@微光
2年前 提问
1个回答

建立完整数据安全政策文件体系包括哪些工作

趣能一姐
2年前

建立完整数据安全政策文件体系包括以下工作:

  • 建立政策总纲,建立数据分级和分类标准,明确数据Owner的定义与权利、职责。

  • 建立数据安全的管理政策,包括建立最小化权限以及权限分离的相关政策。

  • 建立数据安全算法/协议标准、产品标准、开发规范、运维规范。

  • 建立和完善数据生命周期管理制度,从源头开始对数据保护,覆盖数据生成、存储、使用、传输、共享审核、销毁等。

  • 建立针对法律、监管/行管所需要的合规要求(网络安全法、PCI-DSS等),可单独发文或整合到上述规范中去。

  • 数据分级和分类清单的建立与例行维护,并考虑建立/完善数据安全管理系统,或者整合到数据管理中台(所谓中台,是相对于前台和后台而言的,是统一的中间层基础设施)。

  • 风险管理与闭环:基于分级管理,例行开展指标化风险运营,建立并完善风险闭环跟进流程。

  • 将安全要求融入到产品开发发布的流程中去。我们可基于业务实际情况,建立适合业务需要的SDL流程,对关键控制点进行裁剪或取舍,串行或并行开展安全质量保障、质量控制活动。