数据安全治理(3):数据安全治理简介

U2      2020-02-03 20:31      354     

以下内容摘自《数据安全架构设计与实战》一书:

数据安全治理是企业为达成数据安全目标而采取的战略、组织、政策的总和。数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等,目的是让企业在市场中保持竞争优势、法律合规以及数据的安全。

假设我们已经知道了如何打造安全的产品以及建立安全体系的知识(如果您还不知道,可参考《数据安全架构设计与实战》),但这些知识并不会自发的落地到产品或安全体系中。无为而治是行不通的,需要通过一些主动的治理,达成企业整体的数据安全目标。

数据安全的目标是保障数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪,防止敏感数据泄露,并满足合规要求(包括法律法规的要求、监管的要求、合同义务、认证/测评机构认可的行业最佳实践等)。这一目标状态是在我们的政策文件中所明确的,即我们期望或将要达到的状态。

数据安全治理

数据安全治理确定了边界、改进方向,以及朝着目标方向前进所进行的战略决策、组织架构设计、政策制定、监督等活动。

提示:在实践中,数据安全治理的大部分工作通常是由第二道防线(也就是风险管理部门,比如数据安全管理部)规划方案,然后在董事会或风险管理委员会决策,形成决议后才生效的。

如果把目标比作“交通安全”,那么,治理就包括了:

  • 交通安全战略目标,比如“零伤亡”。
  • 交通管理参与各方的职责划分,监督与问责机制。
  • 交通规则(合规要求)。

等等一系列管理和技术的活动。

以此类推,数据安全治理大致分为如下几个子领域:

  • 确定数据安全战略。
  • 数据安全组织的设计,确定权责边界,监督与问责机制。
  • 制定数据安全政策文件体系(含政策总纲、管理规定、标准规范、流程等)。

 

本文地址: https://www.janusec.com/articles/data/1580733066.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.