安基网 首页 安全 安全学院 查看内容

企业数据安全管理要从策略起步

2018-12-14 13:21| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 数据隐私云计算环境中用户的数据隐私即秘密数据,是不想被他人获知的信息。不存在的时候,关于保密要求,组织没有对数据资产进行分类,没有意识到有关参与第三方的数据隐私问题,也不关心控制目标或对数据隐私的控制 ...

数据隐私

云计算环境中用户的数据隐私即秘密数据,是不想被他人获知的信息。

不存在的时候,关于保密要求,组织没有对数据资产进行分类,没有意识到有关参与第三方的数据隐私问题,也不关心控制目标或对数据隐私的控制。当根据需要已经对有些数据已经进行了分类。然而,这些分类不是最新的或没有记录。

过去,组织部分人员曾关心第三方的角色以及数据隐私问题。在某些方面,有适当的数据隐私控制。这种状况属于存在,但无效。有限的情况下,组织的部分人员根据保密要求已经对数据资产进行了分类。部分人员意识到第三方的角色,并努力实现一致性。部分人员根据他们特定的数据安全要求,已经定义了控制目标并实施了控制。

而正在进行中的时候,根据保密要求,组织已经对数据资产分类有了整体的解决方案,并记录了第三方的完整参与过程及相关数据隐私问题。为了确保数据隐私,组织已经定义了总体控制目标。当达到企业级别的时候,根据保密要求,组织已经对所有数据资产进行了分类,并按照相关标准和外部法规等对分类做了记录。

关于第三方参与及相关隐私问题,组织有全面的指导方针和政策。基于所承担的风险,组织已经制定了总体控制目标,并实施了相关控制。抵达成熟阶段后,组织了解所有数据资产以及分类的相关需要。并实施执行了自动分类流程。

组织知道任何可能有意或偶尔访问机密数据的第三方,已制定并传达了记录规则。根据数据保密要求,组织已定义了全面控制目标,并实施了相关控制。

数据保存

不存在的状态下,组织没有意识到特定的保留要求,也不关心数据资产的安全处理、控制目标或对数据保存的控制。存在,但无效的时候,为了保存,在某些情况下数据资产已被储存起来。组织的部分人员曾关心数据资产的安全处理。

在某些方面,有适当的数据保存控制。当组织的一些部门根据需要会关心数据的保存,组织部分人员在执行正式的生命终结程序。部分人员根据他们特定的数据保存要求,已经定义了控制目标并实施了控制。这属于有限的状态。

正在进行中的时候,组织已经开始从权威部门以及业务单位处收集各种要求。正在建立、推进并记录企业级的框架,对于数据资产的最终处理,已经实施了常见的解决方案。为保存数据,企业已经定义了总体控制目标。到达企业级别时,存在并记录了企业级需要框架,可供使用。

对于数据资产的最终处理,组织有共同的且有记录的解决方案。基于所承担的风险,组织已经制定了总体控制目标,并实施了相关控制。最终成熟阶段的特征在于,存在并记录了企业级需要框架。其内容和结构符合所有相关业务单位和执法部门的要求。组织已制定了最终安全处理数据资产的程序和技术手段并且拥有全面控制。

数据的安全策略

若企业并不了解其数据资产面临的威胁,对法律法规的要求也没有任何意识,就可以认为企业在数据安全方面不存在整体的解决方案。有些企业,有一些数据安全标准和政策虽然没有广泛使用或者是过时了,但却仍然存在。

然而并不存在覆盖整个企业的数据安全解决方案。企业的部分人员意识到数据资产可能暴露于特定的风险之下时,部分人员关注着整体的法律要求,还有部分人员已经在协调数据安全与其他安全功能。

这种企业的数据安全管理基本上属于存在,但无效。有限的情况下,存在详细记录的数据安全解决方案,包括一些标准和政策,但该解决方案只用于企业内部分部门。组织的部分人员已了解某些风险,那些见解并未记录下来,但若有特定需要会利用它们。部分人员知道法律要求,并根据需要实现了一致性。如有需要,数据安全部门会偶尔与相关部门进行合作。

正在进行的时候,存在详细记录的数据安全解决方案适用于大多数企业,包括一些标准和政策。这些标准和政策需要进行完善并更新,近日,组织对与其数据资产有关的风险进行了初步评估,并记录在案。

组织了解数据安全的相关法律法规,并已经开始实施控制。在联合结构尝试协调安全与相关安全领域。处于企业级别的状态下,存在详细记录的数据安全解决方案适用于大多数企业,包括广泛标准和政策。

这些标准和政策需要进行更新,基于安全风险评估所得的见解推出了数据安全指导和活动。组织已经实施并记录了符合地方和国际数据安全法规的控制措施,数据安全工作符合企业中其他安全功能。当达到成熟阶段时,有用于组织所有部门的数据安全框架。

该解决方案包括记录的和分布式数据安全标准和政策。这些数据安全标准和政策会定期更新。组织会根据数据资产的商业价值与潜在威胁下的脆弱性定期评估并排列数据资产。组织符合所有地方、国家以及国际上的数据安全条例。(作者张礼立博士,上海市海外经济技术促进会秘书长,浦江学术委员会学术委员兼秘书长、中国青年企业家协会理事、盘古智库学术委员。)


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6634360721230529038/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部