美创科技四个行业数据安全治理实践案例

自《数据安全法》、《个人信息保护法》等法律法规出台以来,数据安全治理,作为体系化提升数据安全保障能力的重要抓手,得到越来越多的重视,“具体该如何有效落地”也成为不少单位组织普遍关注的话题。

从率先推出数据安全治理咨询服务,到在各行业实践中完成从V1.0到V3.0版本的进化,美创科技以完善、流程化的方法路径和自动化工具,持续推动数据安全治理在行业中有效落地。

为此,我们汇集了金融、政府、能源、制造四个行业案例实践,分享数据安全治理落地过程,以供更多用户参考。

PART1

金融行业

某金融机构数据安全治理项目

2021年,银保监会开出第一张罚单,某银行因涉及制卡数据违规明文留存、数据安全管理较粗放、存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,罚款数百万元。

在金融行业数据安全监管整改力度逐渐加大的背景下,某金融机构数据安全体系化建设提上议程。但由于该机构场景众多,内外部数据采集、数据共享交换、数据分析、数据上报等,安全风险各及其防护方案各不相同,先建设哪些,再建设哪些,缺少明确的规划思路

对此,基于金融行业数据安全需求,以“长短结合、充分利现、平稳过渡”为思路,美创科技提出适合该金融机构的数据安全治理路径,方案包括:

数据安全制度规范

通过现状调研与沟通,编写符合该机构战略和业务发展的数据安全制度体系,最终确定《数据安全管理制度》、《数据安全人员管理规范》、《数据安全应急响应管理制度》等制度,覆盖数据全生命周期各阶段,围绕组织、流程、技术、人员等维度制定,为其组织数据安全管理上提供有力支撑。

合规性评估与安全风险评估

合规性评估和加固建议:联合对标13项法规、条例,充分了解其数据安全合规情况,以规避可能存在的法律风险,做到“早发现、早处理”。该部分评估对相关法律法规条款逐一进行解读、现状描述,同时对每个条款衍生或关联的相关法律、法规、标准和指南等内容进行标识,最后针对存在的风险提供建议。

数据全生命周期评估和加固建议:结合实际情况,从技术和管理两个维度,涵盖数据生命周期风险评估和数据基线及漏洞评估,基于访谈和工具分析现有的数据安全风险,最终得出当前数据业务的安全风险总体情况,以GAP图清晰展示,提供安全加固建议。

数据安全建设规划

数据安全建设规划依照前期数据安全咨询项目的评估差距进行补足,着眼于数据全生命周期安全,针对不同的阶段提供技术加固方案,考虑到用户数据安全建设的紧迫性,分为短期和长期建设规划,包括数据安全防护可用的产品或技术手段、建设周期、先后顺序,以及建设完成后差距评估,为其明确数据安全规划建设之路

交付物清单包括

  • 《数据安全咨询报告》

  • 《数据安全建设规划方案》

  • 《数据安全管理制度》

  • 《数据安全人员管理规范》

  • 《数据安全应急响应管理制度》

PART2

政府行业

某大数据局数据安全分类分级项目

数据分类分级是数据安全治理必不可少的环节和首要工作,2021年,某省大数据局印发《公共数据分类分级指南》(试行),要求各个大数据局按照规范对数据分类分级,并要求对数据进行分级管理。

作为分类分级指南的试点单位,基于省大数据局下发的规范文件,美创科技为某市大数据局提供数据分类分级解决方案,通过自动化工具(暗数据发现与分类分级系统)+人工的方式帮助其进行人口综合库数据梳理和分类分级。

美创暗数据发现与分类分级落地流程

分类分级标准梳理

结合《公共数据分类分级指南》、《人口综合库数据规范》、《信息安全技术 个人信息安全规范》等规范,对该市大数据局的人口库进行梳理,形成《市大数据局数据分类分级参考规范》,并将标准内置到分类分级工具中

数据资产发现

通过暗数据发现产品提前配置好人口库的分类分级及发现模版,对所在的数据库开展资产发现作业,实现自动化的数据业务类型识别,对数据含义进行标识。

数据安全建设规划

在业务类型识别基础上完成对人口库数据的分类分级,通过工具进行标签管理,并生成可视化的分类分级报告。

最终完成并交付如下内容:

