数据安全建设中合规管理措施

最新推荐文章于 2024-02-05 17:35:55 发布

m0_73803866

最新推荐文章于 2024-02-05 17:35:55 发布

阅读量1.5k

点赞数

文章标签：安全

本文链接：https://blog.csdn.net/m0_73803866/article/details/127133065

版权

PA22合规管理

过程域设定背景和目标

合规管理是组织数据安全最基础的能力层面和底线，合规管理的目标是避免组织违反需要符合的国内外法律、行业监管指引、制度、规范，避免因不合规导致的风险。本过程域的设定，即要求建立数据安全合规文化和有效的合规风险预防、预警及监督机制。

过程域具体标准要求解读

l 制度流程： ——依据法律法规及相关标准中对重要数据的保护要求，建立组织统一的符合性管理规范，该规范应包括但不限于个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求，并

对相关方宣贯合规要求的内容，以保证组织整体合规意识的提升； ——建立一份当前组织需要遵照的外部合规要求清单，并实时跟踪外部合规要求的发布、预研，

保持清单的更新； ——建立一套适用的数据安全合规监督检查标准和清单，用于指导常规检查、专项检查和事件驱

动检查等，以确保符合相应的数据安全政策、标准及其他数据安全要求； ——建立一套适用的整改和考核规范，用于指导检查发现和整改情况的跟踪、报告管理、问题管理等。

l 技术工具： ——建立法律、行业监管指引、外部制度、规范条款的统一电子合规平台，并将各类外部要求去

重合并、分解转化为数据安全合规元要求，并据此和组织实际情况梳理出内部管理要求； ——建立一套检查跟踪系统，实现检查计划制定、检查实施、报告管理、问题跟踪等全过程的电子化管理，并将检查发现和整改情况纳入问题管理流程。

过程域充分定义级实施指南

参考案例：

某行业案例 1：规章文档平台在办公系统中，建立了规章文档平台，供员工查询和学习。通过该平台的建立：

统一来自所有金融风险管理系统的合规和风险信息，形成涵盖整个组织的风险视图；
供内部使用的可以根据关键字进行快速检索查询外部标准和要求；
统一的数据安全元要求，并形成外部标准和内部管理规范的对应关系，定期更新和查漏补缺，避免合规风险。

某行业案例 2：法律、标准：

我国在2016年出台，2017年6月1日正式生效的网络安全法，全称《中华人民共和国网络安全法》；
欧盟在2015年出台，2018年 5月正式生效的一般数据保护条例，全称为《General Data Protection Regulation》（简称 GDPR）；
我国在2018年正式出台，5月1日正式生效的GB/T 35273《信息安全技术个人信息安全规范》；
2018年5月21日银保监会正式发布的《银行业金融机构数据治理指引》；
我国已经在制定即将颁布的《数据出境管理办法》、《重要数据管理办法》、《中华人民共和国密码法》等。

某行业案例 3：合规监督检查

依据监管要求、外部标准、内部规范梳理出一套适用的检查标准，并进行全面覆盖的检查。通过识别，外部规范分解成3大类、27小类要求，去重合并后形成外规内规对应关系，也就是数据安全风险检查标准库；
制定全年检查计划，建立常规检查、专项检查、事件驱动检查相结合的方式，100%覆盖数据安全风险检查标准库；
专项检查围绕数据安全域，包括数据采集安全、数据传输安全、数据处理安全、数据交换安全以及通用安全域；
常规检查注重数据权限管理、数据对外数据等日常运营重点模块；
事件驱动检查一般在发生可用性事件、信息安全事件或重大违规违纪事件发生后进行。检查发现，全部纳入问题管理流程进行跟踪管理。通过问题跟踪机制，可以充分确保问题统一归口管理无遗漏，相关整改的方案可实施、进度有跟踪、实施有成效。

数据资产管理

过程域设定背景和目标

数据资产是组织拥有和控制的、能够给企业管理、应用服务和商业拓展带来价值的数据信息。只有洞悉数据资产重要程度与分布、使用对象与场景、授权与责任等，才能有效的实施数据资产风险管理和安全防护。一般而言，数据资产安全管理工作包含资产识别、资产重要度定级、资产变更管理与监测、资产风险管理等。

过程域具体标准要求解读

l 组织建设： ——设置数据资产管理组织，按照统一的规章制度管理企业数据资源，各业务团队应配置具体人

员负责本级业务范围内的数据资产管理工作。
l 制度流程：
——实施数据资产全生命周期监督管理，各业务团队数据资产管理责任人应按照相关要求及时登记、更新和定期维护本级数据资源；
——建立数据资产目录（数据资产地图）并提供检索服务，数据表责任到人；
——建立数据资产变更管理审批流程，实时监控数据资产的上线、变更、转移、销毁等信息，并配置相适应的安全管控措施。

l 技术工具：

——通过智能数据目录等技术工具辅助实现数据资产登记和分类工作。

过程域充分定义级实施指南

数据资产管理案例：数据资产管理平台该组织的业务部门多、数据来源广、人员角色复杂、数据使用链路有待完善，通过统一的数据资产管理平台，全面掌握了数据分布、使用流向、人员访问等，有效提高了数据安全管理能力。

数据类目体系，依托企业数据知识图谱，对全量数据资产进行业务打标和类目挂载，从而构造出数据资产地图，实现数据资产可视化，全面把握及科学分析数据资产、帮助用户清晰查看及快速使用数据资产。
数据资产等级，根据数据被使用场景的重要程度，对数据资产划分等级。对不同等级的数据，给予不同等级的保障，包括但不限于：资源、监控、变更通知等。
全链路数据追踪，通过构建采集端-生产端-服务端全链路闭环，实现从数据采集、数据加工生产、数据服务到用户消费的全链路分析保障，包括数据质量、安全、时效性及稳定性保障。

l 标准参考

——GB∕T 35274-2017《信息安全技术大数据服务安全能力要求》5.2 节“数据与系统资产”