2.1 信息生命周期
(1)获取
(2)使用
须确保内部一致性
(3)存档
需保留多长时间
(4)处置
数据真正被销毁及其被正确销毁
2.2 数据分类
商业公司的信息敏感级别:机密confidential、隐私、敏感、公开
军事机构的信息敏感级别:绝密、秘密secret、机密、敏感但未分类、未分类
术语未分类、秘密和绝密通常与政府组织相关联,术语隐私、专有权、敏感通常与非政府组织相关联
2.3 责任分层
高级管理层持续对组织负有最终责任
首席隐私官:负责确保客户、公司和雇员数据的安全
首席安全官Chief Security Officer:负责了解公司面临的风险和将这些风险缓解至可接受的级别。
数据所有者:通常是一名管理人员,负责管理某个业务部门,对特定信息子集的保护和应用负最终责任,具有应尽关注职责,决定其负责的数据的分类级别,负责确保实施必要的安全控制
数据看管员:实施和维护安全控制措施,执行数据的常规备份,定期验证数据的完整性
系统所有者:负责一个或多个系统,确保系统的脆弱性得到正确评估,负责将安全因素集成到应用程序和系统购置决策及项目开发中,负责通过必要的控制、密码管理、远程访问控制、操作系统配置等措施保证足够的安全。
2.4 保留策略
确保组织具有并遵循文档化的数据保留策略,满足法律和监管要求
(1)如何保留 分类法、分级、标准化、索引
(2)保留多长时