数据安全能力评价认证证书对企业的作用和特点
背景建立阶段:确定数据安全风险评估的对象和范围,对涉及业务数据的数据库、服务器、
文档等进行相关信息的调查分析,并准备数据风险管理的实施。
风险评估阶段:根据数据安全风险评估的范围识别数据资产,分析业务系统数据所面临的威胁以及脆弱性,
结合采用数据安全控制措施,在技术、管理和运营层面对业务系统数据所面临的风险进行综合判断,并对风险评估结果进行等级划分。
风险处理阶段:综合考虑风险控制的成本和风险造成的影响,从技术、管理、运维层面分析业务系统数据的安全需求
提出实际可行的数据安全措施。明确业务系统数据可接受的风险程度,采取接受、降低、规避或转移等控制措施。
批准监督阶段:包括决策和持续监督两部分。依据评估的结果和处理措施,判断能否满足数据的安全要求
,决策层决定是否认可风险,并对业务数据相关环境的变化进行持续监督。
监控审核和沟通咨询贯穿于上述基本步骤,跟踪业务系统和业务数据的安全需求变化,
对数据安全风险管理活动的过程和成本进行有效控制。
数据分类就是把具有某种共同属性或特征的数据归并在一起,通过其类别的属性或特征来对数据进行区别。
就是相同内容、相同性质的信息以及要求统一管理的信息结合在一起,而把相异的和需要
分别管理的信息区分开来,确定各个模块之间的关系,形成一个有条理的分类系统。
数据分类应在遵循系统性原则、规范性原则、稳定性原则、明确性原则、扩展性原则的基础上,
综合考虑各业务场景中数据的属性和类别特征。例如将组织的各类数据分为组织管理数据、
业务运营数据、网络及IT系统运维数据和合作伙伴数据等。
完成数据的分类后,需要数据的敏感程度对数据进行分级,数据分级应遵从依从性原则、
可执行性原则、时效性原则、自主性原则、合理性原则、客观性原则,
例如,根据数据的敏感级别,可将数据分为四个级别:极敏感级、敏感级、较敏感级、低敏感级。