數(shù)據(jù)安全落地實(shí)施管理措施2024PAGEPAGE388目錄TOC\o"1-3"\h\u181981并行推進(jìn)治理與技術(shù)手段 3131302優(yōu)先建設(shè)數(shù)據(jù)保護(hù)主平臺(tái) 7256963分段規(guī)劃實(shí)戰(zhàn)與合規(guī)需求 1030393 1031440第一階段筑基礎(chǔ) 1031064第二階段建體系 1126827第三階段強(qiáng)能力 1130462第四階段驗(yàn)效能 127599第五階段抓評(píng)測(cè) 1216625 1212187推進(jìn)策略 1316123關(guān)鍵舉措 18并行推進(jìn)治理與技術(shù)手段37金損失的數(shù)據(jù)安全短板已有共識(shí)。比如，202272620222022”專(zhuān)項(xiàng)行動(dòng)中，全鏈條打擊侵犯公民個(gè)人信息51070據(jù)威脅出血口”，而后“溫藥和之、循序診治”。綜上分析，本文特別提出“以數(shù)據(jù)為中心的實(shí)戰(zhàn)防護(hù)和合規(guī)平臺(tái)新安全體由業(yè)務(wù)應(yīng)用調(diào)用安全模塊（在線/離線），進(jìn)而利用對(duì)安全模塊的流量監(jiān)測(cè)和日志審計(jì)，實(shí)現(xiàn)總體防護(hù)技術(shù)管控。概要圖所下所述：圖35以數(shù)據(jù)為中心，實(shí)戰(zhàn)化防護(hù)和新合規(guī)平臺(tái)安全體系38由于數(shù)據(jù)安全治理的動(dòng)態(tài)性和戰(zhàn)略性，作者特別推薦要以平臺(tái)形式承載治理過(guò)程、治理成效。優(yōu)先建設(shè)數(shù)據(jù)保護(hù)主平臺(tái)數(shù)據(jù)保護(hù)主平臺(tái)呈現(xiàn)如下幾項(xiàng)特征：SC/SP訪問(wèn)情況，可以為異常行為監(jiān)測(cè)系統(tǒng)提供安全策略調(diào)整情報(bào)，亦可以為/S/PS和反潛。如下圖所示：圖36以主平臺(tái)為核心多層防御體系示意圖（（安全能力作用于數(shù)據(jù)控制點(diǎn)（層安全防御），可以在貼合業(yè)務(wù)，可以為數(shù)據(jù)流轉(zhuǎn)提供有效的連續(xù)保護(hù)。分段規(guī)劃實(shí)戰(zhàn)與合規(guī)需求考慮實(shí)戰(zhàn)與合規(guī)綜合收益后，穩(wěn)步提升數(shù)據(jù)安全水平。第一階段筑基礎(chǔ)護(hù)手段緊急加固等。第二階段建體系（一安全標(biāo)準(zhǔn)體系。第三階段強(qiáng)能力不斷完善（二）養(yǎng)。第四階段驗(yàn)效能體系化的工作要經(jīng)得起檢驗(yàn)。一方面，安全事件和應(yīng)急響應(yīng)中，將驗(yàn)證安全39來(lái)復(fù)盤(pán)數(shù)第五階段抓評(píng)測(cè)（一二三四評(píng)測(cè)40日志留存管理等。脆弱性，并提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和安全措施。推進(jìn)策略資源整合與復(fù)用安全資源能力需求與傳統(tǒng)安全資源對(duì)比表：表2資源整合與復(fù)用示例圖DAMA-DMBOK數(shù)據(jù)安全資源需求安全資源牽頭部門(mén)數(shù)據(jù)安全策略（P）安全需求見(jiàn)上方監(jiān)管要求見(jiàn)上方數(shù)據(jù)安全標(biāo)準(zhǔn)（P）安全定義安全策略安全能力安全目標(biāo)三納入一融合三同步……授權(quán)信任策略、隱私保護(hù)、數(shù)據(jù)保密……密碼管理數(shù)據(jù)安全體系（P）總綱管理體系技術(shù)體系運(yùn)維體系標(biāo)準(zhǔn)體系數(shù)據(jù)安全管理（D）資產(chǎn)見(jiàn)上方清點(diǎn)資產(chǎn)清查行動(dòng)管理資產(chǎn)標(biāo)準(zhǔn)方案資管系統(tǒng)擴(kuò)容DAMA-DMBOK數(shù)據(jù)安全資源需求安全資源牽頭部門(mén)態(tài)勢(shì)態(tài)勢(shì)感知平臺(tái)擴(kuò)容人才見(jiàn)上方培養(yǎng)調(diào)度評(píng)測(cè)見(jiàn)上方風(fēng)評(píng)業(yè)務(wù)加固響應(yīng)見(jiàn)上方預(yù)案演練數(shù)據(jù)安全技術(shù)（D）基礎(chǔ)環(huán)境……網(wǎng)絡(luò)訪問(wèn)控制……身份認(rèn)證……網(wǎng)絡(luò)安全檢測(cè)……主機(jī)終端管理……業(yè)務(wù)安全監(jiān)測(cè)……應(yīng)用安全檢測(cè)……編碼配置安全……內(nèi)部專(zhuān)項(xiàng)審查（C）風(fēng)險(xiǎn)操作審計(jì)用戶密碼身份操作角色權(quán)限數(shù)據(jù)流轉(zhuǎn)審計(jì)業(yè)務(wù)數(shù)據(jù)檢測(cè)