
- 数据全生命周期安全(采集、传输、存储、处理、共享、销毁)
数据安全制度的参考依据
为了更好的指导数据安全的日常工作,我们需要找一个榜样,去参照学习。
那什么是比较合适的参照对象呢?小白我整理了如下这些:
- 数据安全的法律法规(《中华人民共和国数据安全法》、《个人信息保护法》等)
- 数据安全相关的国家、行业标准(GBT 、YDT等文件)
- 业界的最佳实践(金融行业数据分类分级等)
数据安全制度的编制架构
参照ISO 27001国际标准管理内容,可结合单位网络安全管理现状,形成由政策方针、制度规范、操作指南、记录表单等分级、安全的管理制度结构。
数据安全制度的生命周期
其实与其说是数据安全制度的生命周期,倒不如说常规制度的生命轨迹亦如是。
正常的制度都会经历下列的过程,从0到1,从有到持续优化。
主要可以概括为:
- 制度需求产生,编制
- 制度的多方参考,审核
- 制度的最终定稿,发布
- 制度的可执行性,优化(根据实际情况进行制度优化)
数据安全制度建设的思考
虽然制度体系总体框架是已经拟定好了,但还是会有一些需要考虑的问题:
- 数据的流转是否清晰
- 是否确定了数据安全制度的使用对象和业务场景
- 制度编制是否相关方也有参与
- 数据安全制度的执行力度
- 数据安全制度的标准框架
数据安全制度建设的建议
- 前期的数据安全调研很重要
- 制度建设需要考虑数据的流转(业务连续性)
- 制度执行程度(需搭配内审内控进行常态化的验证)
- 常见的架构如下图
感恩大家的观看,那么今天就到这里哈。
我会继续分享我的一些想法的,再次感谢。