(2) 中间为能力实现层:
通过“识别”、“保护”、“监视”、“检测”、“响应”和“恢复”六大功能,落地数据安全的合规、管理、技术和运营。
(3) 最上面为目标和愿景层:
通过组织建设和数据安全能力实现,保证组织用户数据、业务数据和公司数据,最终实现使数据使用更安全的愿景。
数据安全实施框架
数据安全工作如此繁杂多样,我们如何具体落地和有序建设执行呢,基于数据安全建设框架,制定如下数据安全实施框架:
整体来看,每做一件事情,我们都要先做好计划,然后实施,实施中进行复核检测,进而改进,如此反复,阶梯式完成,形成一个PDCA的循环。
(1) Plan:
我们要制定好计划、确定范围和明确目标,识别的重点工作为:范围和边界的识别、账号识别、权限识别、数据识别、系统识别、操作识别、流程识别和数据的分类分级。
(2) Do&Act:
在Plan中的成果进行处置,事前做保护,事中做监视和检测,事后做响应和恢复。重点工作为合规的落地;安全基线的落地;管理制度的建立‘敏感信息在数据生命周期中的管控、处置和审计,如敏感数据打标签、传输的加密、存储的加密或脱敏、使用的脱敏、操作的日志记录等。
注:合规的部分问题可以参考我另两篇文章《数据安全怎么做——合规篇之CCPA》《数据安全怎做——合规篇之数据安全法》
资产梳理的问题可以参考我另一篇文章《企业安全建设之资产库篇》
