数据安全能力评价认证证书申请要多久
随着组织业务的丰富和扩展,数据越来越多种多样,越来越庞大,相应的数据安全问题也变得越来越复杂。
单独使用一、两种技术难以应对;数据安全不仅是一个技术问题,还涉及法律法规、标准流程、
人员管理等问题。一套科学的数据安全实践体系对于组织来说是十分必要的。近年来,
一些安全相关的机构纷纷提出数据安全的实践体系、方法论与解决方案。主要分为两类:
一类是“由上而下”的数据安全治理体系;另一类是数据安全能力成熟度模型体系。
数据安全治理(Data Security Governance,DSG)早由Gartner在2017安全与风险管理峰会上提出。
在GartnerSummit2019完善。Gartner认为数据安全治理是从决策层到技术层,
从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之
间需要对数据安全治理的目标达成共识,确保采取合理和适当的措施,以有效的方式保护数字资产。
其安全治理框架如下图所示,一共分为5步,“由上而下”,从平衡业务需求、风险、合规、威胁到实施安全产品,为保护产品配置策略。
组织建设:指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行层等三层结构。
其中,决策层由参与业务发展决策的高管和数据安全官组成,制定数据安全的目标和愿景,
在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,
负责制定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和各业务部门接口人组成,负责保证数据安全工作推进落地。
制度流程:指数据安全具体管理制度体系的建设和执行,包括数据安全方针和总纲、数据安全管理规范、
数据安全操作指南和作业指导,以及相关模板和表单等
数据安全技术能力建设工作并非从零开始,而是以组织基础设施安全建设为基础,围绕数据安全生命周期安全的各项要求,
建立与制度流程相配套并保证有效执行的技术和工具,技术工具建议使用标准的数据安全产品或平台,
也可以是自主开发的组件或工具,需要综合所有生命周期过程域进行整体规划和实现,
且要和组织的业务系统和信息系统等进行衔接。数据安全技术能力需要支撑运营能力的执行与监控,
保证覆盖数据使用的各个场景中的数据安全需求。