本文概述了数据安全的重要性和要求,包括利益相关方、法规遵从、访问控制和风险分类。讨论了数据安全目标、工具如访问控制系统和数据脱敏,以及度量指标如安全实施和意识。同时,提到了元数据管理、安全架构、合规性提升方法和安全风险评估。此外,还涵盖了安全意识培训、恶意软件类型以及电子邮件安全策略。
一、知识点归纳
(一)数据安全的要求来自以下方面
1.利益相关方
2.政府法规
3.特定业务关注点
4.合法访问需求
5.合同义务
(二)数据安全的目标
1.启用对企业数据资产的适当访问,并防止不适当的访问
2.理解并遵守所有有关隐私、保护和保密的法规和政策
3.确保所有利益相关方的隐私和保密需求得到执行和审计
(三)数据安全的工具
1.访问控制系统
2.保护软件
3.身份管理技术
4.入侵检测/入侵防御软件
5.元数据跟踪
6.数据脱敏/加密
(四)数据安全度量指标
1.安全实施指标
2.安全意识指标
3.数据保护指标
4.安全事件指标
5.机密数据扩散率
(五)元数据是管理敏感数据的方法之一
利用数据标记技术,可以使元数据跟随信息一起在企业内部流动
(六)组织数据安全遵循的指导原则
1.协同合作
2.企业统筹
3.主动管理
4.明确责任
5.元数据驱动
6.减少接触以降低风险
(七)风险分类
1.关键风险数据
2.高风险数据
3.中等风险数据
(八)数据安全需求和过程
4A:
1.访问
2.审计
3.验证
4.授权
1E:
权限
(九)数据脱敏
1.静态脱敏
(1)不落地脱敏
(2)落地脱敏
2.动态脱敏
(十)数据安全类型
数据安全不仅涉及防止不当访问,还涉及对数据的适当访问。
1.设施安全
2.设备安全
3.凭据安全
4.电子通信安全
(十一)数据安全制约因素
1.保密等级
2.监管要求
(十二)恶意软件
1.广告软件
2.间谍软件
3.特洛伊木马
4.病毒
5.蠕虫
6.恶意软件来源
(十三)电子邮件系统的排除模式
1.已知的垃圾邮件传送域
2.抄送或密送的地址超出限量
3.电子邮件正文只有一个超链接的图
4.特定文本字符串或单
(十四)管理与企业安全相关的行为需要不同级别的制度
1.企业安全制度
2.IT安全制度
3.数据安全制度
(十五)评估当前安全风险
1.存储或传送的数据敏感性
2.保护数据的要求
3.现有的安全防护措施
(十六)组织可通过以下方式提高合规性
1.培训
2.制度的一致性
3.衡量安全性的收益
4.为供应商设置安全要求
5.增强紧迫感
6.持续沟通
(十七)安全架构涉及
1.用于管理数据安全的工具
2.数据加密标准和机制
3.外部供应商和承包商的数据访问指南
4.通过互联网的数据传送协议
5.文档要求
6.远程访问标准
7.安全漏洞事件报告规范
安全架构对以下数据的集成尤为重要:
1.内部系统和业务部门
2.组织及其外部业务合作伙伴
3.组织的监管机构
(十八)安全实施指标
1.安装了最新安全补丁程序的企业计算机百分比
2.安装并运行最新反而已软件的计算机百分比
3.成功通过背景调查的新员工百分比
4.在年度安全实践测验中得分超过80%的员工百分比
5.在完成正式风险评估分析的业务单位的百分比
6.在发生如火灾、地震、风暴、洪水、爆炸或其他灾难时,成功通过灾难恢复测试的业务流程百分比
7.已成功解决审计发现的问题百分比
(十九)安全意识指标
1.风险评估结果
2.风险事件和配置文件
3.正式的反馈调查和访谈
4.事故复盘
5.补丁有效性审计
扫一扫
601
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
