400-0011-866
首页 > 亿信 > 行业资讯 > 数据治理

数据安全治理所遵循的三大原则

时间:2019-05-23  来源:亿信华辰  浏览数:0
搞清楚 数据安全要解决哪些问题、大数据 时代下解决这些问题所面临的主要挑战,就可以 梳理数据安全治理的核心思路了。简单说,数据安 全治理可以遵循“以数据为中心、以组织为单位、以能力 成熟度为基本抓手”的原则。

1、以数据为中心
以数据为中心,是数据 安全工作的核心技术思想。人们比 较习惯的是以系统为中心的思想,即围绕着一个数据库、一个产品、一个网站、一个服 务器等评价其安全性。
这种思 路主要适用于保护一个特定系统的正常工作状态。但是在今天,数据在多个系统、产品、业务环 节中频繁快速流转,这种以 系统为中心的思想已经不能满足数据安全的需求了。
以数据为中心的安全,是将数 据的防窃取防滥用防误用作为主线,在数据 的生命周期内各不同环节所涉及的信息系统、运行环境、业务场 景和操作人员等作为围绕数据安全保护的支撑。
这时候,某个系统被入侵,并不等 于数据安全的目标就遭到最终的破坏,反之某 个单一环节的安全能力再强,也不代 表整体数据安全保护的能力就够好。
在数据 生命周期的不同阶段,数据面临的安全威胁、可以采 用的安全手段有可能很不一样。
例如,在数据采集阶段,可能存 在采集数据被攻击者直接窃取,或者个 人生物特征数据不必要的存储面临泄露危险等;在数据存储阶段,可能存 在存储系统被入侵进而导致数据被窃取,或者授 权用户无应用场景支持访问用户敏感数据,或者存 储设备丢失导致数据泄露等;在数据处理阶段,可能存 在算法不当导致用户个人信息泄露等。
把不同 阶段从不同角度面临的风险放到一起进行综合考虑,建立强 调整体而不是某个环节安全能力,是以数 据为中心的安全的核心思想。


2、以组织为单位
以组织为单位,是数据 安全治理的核心管理思想。
读完前 面的内容后应该容易理解,一个服务器很安全、一个手 机应用产品很安全都不代表着要保护的数据安全。数据会 在不同的服务器、产品、业务中流转。
而且从 法律的角度来说,拥有或 使用数据的组织才是承担数据安全责任的主体。因此,虽然在 大数据时代还有数据共享、数据转移、数据交 易等各种复杂的情况,但拥有 或者处理数据的组织是所有这些活动的基本单元,因此也 是数据安全治理的基本单位。
以组织 为单位的数据安全治理,具体指 的是数据在特定组织内全生命周期的安全,这个组织要对其负责。
不论数 据在这个组织中的生命周期涉及多少产品业务或人员,那些单 个系统单个业务的安全都不说明问题,说明问 题的应该被最终衡量的这个组织的数据安全。
一个组 织的数据安全水平,可以作 为其是否符合法律要求、特定事 件中具备怎样的责任、面向用户赢取信任、面向行 业适合处理的数据类型和规模等的参考依据。
换句话说,政府或 者行业可以以组织为单位进行数据安全管理,而不是 某个产品的安全,一个组 织要证明的是自己整个组织的数据安全水平,而不是 自己的某个应用的安全。



3、以能力 成熟度为基本抓手
用什么 来衡量组织的数据安全呢?数据安 全的能力成熟度可以作为基本抓手。
能力成 熟度是一种经过考验的方法,目前在 越来越多的领域被应用,美国甚 至制定了网络空间安全能力成熟度战略。数据安 全能力成熟度模型,是借鉴 能力成熟度的核心思想,结合数 据在组织内的生命周期以及构成安全能力的关键要素而构建的。
一个组 织的数据安全能力成熟度等级,说明了 这个组织在数据安全保护方面的综合能力水平。而这个水平的高低,则可以 用于数据安全治理的各种相关工作。
例如,相关政 府部门或行业主管部门,可以根 据本行业的数据敏感度特点决定哪些数据类型或者多大的数据规模需要多高的数据安全能力成熟度水平,进而让 数据安全能力成熟度足够的组织才能够处理特定数据,从而实 现本行业安全与发展的平衡;
在数据共享、转移、交易等过程中,法律可 以规定数据拥有者有义务要求数据接受者提供自己足够的数据安全能力成熟度水平,从而避 免数据在流动过程中进入安全更差的组织,从而减 少数据流动导致的安全失控;
根据特定行业、特定数 据类型以及特定时段数据安全威胁的具体情况,国家主 管部门可以设定和调整特定领域数据安全能力成熟度的衡量标准和等级要求,从而实 现整体数据安全状态的可控;组织可 以通过自己的数据安全能力成熟度水平,让消费 者用更加客观量化的方法衡量自己是否值得信任;等等。

联系
电话

您好,商务咨询请联系

咨询热线:400-0011-866转0

技术
支持

您好,技术支持请联系

QQ:400-0011-866

(工作日9:00-18:00)

友情链接:    新天天乐棋牌   新天天乐棋牌   手机抢庄斗牛app   优乐平台计划   花开棋牌