于冰冰数据安全管理实践

数据安全管理实践目

录

CONTENTS01…数据安全基本框架02…数据安全工作实践

03…数据安全管理维度04…数据安全体系建设议题一数据安全基本框架降低风险业务增长安全性作为资产生态共进

数享未来合同义务*DAMA数据管理知识体系指南第2版数据安全的主要驱动力*特定业务关注点政府法

规合法访

问需求利益相

关方全球JR金融行业标准全国人民代表大会常务委员会公报版数据安全法中国民主法制出版社法律法规，监管机构和参考标准国家标准数据逐步实现从信息化资产到生产要素的转变从“载体”安全到数据安全，从技术安全到数据有效保护和合法利用数据安全聚焦于数据全生命周期过程中保护数据免受未授权的访问与数据损坏数据安全意识入员培训

「_外包管理沟通

[监控审计3数据隐私和风险[DPA&DPA[2出境评估应用安全代码审查终端安全数据生命周期安全标准(采集，传输，存储，使用，删除，销毁)生态共进

数享未来数据安全组织和治理安全战略

组织架构安全报告]

政策指南_数据分级分类基于数据生命全周期的数据安全框架基础设施安全

中立急响应灾备管理云服务二网安法_

「不保法

数安法_

其他法规安全管理流程制度

技术工具[职责分离鉴别

其网络分区传输安全数据分级分类管理数据安全框架信息系统

分级角色和权限控制权限管理法律法规网络安全管理控议题二数据安全工作实践计文满基口安全人具管资

品材

件

a

t臣

睛

量

别

与

结问

管

理

工5

0

重

量

事

开

业

堂率件查鱼平血提升计划基于风险优先的的数据安全工作实践根据企业经营现实情况，结合迫切的数据安全需求，

制定重点突出、切实可行的数据安全提升计划了解企业已有数据安全措施，梳理数据在业务流程中的应用情况，找到跟需求的差距根据制定的数据安全提升计划，严谨实施项目，定期检查项目进程，确保按照计划完成项目活动符合法律法规、国家标准和行业标准的要求，满足业务发展的需求，降低数据使用面临的风险需求再确认需求修

正原始需求收集

需求分

求确析

认需求收集需议题三数据安全管理维度采取适合的技术工具，加强安全管理：加密，脱敏，

授权管理，监控日志，用

户实体分析，数据防泄漏。数据安全意识教育和培训。

对重要岗位进行安全审查，设立专人专岗，职责分离，必要时设立双人双岗。建立自上而下数据安全管理体系，要盖决策、管理、执行、监督四个层面，明确组织架构和岗位设置建立统一的数据安全管理流程制度，明确各层级部门与相关岗位数据安全工

作职责，规范工作流程。数据安全管理四个维度议题四数据安全体系建设

米5级：持续优化4级：量化控制目标

3级：充分定义2级：计划跟踪1级：非正式执行生态共进PA⁰3数据源鉴别及记录PA04

数据质量管理PA⁰5数据传输加密PA06网络可用性管理PA07

存储媒体安全PA08

逻辑存储安全PA⁰9数据备份和恢复PA10

数据脱敏PA11

数据分析安全PA12数据正当使用PA13数据处理环境安全PA14

数据导入导出安全PA15

数据共享安全PA29

需求分析PA28

鉴别与访问控制PA27

监控与审计PA26

终端数据安全PA²5

元数据管理PA24

数据供应链安全PA23数据资产管理PA22合规管理PA21

组织和人员管理PA20数据安全策略规划PA19

存储媒体销毁处置PA18

数据销毁处置PA17

数据接口安全数据生命周期安全通用安全数享未来PA16

数据发布安全*GB/T37988—2019基于国家标准的数据安全体系建设*数据安全能力成熟度评估PA01数据分级分类PA30

安全事件应急

PA02

数据采集安全管理数据安全过程域提升计划JanFebMarAprMayJunJulAugSepOctNovDecPA08逻辑存储安全制定逻辑安全策略天PA10数据脱敏数据脱敏分析和实施PA11数据分析安全制定数据分析安全模板PA14数据导入导出安全实施数据导入导出工具PA17数据接口安全加强接口安全人员管理PA23数据资产管理采购实施数据资产管理工具PA24数据供应链安全制定数据供应链安全制度PA25元数据管理组织元数据管理团队今PA28鉴别与访问控制实施鉴别与访问管理工具PA30安全事件应急设置安全事件应急平台示例：制定提升计划和实施签订外部审计供应商PA27监控与审计数据资产