构建数据安全标准体系过程中的要点有哪些
构建数据安全标准体系过程中的要点有以下这些:
制定数据安全策略:应基于企业数据安全要求数据安全策略,需要IT安全管理员、数据管理专员、内部和外部审计小组及法律部门共同参与数据安全策略的制定工作;
制定数据安全标准:企业的利益相关者和监管者应关注数据访问、隐私和保密性要求,基于这些要求,创建一个实用的、可执行的安全标准;
制定数据安全控制及措施:企业需要制定自己的安全控制措施,这些措施应符合法律法规要求,应建立相应机制记录这些措施的执行情况;
用户名、密码和用户组成员的管理:应在工作组和业务单位层面创建组定义,在层级结构中对角色进行组织,通过子角色进一步限制父角色的权限;
数据访问视图、字段和权限的管理:通过授予权限控制用户对敏感数据的访问。没有权限的用户无法执行任何操作。如对显示权限、编辑权限、操作动作(申请、变更、审核等)权限的管控,对数据模型、数据视图、属性字段等权限的管控;
用户身份认证和访问行为的监控:在多个层面或数据接触点执行监控。如,应用程序监控;对某些用户和角色组实施监控;用于数据完整性验证监控;对配置和核心元数据验证实施监控;对跨异构系统依赖关系检查实施监控;
信息密级的划分:典型的信息密级分类主要包括以下5个等级。公众级、内部使用、机密、受限机密、注册机密。信息密级的划分是元数据的重要属性,用于指导赋予用户存取权限。企业可根据自身管理要求进行信息密级的界定;
数据安全审计:应对数据安全策略和标准及其实施规程和实际操作进行审计,以确保数据安全目标、策略、标准、指导方针和预期结果相一致;应评估现有标准和规程是否适当,是否与业务要求和技术要求相一致;应验证企业机构是否符合监管法规要求;应有违背数据安全行为的上报和通知机制;应评审合同、数据共享协议、确保外部供应商切实履行数据安全义务,同时保证企业自身要履行自己应尽的义务;