数据安全治理要先提出哪些问题:
1、有哪些敏感数据?
2、敏感数据都在哪里?
3、谁有权限访问和接触?
4、数据是如何被使用的?
5、如何识别违规的数据操作?
6、数据加固和保护措施是否有效?
7、数据库有哪些风险隐患?
8、数据文件和备份有安全保障吗?
9、第三方接入和第三方平台安全吗?
10、外部渗透会造成数据泄露吗?
11、是否会通过第三方造成数据泄露?
12、数据共享分发会造成数据泄露吗?
数据资产状况不清晰 |
敏感数据分布不清晰 |
数据使用部门和角色不清晰 |
数据使用状况不清晰 |
| 大型组织内部往往信息化系统涉及数百个应用系统,背后有近千个数据库做支撑。这种情况下很难做到清晰的数据库台账,了解每一个数据库在被那个应用访问,又被哪些部门在管理。 | 只有清楚敏感数据分布在哪里,才能知道需要实现怎样的管控策略;比如,敏感数据分布在哪个库、什么样的库,才能更好的制定管控措施;对敏感数据导出实现怎样的模糊化策略;对敏感数据的存储实现怎样的加密要求。 | 在清晰数据资产和敏感数据分布的基础上,需要明确数据被哪些部门、系统、人员使用,数据被这些部门、系统和人员如何使用。对于数据的存储和系统的使用,往往需要通过自动化的工具进行。 | 在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制定这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。 |
分类分级策略定制服务
帮助组织梳理数据资产,制定数据分类分级的标准指南,制定切实可落地的数据安全策略,从而保障数据安全治理工作的顺利开展。
内外部数据安全规定梳理:梳理出组织所需要遵循的外部政策,并从中梳理出与数据安全管理相关的内容;
数据资产梳理:梳理组织内部数据资产,包括数据类型、数据量、敏感数据分布及流向、账号权限现状;
多行业的(金融、政务、烟草、运营商等)数据分类分级:根据数据价值、影响范围和影响客体,进行数据分类分级;
数据安全策略制定:明确核心数据资产访问控制的目标和访问控制流程;制订出组织对数据安全规范落实和安全风险进行定期的核查策略;整个策略的技术支撑规范。
