企业数据安全治理与认证

1、企业数据安全治理与认证技术创新，变革未来议题数据治理态势与驱动力数据安全治理的框架与模型-数据治理国际标准ISO38505-1的运用数据治理与数据中台数据安全治理案例展示数据治理认证介绍数据治理态势与驱动力3对数据的控制是数字时代全球治理的重要话题也成了新的地缘主义工具工业时代物流关税，海关，贸易策略资金流-币种，汇率人流-护照，大使馆，海关数字时代数据的流动-出境管理，隐私保护， 关键基础设施信息保护知识产权出口控制日本 Adequacy decision（充分性） 无缝跨地区数据传输基于信任的数据自由流通和以人为本的人工智能全球数据治理成为G20大阪峰会的中心议题安倍表示，“我希望G20大

2、阪峰会因启动全球数据治理而被人们长久铭记。”个人权益的保护（人权）非个人数据的流通（重要数据跨境）数据安全治理的框架与模型722/07/治理相关标准和概念 治理与管理治理活动管理活动业务活动治理管理定义与含义管理的管理责任机构治理层，如董事会管理层，如CEO主要活动EDM评估指导监督PDCA策划执行检查改进输出物战略，原则，方针方针、标准、流程 程序操作指导责任价值与风险绩效达成与操作风 险控制22/07/基于ISO 38505-1概念下的大数据治理框架- 数据安全治理框架协同应用基于信任的流通以人为本的人工智能E评估D决策M 监督C沟通A 审计Governance治理层GE安全始于设计，业务

3、考虑安全 变革的安全DE 风险偏好容忍度 安全策略安全的投资GM 安全计划实施有效性内外部期望达成 变革安全监督GC安全的沟通外部及监管机构GA安全审计Management管理层ME发起安全项目 支持业务目标MD安全目标风险与隐私影响评估 数据分级分类指南 数据生命周期管理 数据安全架构管理 数据共享分包管理MM设计一套监控指 标触发警示MC提请GB注意事项 事件响应与内外部沟通 采集与使用的透明告知 内部意识文化的建立MA支持审计Technical技术层TE战略及项目管理工具TD风险管理工具识别打标敏感数据工具 生命周期阶段管理工具 架构设计工具数据共享平台API 身份认证工具 数据中台 T

4、M检查工具威胁模型与告警 事件监控工具 Dashboard日志分析工具.TC沟通渠道工具TA审计工具People人员PE安全意识法规PD风险管理投资决策PM监督及证据留存PC沟通能力应急事件PA审计及保留证据22/07/基于国际标准的数据安全治理模型和流程ISO 38505-1的应用数据治理11摘自大数据治理与服务Data API数据服务后台基础稳定前台 快速响应数据治理是数据中台的基础数据治理认证13认证 -标准指导 统一度量 横向可比金融制造互联网合规驱动 用户挖据 征信风控产品数据 设备数据 用户数据用户画像 技术第一 成本生命线非一次性项目，是持久运营工作，通过认证年审督促数据治理的持

5、续符合认证-传递信任，遵从展示数据安全体检证数据质量信用证数据共享通行证数据合法利用不滥用 自由流通不随意流通安全始于设计垃圾进垃圾出向主管与监管机构提供数据治理实施的符合性记录认证-国际通行证书，品牌价值提升截至 2016年底的ISO调查显示全球对认证的需求上升强劲相比2015年ISO27001增长了20.9%，业务连续增长了23%信息安全：BSI占有世界范围内IS的市场业务连续性：BSI占有世界范围内ISO的.市场IT服务管理：BSI占有世界范围内ISO的.市场云安全领域BSI最早与CSA（云安全联盟）合作，将其经验转换 为认证标准，国内的阿里、百度、腾讯、华为、国外的微软Azure、of

6、fice 365,Apple、Cisco、花旗、汇丰等都选择BSI认证服务。数据治理认证 做什么17数据治理系列认证与服务数据治理ISO38505-1信息安全ISO27001GDPRBS10012约束个人信息安全ISO29100 27018/29151云安全ISO27017支付卡数据安全PCI DSS健康数据安全HIPAA中国网络安全法价值风险GB/T34960.5流通、服务、洞察 标准、质量、元数据 生命周期、数据安全审核准则与依据：红色部分为必选，其 他为组织实际业务情 况可选ISO20000/8000服务/数据质量管理数据治理认证为了证实企业数据治理组织已经建立，组 织战略覆盖了数据战略

7、，组织考虑了数据的价值、风险 与合规的要求。数据治理认证像其他体系认证一样需要确认认证的范围，从业务、组织、地点等维度确认认证证书的范围组织可以有质量管理、GBT34960.5附录提及的其他管 理机制落地实施不同的治理域，但是数据安全方面，数 据治理认证必须基于ISO27001证书基础上实施，即需要 依靠一套管理的机制来落地管理层的流程与实施监督改 进，确保数据风险按照组织策略得以控制。EDMPDCA数据治理审核要点数据治理机构、职责，数据战略，数据管理与服务流程，数据价值绩 效，数据治理环境与人员技能数据治理域的审核可选数据标准，数据架构，元数据管理，数据质量，数据安全，数据共享，数据服务，

8、数据洞察等其他管理模块的介绍 （根据组织业务实际，叠加为组织的实施和认证依据）ISO27017: 云安全管理ISO29100：个人信息保护原则ISO2718：公有云个人信息保护， 微软云，百度腾讯等已获得此证书BS 10012：世界上唯一一个与GDPR一致的标准，SAP已获得此认证GDPR: 欧盟个人数据保护法案，BSI提供培训，实施与评估验证服务PCI DSS： 支付卡数据安全标准，BSI提供培训与评估服务，华为、花旗 等通过此评估HIPAA： 美国个人健康数据保护法案，Accenture等在27001基础上通过 此评估如何做数据治理认证组织申请组织根据实施情 况，确定认证范 围包括业务（产

9、 品或服务）、组 织、地点、人数 填写申请表向BSI 提出认证申请初次认证BSI评估组织准备情况接受申请实施第一阶段文 件评审，查看相 关策略文件是否 覆盖标准要求实施第二阶段评 审 查看执行记录 与现场操作，确 定是否满足认证 标准与依据若没有严重不符 合项目，经过BSI 内部报告评审流 程，准予发放 ISO38505-1 数据 治理证书年度监督评审三年重审组织获得证书后， 须有一套管理流 程确保战略的落 地，确保治理层 的监督执行，确 保发现问题的改 正，确保风险与 价值的持续该进， 每年BSI会进行外 部审核， 三年全 年重新审核，满 足要求换发新的 证书组织可以变更证 书范围，比如扩

10、充产品线，管理 域等ISO 38505-1 介绍25How ： ISO38505-1 面向董事会的大数据治理工具ISO38505-1 标准通过模型和原则定义了 3大任务6项原则18个子任务治理主体评估监督运营合规价值实现风险可控数据管理体系指导战 略 和 方 针方 案 和 规 划绩 效性 和符合数据价值实现将成为公司治理的评估维度环 境 促 成 要 素文 化人 员 技 术大数据环境下，数据资产概念得到确认，如何使用和运作该项资产，成为大数据治理区别与传统将数据仅作为控制对象看的管理域。治理相关标准和概念 大数据时代的数据治理治理主体评估指导监督运营合规价值实现风险可控数据管理体系PDCA战 略 和 方 针方 案 和 规 划绩 效 和 符 合 性数据价值实现环 境 促 成 要 素文 化 人员 技 术ISO/IECSC40 注册专家国家电投大数据中心特聘专家人行培训中心金融数据治理特聘专家 国家开发银行专家委员会成员