胡律师:13306647218

如何进行数据安全管理?如何进行数据安全管理体系建设?

时间:2021-07-13 22:55:08

随着国家数据安全要求和标准的不断丰富,如何保障数据安全成为近年来各机构关注的焦点,数据安全的重要性不言而喻。目前很多机构都是以网络为中心进行安全建设,虽然有数据安全防护措施,但大多是单点方式,现有的建设方式已经不能满足当前的数据安全需求。组织要系统地建立数据安全保护措施,从管理、运维、技术三个维度实现数据的可管理、可控、可视。

数据安全过程应该是管理指导、运维操作、运维使用技术,而管理是数据安全体系的指导和基础,因此本文主要介绍数据安全管理体系的构建。

文章从内部梳理和安全建设两个部分进行思考。内部梳理包括对组织内部管理体系、运维内容、业务流程、保障手段的全面梳理;安全施工是在梳理现状和组织安全施工目标的基础上,结合外部合规性和规范形成的施工内容。

本篇文章的编写意义也是自我的考虑和梳理,后期会随着自身知识容量的不断丰富进行再次修改。

一、内部梳理

内部梳理是管理体系能否落地的基本条件。脱离现有的管理体系是没有意义和价值的,所以组织内部梳理的范围和深度对管理体系的构建有很大的影响。

梳理有两个阶段,第一个是发现,第二个是梳理。

如何进行数据安全管理体系建设?

内部数据流

摸查

内部查询可以从管理、技术、业务、运维、数据安全战略目标四个层面进行。前三个层次是内部,第四个层次是规划目标。

管理体系包括:现有管理体系、管理规则、管理规范、应急响应等。

技术体系包括:现有安全防护技术、现有业务系统使用技术、现有数据库技术等。

业务系统梳理包括:已有业务系统之间的调用关系、已有数据流方向、业务资产等。

运维体系包括:现有运维体系、现有运维流程、现有运维人员构成、组织内部资产等。

数据安全的战略目标包括:预期的数据安全目标,包括管理、技术和运维。

摸查时需要注意数据安全管理体系的应用级别,因为不同层级的部门关注数据安全管理内容不一致。

信息中心更注重如何保障、如何应对突发事件、人员岗位和职责;组织战略层更注重组织架构(业务与安全职能部门的关系)、人员管理培训(人员安全能力)等。基于信息中心。

从010年到1010年,基于数据生命周期对研究内容进行划分,再进行全面梳理和整合。具体要点如下:

1.明确业务和数据流;

2.基于数据生命周期整合研究内容。包括:管理、技术、运维,形成目前的现状。

3.在数据生命周期的基础上,梳理当前环境的风险,明确薄弱点。

4.将基于数据生命周期的组织安全战略目标拆解,形成安全建设目标。

通过以上四步是对摸查内容的加工,可直观了解目前数据安全现状、薄弱点以及建设目标。指导下一步的数据安全管理的建设。

梳理

数据安全管理体系建设需要满足4的方方面面,即需要安全状态,需要了解客户建设目标,需要了解法律法规和行业规范,需要有丰富的数据安全经验。第一个和第二个问题可以通过梳理第一步来解决。后两点要求组织本身或施工单位有多年的技术沉淀。

数据安全管理建设要充分考虑合规性和落地性,避免出现“空中楼阁”现象。

符合性:符合国家相关法律要求和行业标准;可移植性:应避免在管理、运维和技术上出现“三皮”现象,从而影响组织内部安全标准、运维效率和防护能力。数据安全管理的思考

二、安全管理建设

数据安全管理可分为4层架构。每一层都是上层的支撑。第一层是组织内数据安全的战略目标。第二层是内部保障体系,需要内外结合。第三层是系统下的具体规范和指南,第四层是数据安全落地运维过程中生成的表单。

如何进行数据安全管理体系建设?

管理架构

1.策略。组织安全的战略取向。具体建设内容包括:管理规范、管理导则等。

2.系统。组织安全体系建设方向(基于合规性)。具体建设内容包括:管理制度、岗位职责、应急响应等。

3.各种规格。组织安全标准导向(基于合规性)。具体建设内容包括:分类、运维、审核、保护等。

4.着陆形式。组织安全执行导向。具体建设内容包括:机房出入记录、安全审核记录、安全防护记录、数据使用变更申请表等。

数据安全管理体系并不是摒弃组织内部建设以网络为中心的安全管理规范,而是在此基础上融合数据安全管理要求,形成全面的管理规范。

数据安全管理建设内容

1.在数据生命周期的基础上,综合整合国家法律法规、行业标准、业务最佳实践、风险内容,梳理时与薄弱点进行对比分析和内容改进,形成强化点。

2.在数据生命周期的基础上,将现状和加强点进行整合,形成最终的建设内容。

3.不断修订和完善管理体系。

数据安全管理建设需要充分梳理内部安全情况,确定安全管理建设目标(需考虑实际性),否则很难形成有效的管理体系。