交付物清单

  • 识别人口库敏感数据,包括:姓名、地址、出生日期、身份证号、手机号码等个人敏感信息。

  • 通过自动化工具大幅提高分类分级效率,总计分类超过30个类别,包括个人自然信息、个人资产信息、社会活动信息、个人家庭信息等。

  • 分类分级结果通过可视化报告展示,包括敏感数据分布和占比、业务类型数量排序、不同分类的数据量对比等信息,有序展现,一目了然。

  • 资产发现和分类分级的结果可通过标准接口的方式,对接安全产品和大数据局其他数据资源管理平台,完成对数据资产的安全访问和高效管理。

PART3

能源行业

某大型能源集团数据安全治理项目

该某大型能源集团其应用系统作为关键信息基础设施,涵盖工业、运营、个人信息等数据。随着横向《网络安全法》、等保2.0、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》等法律法规,及纵向垂直行业安全标准,对数据安全提出明确要求,数据安全建设刻不容缓。

在此背景下,该集团以核心业务系统为切入点,以DSMM为抓手,从而逐步建立健全数据安全治理体系,整体阶段包括:

数据资产梳理

通过问卷调研、工具探查等方式多维度盘点数据资产,厘清数据资产现状,并在此基础上进行数据分类分级:

  • 数据资产盘点:通过工具探查数据资产情况,为分类分级实施做好准备工作。

  • 数据权限现状:盘点清楚用户具备哪些权限,数据可以被哪些用户增删改查,权限过大用户有哪些等。

  • 数据流向梳理:盘点数据从采集、传输、共享交换到销毁的流向。

  • 数据分类分级:完成数据分类和分级,共分四级,其中敏感表占比约60%,敏感字段占比约50%,同时明确了各级数据的安全要求。

数据安全风险评估

对数据安全现状进行分析,识别和分析数据资产在全生命周期各阶段风险,并给予中立的加固建议,包括:

  • 基础风险评估:通过安全基线检查、漏洞扫描、渗透测试等方式,发现数据处理环境中存在的安全漏洞,提供加固建议。

  • 数据安全能力差距评估:基于组织实际情况,深度分析和评估当前组织安全能力现状,帮助其厘清自身在生命周期各阶段的能力现状与目标的差距。

  • 数据安全合规评估:全面解读和分析《数据安全法》、《个人信息保护法》以及地方办法条例内容,通过联合对标分析,全面评估组织数据安全合规情况和合规风险,提供针对性的加固建议。

  • 数据全生命周期风险评估参考信息安全风险分析方法,从资产和风险两大视角出发,基于数据分级结果,建立组织风险评估模型,通过定性分析和定量分析方法,评估数据资产所面临风险。

数据安全建设规划

基于数据安全风险评估的结果,结合实际情况,提供针对性的数据安全建设规划方案:

  • 管理制度建设:基于合规要求,完成部分数据安全相关制度,为后续管理提供依据。

  • 数据安全建设规划:从管理、技术和运营三个维度规划,开展数据安全建设的短、中、长期规划和建设工作,明确建设依据、建设规划、建设路径、建设周期、建设优先级等内容,指引数据安全建设道路。

交付物清单

PART4

制造行业

某制造企业数据安全治理项目

《数据安全法》、《数据出境安全评估办法》等法律法规文件相继颁布,面临日趋严格的监管和数据安全威胁态势,作为拥有海量敏感数据资产,并存在跨国业务的大型制造企业,亟需分析组织内部整体在数据全生命周期过程中存在的安全合规风险,建立符合实际情况的安全管理和安全技术建设。

结合用户“数据安全合规”实际需求,以及在“重要数据”、“关键数据”、“数据跨境”等存在的难题,美创科技本次方案以“数据分类分级”和“合规对标”为抓手,以三个阶段逐步推进:

识别敏感数据,完善分类分级

由于现阶段暂无制造业的分类分级指南,美创科技本次以《工业数据分类分级指南(试行)》为基础,参考公共数据、物流交通、能源、电信、金融行业的分类分级实践结果。在企业原有分类分级的基础上,细化补充了数据类别和级别,并且设计了基于数据分类分级结果的数据权限。

数据安全风险评估

对数据安全现状进行分析,识别和分析数据资产在全生命周期各阶段风险,包括对《数据安全法》、《个人信息保护法》、《通用数据保护条例》等国内外法律法规文件进行全面解读和分析,参考信息安全风险分析方法,通过定性分析和定量分析的方法,分析并计算数据资产所面临的风险值,并给予中立的加固建议。

数据安全建设规划

基于数据安全风险评估的结果,结合实际情况,提供针对性的数据安全建设规划方案,明确建设依据、建设规划、建设路径、建设周期、建设优先级等内容,指引数据安全建设道路,完善《数据安全管理办法》、《数据全生命周期管理制度》、《数据接口安全管理规范》、《数据脱敏规范》、《数据安全风险评估管理制度》等5份制度规范。此外,通过培训赋能和项目实施过程中的成果移交,协助组织形成一套基础的数据安全合规评估工具,让组织具备常态化的自评估能力。


