文章摘要:数据安全的概念和细则保护企业系统及其存储的数据需要IT和业务涉众之间的协作。清晰而健壮的系统和过程是数据安全治理的基础。数据安全体系结构是企业体系结构的一部分,它描述了如何在企业内部实现数据安全,以满足业务规则和外部法规。什么是数据安全《数据安全法》第3条规定:“数据安全是指采取必要措施,确保数据处于有效保护和合法使用状态的能力,以及保证数据处于持续安全状态的能力。”数据安全并不局限于数据本身的安
数据安全的概念和细则
保护企业系统及其存储的数据需要IT和业务涉众之间的协作。
清晰而健壮的系统和过程是数据安全治理的基础。
数据安全体系结构是企业体系结构的一部分,它描述了如何在企业内部实现数据安全,
以满足业务规则和外部法规。
什么是数据安全
《数据安全法》第3条规定:
“数据安全是指采取必要措施,确保数据处于有效保护和合法使用状态的能力,以及保证数据处于持续安全状态的能力。”
数据安全并不局限于数据本身的安全,而是一个综合的概念。
在数据从客户端传输到服务器的过程中,涉及到许多风险因素,如客户端访问主体的身份是否真实可靠、
传输过程中数据是否完整、防篡改、文件到达服务器后是否被存储或加密、哪些用户使用等。
总的来说,在数据生命周期的每一个环节,包括数据的收集、存储、使用、处理、传输、提供、披露等,
都有三个重要的概念:数据处理主体、数据本身、数据处理行为。
从数据来源上,要保证数据收集的主体身份真实可信;对于数据本身,要保证其真实性(数据来源真实可信)、
完整性(数据未被未经授权的人篡改)、保密性(数据未被未经授权的人获取)
可用性(数据可被授权的人使用)等;对于数据处理,必须保证发送或接收行为和时间点的不可抵赖性。
1. 识别数据安全需求
区分业务需求、外部法规约束和应用软件产品的规则是很重要的。
尽管应用程序系统是执行业务规则和流程的工具,但这些系统通常具有超出业务流程所需的数据安全性需求。
这些安全需求在打包软件和现成系统中变得越来越普遍。确保数据安全标准支持组织也是必要的。
业务需求:
在组织中实现数据安全的第一步是充分了解组织的业务需求。
组织的业务需求、使命、战略和规模以及所属行业决定了所需数据安全的严格程度。
通过分析业务规则和流程来确定安全接触点。业务工作流中的每个事件都可能有自己的安全需求。
数据过程矩阵和数据角色关系矩阵是将这些需求映射到数据安全角色组、参数和权限定义的非常有效的工具。
规划好短期目标和长期目标,实现均衡有效的数据安全特性。
监管需求:
在当今快速变化的全球环境中,组织有越来越多的法律法规需要遵守。
信息时代的法律挑战促使全国各地的政府颁布新的法律和标准,对组织信息管理施加严格的安全控制。
创建所有相关数据法规和受每个法规影响的数据主题区域的完整列表,
在为法规遵从性而开发的相关安全策略和实施的控制之间建立联系。
法规、政策、所需的行动和受影响的数据会随着时间的推移而变化,因此所采用的清单格式应该易于管理和维护。
2. 数据安全规则
该系统提供了行为准则,但并未列出所有可能发生的意外情况。
章程是对系统的补充,并提供关于如何满足系统意图的额外细节。
1. 定义数据机密级别
机密级别分类是一个重要的元数据特性,它指导用户如何获得访问权限。
每个组织都应该为满足长期业务需求的主动采用创建一个分层计划。
任何分类方案都应该清晰且易于实施,它将包含从最低到最高的一系列秘密级别。
2. 定义数据监管的类别
越来越多的公开数据泄露导致了许多与数据相关的法律。金融领域的数据事件正促使世界各国实施更多监管。
这就产生了一种新的数据类别,可以称为“监管信息”。法规要求是信息安全的延伸。
需要一款安全终端管理产品已经成为数据保护数据的一种主要的防护手段,选择洞察眼,保护您的数据,为您的企业保驾护航