《2023数据安全架构设计与实战.docx》由会员分享,可在线阅读,更多相关《2023数据安全架构设计与实战.docx(5页珍藏版)》请在第一文库网上搜索。
1、在可重复的基础上,逐步构建起充分的文档化定义、相对完善的基础设施、基本的流程控制,以及满足合规的门槛要求,这些构成了数据安全治理能力的及格线(第三级)。什么叫充分的定义呢,看起来很拗口,但其实也很简单,主要是指相对完善的文档体系,也就是充分的文档化。政策总纲、管理政策、标准、规范、流程/指南等,都通过文档化确定下来,做到“有法可依需要定义的内容包括: 战略目标、范围、原则。 组织和职责的定义,谁负责什么内容,以及问责的标准和定义,用于确定出了事之后如何问责及处罚。 政策总纲,或供引用的最佳实践框架。 内部合规标准的定义,包括内部标准、规范、流程遵从等。其中,应包括各种术语的定义,比如数据OWn
2、er、项目阶段、数据生命周期各阶段等;险、漏洞、事件的分级和定义,用于在内部达成共识,减少分歧(避免有人对同一险、漏洞、事件,产生不同的定级预期);过程或活动(ACtion)的定义,应当采取什么活动或流程来消减险,比如同行评审、漏洞扫描、安全配置、入侵防范、事件响应等。 险处置标准的定义,什么样的险不可接受,需要降低到什么标准,什么样的险可以接受以及谁来决策接受等。在合规方面,满足合规的门槛要求,也就是满足法律法规的要求、满足监管层面的要求、满足合同义务的要求。上述问题如果基本都能解决,那么可以认为企业在数据安全领域,已经达到及格线了。如果要达到更好的四级成熟度水平,还需要具备一些增强的能力,
3、那就是: 各种控制措施接近最佳实践,包括在设计中构建数据安全能力且可以通过自检等方式实现产品设计安全上的度量(Security&PrivacybyDesign)。 具备直接可验证的合规最佳实践,如数据目录、数据流图、数据主体请求的自助管理后台,保障数据主体的各项权利等。 具备职责分离(SoD,SeparationofDuty)机制、对各业务团队的绩效的度量(如打分或排名)、安全培训/考试的度量。 具备险量化与闭环跟进机制。重点是险量化,也就是度量,用具体的数字来量化险现状和改进趋势。数据主体请求也要可以度量,比如S1A。最佳实践包括:.良好的事前安全保障机制(如SD1流程)。数据安全规范在产品
4、设计过程中就默认加以考虑并落地,让产 品具备一定程度的天然免疫能力。具备完善的安全基础设施及配套的支持系统,如应用网欠、日志平台、KMS、证书管理等,让这些通用的单元基本不用业务操心。险量化即通常所说的度量,并且这些度量数据可用于团队或员工的考核。闭环跟进,让险得到妥善的处置与关闭。做到这些,可以说数据安全能力达到良好水平(或80分标准)了。要做到优秀(90分以上,五级成熟度水平),就需要在度量的基础上,通过持续的改进和优化,让数据安全治理各方面(战略、组织、政策)均达到业界最佳实践,成为业界学习参考的对象,并坚持期持续地改进。怎么才能证明这一点呢?在组织上,通过监督、汇报或报告、绩效度量等机
5、制,发现未履行职责或履行职责不到位的团队,执行管理问责,尽早发现落后的团队加以辅导、培训。要达到五级,则需要真正地执行管理问责,或基于上述度量反馈,实施组织架构的调整或优化。对于安全战略和政策,则需要定期、例行的内部或外部的审核机制,如内部蓝军、内部审计、外部认证/测评、外部审计等,以及良好的反馈机制,包括各种内部反馈、外部反馈渠道等。审核发现的问题/险或通过各种渠道接收到的问题/险均执行了险控制,并得到了良好的闭环处理。其中审核记录、反馈记录均需要留存下来,保存一段时间,作为持续改进的活动记录。险控制的方法包括但不限于:.在产品开发设计过程中构建安全(Security&PrivacybyDe
6、sign),这是本书推荐的首选方法,因为它能从根本上改善安全并具有持久性。通过项目建设,构建并完善安全防御体系,在产品运行过程中执行防御。通过管理政策进行控制,比如禁止将高危服务向互联网开.放。通过流程控制,在适当的时间节点,执行规定的任务,比.如发布前的漏洞扫描、发布后的安全加固等。通过监控和人力投入进行控制,在监控告警时人工干预,控制.险。数据安全与隐私保护治理目前在国内还属于起步阶段,以上所介绍的方法也仅仅是个起步参考。综合运用PDCA方法论,以及GRC险治理框架,可以让我们从传统的安全领域切入数据安全与隐私合规这一领域,并逐步建立起数据安全与隐私保护的第一道防线(业务自身的隐私合规)和第二道防线(企业整体的数据安全与隐私口险管理体系)。不过,能够拿来介绍的方法,都是别人家的方法,如果不能用于工作实践,去亲自感受它,就无法真正地理解它们。大家在了解这些方法之后,还需要深入业务实际,让自己“脸上有汗、脚上沾泥”,在实践中去验证,不断加深理解和提高,并最终形成自己的经验总结或方法论,这是从任何书本中都无法学来的。附录数据安全架构与治理总结