一图说:数据安全分类分级 2024-08-01 04:03:25 一句话说数据治理的小专题进行了四期了,讲了数据治理、数据标准、数据资产、数据架构,秉承深度思考、专业探讨的定位,希望能够用第一性原理的视角和方法来审视数据治理的基本概念,穿透“相”看到“身”,讲干货,出好货。但是,毕竟有些概念不是一句话可以涵盖的,尤其是顶层概念之下,进入实操层面,一句话的思辨容易抽象过度。那么,今天开始尝试一个新的模式,使用图说的方式来剖析一些目前工作中的重点课题。《一句话》和《一图说》可能在以后交替进行,从概念层面和实操层面不断深入。今天第一篇图说,从数据安全分类分级开始。先上图:安全分类分级这是一个“硬核课题”。从数据治理开始,除了标准化和价值应用,重要的课题就是质量+安全。安全是底线,是价值应用的前提和基础,没有安全的“1”,后面的“0”都无从落脚。所以,构建一个满足企业安全管理要求的管理管控体系,至关重要。但是,“把文章读遍”,还是“无从下刀”。为什么,因为,一方面理论体系的庞杂,一方面是技术措施的不断演进和安全问题的赛跑,更是企业内部组织力的聚合。这些复杂问题,导致简单的书面概念其实在企业落地面临很多的课题有待解决。上面的图,将安全分类分级的主要概念梳理了一下,基本上将实施安全分类分级的过程进行了一个归纳。1、 数据资产,和元数据关联,是数据安全最终的落脚点;2、 数据标准,如《一句话说数据标准》,这里是“锚点”;3、 数据定级,这个是数据安全定级的操作标准,从数据标准引申到定级标准,然后为后续的技术性措施提供指引;4、 安全策略,这个是数据分类分级的真正核心,就是当有了一套所谓的管理制度和规范后,具体如何衔接到纯粹的技术措施和方法,从制度到方法,中间需要一个“实施策略”。这里的安全策略,是一个基于数据环境,同时主要从数据环境的变更作为“管控点”的策略。它的基本思路是:1) 数据是依托于环境进行采集、存储的,在企业的实际工作中,就静止数据而言,环境的安全策略已经基本覆盖了数据的安全策略,包括系统、网络、用户权限等。2) 只有在环境发生变更,就是数据出现了传输等过程,从一个环境变迁到另一个环境,这个时候,静止数据的环境安全策略无法覆盖,需要就环境变更产生的动态情况进行安全策略的制定,这就是数据的脱敏、加密等技术保护措施的实施动因。在现代企业中,静止数据的安全措施总体上是有一定基础的,相对于动态数据而言也是更加丰富和完整的。比如物理的机房准入,网络的访问控制,防火墙的管理,用户访问权限,数据生命周期的管理等等。薄弱点在于动态数据部分。比如,当一份生产数据要传输到第三方,这个时候如何处理?谁负责这个事情?具体要做什么处理?谁实施这个操作?在什么地方进行?这些内容,就容易出现空白。所以,数据安全分类分级工作,要从企业实际情况出发,不是枉顾实际情况,单纯援引理论直接单搞一套重复建设,而是要和企业已有的安全基础设施、制度体系框架、组织结构和流程机制等结合,从痛点入手,查漏补缺,快速的补短板,形成一套更加完整的数据安全管控体系。而这套体系如果仅仅停留在《办法》、《规范》、《指引》上,那还是不接地气,最终要平台化、系统化。通过数据资产盘点、数据标准制定、数据安全定级的索引,再通过数据溯源定位好数据主人,基本上可以在系统平台上解决“WHO”的问题,就为如何动员组织能力提供了一个抓手。把做什么想明白,把谁来做想明白,把怎么做平台化,这个就是这幅图想说的内容吧。 (欢迎大家加入知识星球获取更多资讯。) 联系我们 赞 (0) 相关推荐 你不知道的无线网络安全标准与纵深防御技巧! 无线安全技术的完善,使得该技术在最近几年内,从不受信任.