数据安全治理与数据安全成熟度模型-k8凯发游戏

数据安全治理与数据安全成熟度模型
作者:安华金和 发布时间:2018-11-21

数据安全治理(简称:dsg)是以“让数据使用更安全”为目的的安全体系构建的方法论,核心内容包括:

(1)满足数据安全保护(protection)、合规性(compliance)、敏感数据管理(sensitive)三个需求目标; 

(2)核心理念包括:分级分类(classfiying)、角色授权(privilege)、场景化安全(scene);

(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;

(4)核心实现框架为数据安全人员组织(person)、数据安全使用的策略和流程(policy & process)、数据安全技术支撑(technology)三大部分。

01.jpg

数据安全成熟度模型(简称:dsmm)是另一个数据安全建设中的系统化框架,是围绕数据的生命周期、结合大数据业务的需求以及监管法规的要求,持续不断的提升组织整体的k8凯发游戏能力,以数据为核心的安全框架。

 01.jpg

dsmm核心框架图

主要包含以下三个维度:

1) 数据生命周期安全:围绕数据生命周期,提炼出大数据环境下,以数据为中心,针对数据生命周期各阶段建立的相关k8凯发游戏过程域体系。

2) 安全能力维度:明确组织机构在各k8凯发游戏领域所需要具备的能力维度,明确为制度流程、人员能力、组织建设和技术工具四个关键能力的维度。

3) 能力成熟度等级:基于统一的分级标准,细化组织机构在各k8凯发游戏过程域的5个级别的能力成熟度分级要求。

dsmm模型与dsg理论之间既有相同,又有区别;两个安全体系都强调以数据为中心建立系统化的k8凯发游戏体系,在数据安全的建设上,都不是强调唯技术论,都强调组织建设、制度流程和技术工具的综合作用。

dsg和dsmm有以下重要区别:

1) dsg是以数据的分级分类为核心,进行安全策略的设定;dsmm是以数据的生命周期为核心,寻求安全策略的覆盖;

2) dsg体系化建议了数据使用或服务的人员的角色,根据角色对数据使用的主要场景,提供建议的安全措施,以及所要使用的安全工具;而dsmm更多的是提供一种评估方法,看数据使用的过程中,企业是否定义了明确的控制措施,并无具体化的方法推荐;

3) dsg并不那么强调数据的生命周期,dsg反对在数据的生命周期中不区分化的安全措施,dsg强调针对数据使用场景,满足数据使用需求后的针对性安全措施;比如在开发测试环境,需要采用脱敏的技术获得高仿真数据,在这种场景下不强调审计、管控和加密等措施;

4) 在dsg体系中,将安全体系的构建,明确归纳为安全政策的制定,技术支撑平台的建设,安全政策执行有效性的监督,安全政策的改善这一持续循环过程;而dsmm对安全成熟度进行了等级化分级,将持续改善定义为了最高级别;在dsg的理念中,无论在完成了多少的安全建设,持续改善都是一个标准动作。

5) 从本质上讲,dsg更像一种方法论,帮助企业如何迅速构建一套行之有效的k8凯发游戏体系;而dsmm更像一种评估方法,像一个考试,让企业或监管机构来评价企业当前的安全建设状态。


网站地图