(4) 安全威胁增多
数据价值的提升,导致外部威胁的目的性、隐蔽性、破坏性都成上升趋势。如何降低威胁暴露面和何种体系防护应对?
数据安全的目标
目标:满足合规,贴合业务,将数据风险降低至可接受水平,让数据使用更安全。
办法总比困难多,面对各位数据安全挑战,数据安全从业者要有自己的数据安全防护体系思路,善于学习新技术新经验的能力,总结自己的套路和打法,以终为始,不断更新和进步。
业务面前,安全不是他们的对立面,要采取双赢思维,建立信任关系。业务的目的是盈利,而安全是保证业务稳定盈利,规避风险最佳帮手,彼此相辅相成,相互依存。
数据安全模型框架
数据安全的执行和管理需要以数据为中心,宏观层,在满足合规的基础上,依托组织建设,采取技术和管理的手段,实施层,采取“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大安全功能,保证数据全证明周期的安全。
数据安全建设框架
基于数据安全模型框架,梳理数据安全建设过程所需的基本功能和重点功能,制定如下数据安全建设框架:
整理来看,数据安全建设框架可以分为三个层面。
(1) 最下面为组织建设层:
数据治理小组负责整体决策层工作,比如数据安全计划的定位,策略、政策和组织等的制定;数据安全团队负责整体战术层和执行层工作,战术层比如具体安全计划的管理管控,如合规管理、风险管理、计划管理、进度管理和指标管理等等;执行层负责整体数据安全计划的落地工作,人员包括专业的数据安全人员和各业务团队的安全接口人。
