最近继续研读DAMA数据管理知识体系之数据安全章节,结合自身在信息化建设、数据分类分级和授权管理的工作实践,有所感悟并记录如下,供大家参考。数据安全是一项企业层面的统筹协同工作,主要为企业数据资产提供验证、授权、访问和审计等工作,主要目的是为了保护利益相关方的隐私保密要求和数据资产的不当访问,并遵守相应的法规要求,同时也分析了数据安全的手段、方法和工具,常见的数据安全活动和安全类型有哪些,数据安全的3大目标6项原则和3部法规,数据安全过程的4A1E具体指什么,数据安全来源有哪些,数据安全意识的培养等等,如何在数据利用过程中做好数据安全防护控制,也明确了外包过程中的数据安全责任是甲方无法委托出去的,制定数据安全措施必须站在那些将使用数据和系统的人角度考虑,精心规划和全面的技术安全措施应使利益相关方更容易获得安全访问。最后阐述了常见的数据安全和网络安全的相关术语。可以说,数据安全是数据管理和应用过程中必须要考虑的因素环节,需要安全和利用之间的平衡,目的是为了数据在价值最大化利用的过程中合法合规。
一、什么是数据安全
数据安全包括安全策略和过程的规划、 建立和执行, 为数据和信息资产提供正确的身份验证、 授权、 访问和审计。
二、数据安全需求来自于哪些方面
主要来自于以下四个方面,详见下图。
(1) 利益相关方:隐私和保密要求。
(2) 政府法规:政府法规制定的出发点是保护利益相关方的利益。 政府法规目标各有不同,有些规定是限制信息访问的, 而另一些则是确保公开、 透明和问责的。
(3) 特定业务关注点(专有数据的保护): 每个组织的专有数据都需要保护。 这些数据运用得当, 组织就可以获得竞争