仅能作为某个技术备胎的新鲜事物,逐步发展成为数据通讯的基石以及日常生活不可分割的一步分. 据预测:很快,大多数人会将拥有的移动智能手机作为其重要 ... 清华大学信息化技术中心吴海燕:提升数据安全四大对策 | 封面报道 大数据 针对大数据环境下的高校数据安全问题,我们建议在规划.建设.运行过程中,同步考虑"把数据关进笼子,让数据访问在阳光下进行"的数据安全策略. 吴海燕 清华大学信息化技术中心 清 ... 医保网络安全体系2022年建成 国家医保局近日发出<关于印发加强网络安全和数据保护工作指导意见的通知>,要求到2022年,基本建成基础强.技术优.制度全.责任明.管理严的医疗保障网络安全和数据安全保护工作体制机制.到&q ... 数据安全策略,这些高校这么做 | 封面报道 编者按: 教育行业的数据安全总体来说处于比较初级的阶段,重视不够.体系不全.机制不顺.保障不力.伴随<网络安全法>的正式实施.数据泄露事件的增多.大数据应用中的各种挑战让高校越来越意识到制 ... 数据安全治理:数据的分类分级指南 菜鸟数据之道 1篇原创内容公众号来源:谈数据,作者:石秀峰<中华人民共和国数据安全法>(简称:数据安全法)第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及 ... 分类分级训练——入门王羲之手札,大部分人没有这套计划 学习王羲之手札的通病是,漫无目标,不懂得分类.分层级临写,既浪费时间也没能把握其核心脉络.现将王羲之手札按笔法难易程度分为几个层级,可望帮助大家有次序地分类学习. 一,看到新帖子,首先要想什么对大王手 ... 网络安全等级保护:网络安全漏洞分类分级及管理规范 2021年7月12日,根据<网络安全法>关于漏洞管理有关要求,工业和信息化部.国家互联网信息办公室.公安部联合制定<网络产品安全漏洞管理规定>,主要目的是维护国家网络安全,保护 ... 农业农村部发出一号部令:渔船实施分类分级分区管控 " 摘要:农业农村部发出一号部令,全面修改<渔业捕捞许可管理规定>,对渔船分类分级分区管理和提高渔业组织化水平进行固定和规范,自2019年1月1日起施行. " 我国是渔 ... 《土壤侵蚀分类分级标准》(SL190-2007) 《土壤侵蚀分类分级标准》(SL190-2007) 新旧分类分级管理办法对照表 增值税专用发票分类分级管理办法(2018年第8号)增值税发票分类分级管理办法(2020年第8号)第一条 为深入推进"放管服"改革,切实转变税收征管方式,提高税法遵从度和纳税人满意度 ... 互联网平台分类分级指南(征求意见稿) 一.指南的宗旨 为更好推动我国平台经济规范健康发展,保护市场公平竞争,推动科技创新,维护消费者权益,对互联网平台进行更加科学规范管理,增强监管的针对性与有效性,特制定互联网平台分类分级指南. 二.平台 ... 关于对《互联网平台分类分级指南(征求意见稿)》《互联网平台落实主体责任指南(征求意见稿)》公开征求意... 为科学界定平台类别.合理划分平台等级,推动平台企业落实主体责任,促进平台经济健康发展,保障各类平台用户的权益,维护社会经济秩序,市场监管总局组织起草了<互联网平台分类分级指南(征求意见稿)> ... 最新自动驾驶分级标准:SAE-J3016-2021路面机动车驾驶自动化系统相关术语的分类和定义 了解自动驾驶汽车的级别,作为澄清,真正的自动驾驶汽车是指人工智能完全自行驾驶汽车,在驾驶任务中没有任何人类协助. 这些无人驾驶汽车被认为是第4级和第5级,而需要人类司机共同分担驾驶工作的汽车通常被认为 ...