入侵痕跡分析DAMA-DMBOK數(shù)據(jù)安全資源需求安全資源牽頭部門(mén)外部監(jiān)管檢查（C）總組織安全問(wèn)題執(zhí)法機(jī)構(gòu)數(shù)據(jù)安全評(píng)價(jià)（C）成熟度人員能力防護(hù)能力自檢能力數(shù)據(jù)安全組織（A）機(jī)構(gòu)設(shè)置見(jiàn)下方管理流程責(zé)任矩陣數(shù)據(jù)安全認(rèn)知（A）安全意識(shí)安全知識(shí)可復(fù)用能力調(diào)整能力新增能力優(yōu)先投入1風(fēng)險(xiǎn)項(xiàng)優(yōu)先1實(shí)施安全風(fēng)險(xiǎn)管理對(duì)現(xiàn)有安全管理基礎(chǔ)上安全意識(shí)的強(qiáng)化、安全理念的提現(xiàn)行的安全管理進(jìn)行系統(tǒng)和規(guī)范，促使現(xiàn)有安全管理更加理性和科學(xué)。對(duì)性和主動(dòng)性，促進(jìn)安全管理的規(guī)范化、系統(tǒng)化和科學(xué)化。節(jié)，關(guān)鍵崗位管理，對(duì)安全問(wèn)題和風(fēng)險(xiǎn)隱患進(jìn)行全面排查，優(yōu)先處置。2前置項(xiàng)優(yōu)先2（或者需要逐步形成全員共識(shí)PDCA3創(chuàng)新項(xiàng)優(yōu)先3眾議的溝通交流。表3DAMA-DMBOKDAMA-DMBOK數(shù)據(jù)安全資源需求風(fēng)險(xiǎn)項(xiàng)前置項(xiàng)創(chuàng)新項(xiàng)數(shù)據(jù)安全策略（P）安全需求×√×監(jiān)管要求√√×數(shù)據(jù)安全標(biāo)準(zhǔn)（P）安全定義×√×安全策略安全能力×√×安全目標(biāo)×√×三納入一融合×√×三同步×√×……×√×密碼管理√××數(shù)據(jù)安全體系（P）總綱×√√管理體系×√√技術(shù)體系×√√運(yùn)維體系×√√標(biāo)準(zhǔn)體系×√√數(shù)據(jù)安全管理（D）資產(chǎn)清點(diǎn)√√×管理×√×態(tài)勢(shì)××√人才培養(yǎng)√×√調(diào)度√×√評(píng)測(cè)風(fēng)評(píng)×××業(yè)務(wù)×√√加固√××響應(yīng)預(yù)案√××DAMA-DMBOK數(shù)據(jù)安全資源需求風(fēng)險(xiǎn)項(xiàng)前置項(xiàng)創(chuàng)新項(xiàng)演練√××數(shù)據(jù)安全技術(shù)（D）基礎(chǔ)環(huán)境……×××網(wǎng)絡(luò)訪問(wèn)控制……×√×身份認(rèn)證……×√×網(wǎng)絡(luò)安全檢測(cè)……×√×主機(jī)終端管理……×√×業(yè)務(wù)安全監(jiān)測(cè)……××√應(yīng)用安全檢測(cè)……√××編碼配置安全……√××內(nèi)部專(zhuān)項(xiàng)審查（C）風(fēng)險(xiǎn)操作審計(jì)用戶密碼身份操作角色權(quán)限××√數(shù)據(jù)流轉(zhuǎn)審計(jì)××√業(yè)務(wù)數(shù)據(jù)檢測(cè)××√入侵痕跡分析√××外部監(jiān)管檢查（C）總組織安全問(wèn)題×√×執(zhí)法機(jī)構(gòu)×√×數(shù)據(jù)安全評(píng)價(jià)（C）成熟度××√人員能力××√防護(hù)能力××√自檢能力××√數(shù)據(jù)安全組織（A）機(jī)構(gòu)設(shè)置×√×管理流程×√√責(zé)任矩陣×√√數(shù)據(jù)安全認(rèn)知（A）安全意識(shí)×√×安全知識(shí)×√×√符合×不符合關(guān)鍵舉措打造基于數(shù)據(jù)的資產(chǎn)管理目標(biāo)1：覆蓋全生命周期，管理、采集、存儲(chǔ)、整合、服務(wù)和第三方數(shù)據(jù)。能力。目標(biāo)2：動(dòng)態(tài)可視化數(shù)據(jù)可視化降低大數(shù)據(jù)的入門(mén)門(mén)檻，從而使得大數(shù)據(jù)更加走向跨專(zhuān)業(yè)使用，讓海量數(shù)據(jù)通過(guò)一些專(zhuān)業(yè)的算法和數(shù)據(jù)分析，在數(shù)據(jù)之間建立起聯(lián)系，從而幫助組織在業(yè)務(wù)發(fā)展角度進(jìn)行助力和推動(dòng)，組織對(duì)數(shù)據(jù)的需求已經(jīng)不再停留于對(duì)歷史數(shù)據(jù)的處理和分析，越來(lái)越多的組織開(kāi)始實(shí)時(shí)動(dòng)態(tài)處理數(shù)據(jù)。開(kāi)展高風(fēng)險(xiǎn)環(huán)節(jié)監(jiān)測(cè)和審計(jì)目標(biāo)1：數(shù)據(jù)動(dòng)態(tài)流轉(zhuǎn)信息，構(gòu)建時(shí)間、人、事、內(nèi)容等完整事件信息。目標(biāo)2：數(shù)據(jù)交換監(jiān)控/交換規(guī)則，策略的運(yùn)行