1.為什么要數(shù)據(jù)資產(chǎn)梳理和定位
(1)使用部門和角色梳理:需要明確數(shù)據(jù)資產(chǎn)被哪些部門��、系統(tǒng)��、人員使用,數(shù)據(jù)被如何使用�。
(2)數(shù)據(jù)存儲(chǔ)與分布梳理:對(duì)于數(shù)據(jù)資產(chǎn)存儲(chǔ)在哪些數(shù)據(jù)庫(kù)中����,這些數(shù)據(jù)庫(kù)支撐哪些業(yè)務(wù)系統(tǒng),有什么樣的使用特征,便于對(duì)分布在不同數(shù)據(jù)庫(kù)中的敏感數(shù)據(jù)資產(chǎn)實(shí)施不同的安全策略。
(3)數(shù)據(jù)使用狀況梳理 :掌握 數(shù)據(jù)資產(chǎn)被哪些系統(tǒng)或者人員使用����,可以統(tǒng)計(jì)數(shù)據(jù)資產(chǎn)的使用熱度���, 便于準(zhǔn)確制定針對(duì)系統(tǒng)或人員對(duì)數(shù)據(jù)資產(chǎn)訪問(wèn)的權(quán)限策略及管控措施����。
2.為什么要做數(shù)據(jù)安全管控
(1)政策合規(guī)性:滿足等級(jí)保護(hù)測(cè)評(píng)要求��。安全管理:權(quán)限用戶訪問(wèn)的賬號(hào)進(jìn)行權(quán)限管理;對(duì)敏感數(shù)據(jù)使用做到對(duì)內(nèi)外部訪問(wèn)進(jìn)行攻擊防護(hù)���,針對(duì)內(nèi)部高數(shù)據(jù)的使用做到安全記錄�。高敏感數(shù)據(jù)訪問(wèn)審批原則:對(duì)高敏感數(shù)據(jù)的使用做到安全記錄��。
(2)數(shù)據(jù)共享;針對(duì)數(shù)據(jù)共享做到最小共享和模糊化原則�,對(duì)共享數(shù)據(jù)進(jìn)行司將不同數(shù)據(jù)級(jí)別的數(shù)據(jù)進(jìn)行加密存儲(chǔ)并對(duì)密文數(shù)據(jù)進(jìn)行訪問(wèn)控制�。
3.為什么需要數(shù)據(jù)治理稽核
(1)合規(guī)性檢查:確保數(shù)據(jù)安全 使用策略被真實(shí)執(zhí)行�。
(2)操作監(jiān)管與稽核:針對(duì)數(shù)據(jù)訪問(wèn)賬 號(hào)和權(quán)限的監(jiān)管與稽核;具有賬號(hào)和權(quán)限的報(bào)告具有賬號(hào)和權(quán)限的變化報(bào)告;業(yè)務(wù)單位和運(yùn)維部門數(shù)據(jù)訪問(wèn)過(guò)程的合法性監(jiān)管與稽核;定義異常訪問(wèn)行為特征;對(duì)數(shù)據(jù)的訪問(wèn)行為具有完全的記錄和分析���。
(3)風(fēng)險(xiǎn)分析與發(fā)現(xiàn):對(duì)日志進(jìn)行大數(shù)據(jù)分析�����,發(fā)現(xiàn)潛在的異常
行為:根據(jù)分析結(jié)果建立安全基線策略。
4.數(shù)據(jù)安全治理服務(wù)目標(biāo):
(1)摸清數(shù)據(jù)資產(chǎn)安全現(xiàn)狀:通過(guò)數(shù)據(jù)安全治理服務(wù),可以加強(qiáng)數(shù)據(jù)環(huán)境下的數(shù)據(jù)管理安全、全面排查重要信息系統(tǒng)�����、關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)安全保護(hù)狀況�,摸清風(fēng)險(xiǎn),堵塞漏洞,深入實(shí)施國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。
(2)解決數(shù)據(jù)使用安全問(wèn)題:數(shù)據(jù)安全治理服務(wù)可以構(gòu)建數(shù)據(jù)安全保護(hù)機(jī)制����,并在數(shù)據(jù)環(huán)境下確保數(shù)據(jù)使用過(guò)程中�,按照數(shù)據(jù)流動(dòng)性以及使用需求�,通過(guò)技術(shù)手段將各個(gè)場(chǎng)景下的安全風(fēng)險(xiǎn)進(jìn)行有效規(guī)避。
(3)降低組織數(shù)據(jù)安全風(fēng)險(xiǎn):針對(duì)數(shù)據(jù)環(huán)境下的數(shù)據(jù)管理安全,
數(shù)據(jù)安全治理服務(wù)。