让数据安全治理卓有成效的落地,充分满足监管合规与业务发展需求,美创参考DSG、DSMM模型,结合CARTA、IPDRR、PDCA方法论,基于多年经验不断进化适合组织的数据安全治理实践路径,以评估规划、建设指导、成效评估、持续改进为主线,从组织架构、制度流程、人员能力和技术工具建设四个方面构建数据安全治理体系,以更好帮助解决企业组织建立起数据安全保障体系。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/24273.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

家用洗地机哪个好用?家用洗地机分享

洗地机是一种代表现代化清洁的设备,它具有高效、环保、经济、智能等多种特点。洗地机可以为您提供先进的清洁技术和设备,为您的清洁工作提供有力的支持。洗地机可以适应不同场所和建筑物的需求,提高工作效率和卫生形象。因此,选择…

洗地机怎么选?高性价比家用洗地机推荐

洗地机是一款高效、智能的清洁设备,可轻松去除地面污渍,免除了传统清洁方式的繁琐和费时。采用高科技材料和技术,可快速有效地将地面污物清除,保持环境卫生和清爽。但是面对市场上众多的洗地机品牌,许多家人们都不知道…

哪款洗地机适合家用?家用洗地机型号分享

洗地机采用多种清洁方式,如湿拖、干拖、热水清洗等,可针对不同使用场合和地面类型进行清洁。而且洗地机无需手工操作,智能感应地面脏污,自动适应地面清洁程度,保证了清洁效率和效果。本文将为大家推荐几款性价比较高、…

基于Java+SpringBoot+Vue前后端分离网上银行系统设计与实现(视频讲解)

博主介绍:✌全网粉丝3W,全栈开发工程师,从事多年软件开发,在大厂呆过。持有软件中级、六级等证书。可提供微服务项目搭建与毕业项目实战,博主也曾写过优秀论文,查重率极低,在这方面有丰富的经验…

中关村论坛 | 金融业从增量到存量博弈背后两大原因 更重要的是……

在数字经济浪潮下,中国金融业正在经历数字化转型的深刻变革。为研判金融科技行业发展趋势和前景,探索金融创新与监管安全的边界,“2023中关村论坛金融科技论坛”于5月29日召开。 中电金信常务副总经理冯明刚与中国银行软件中心副总经理康钧伟…

17、Health Check 健康检查

强大的自愈能力是kubernetes容器编排引擎的重要特性。 自愈的默认实现方式是自动重启发生故障的容器。除此之外,还可通过 Liveness和Readiness探测机制设置更精细的健康检查,进而实现如下要求: 零停机部署 避免部署无效的镜像 更加安全的滚动…

玩与学 | 《乐高EV3机器人搭建与编程》

如果你正在寻找不需要焊接电线或学习高深的编程语言就能够一窥机器人奥妙的方法,那么LEGO MINDSTORMS EV3正是你要找的。你可以通过LEGO连接部件和图形界面来搭建机器人并为其编程。当你准备好接受新挑战的时候,你还可以破解操作系统并使用更高级的编程语…

像玩乐高一样玩simpletun

netcat小巧而灵活,能应付各种你需要的网络测试。 但要明白netcat所能应对的网络场景基本都和端到端有关,比如和TCP,UDP有关。 网络还有另一面,即链路本身。如果你想模拟一个防火墙,模拟一个NAT怎么办?用n…

LeGO-LOAM学习

前言 在学习了LOAM之后,了解到LeGO-LOAM(面向复杂情况的轻量级优化地面的雷达里程计),进行了一个学习整理。 Github:https://github.com/RobustFieldAutonomyLab/LeGO-LOAM 论文:https://github.com/Robu…

乐高大颗粒作品10:滑板车的搭建

温馨提示 如果你喜欢本文,请点击收藏、在看并分享到朋友圈,想要获得更多乐高大颗粒图纸,请点击蓝字关注“Scratch青少儿编程课堂”,不定期更新更多优质作品。 ⭐ 详细步骤图 -end- 乐高大颗粒作品9:水井的搭建 2021-01…

乐高打印机robotc

目录 一、实验原理 二、实验目的 三、实验内容 四、实验器材(设备、元器件) 五、实验步骤 六、实验数据及结果分析 七、实验结论 八、总结及心得体会 九、对本实验过程及方法、手段的改进建议 代码附录 温馨提示 一、实验原理 1.取模&#x…

乐高大颗粒作品6:打地鼠的搭建

温馨提示 如果你喜欢本文,请点击收藏、在看并分享到朋友圈,想要获得更多乐高大颗粒图纸,请点击蓝字关注“Scratch青少儿编程课堂”,不定期更新更多优质作品。 ⭐ 打地鼠第一种搭建方法(曲柄) 打地鼠第二种搭…

LEGO® Education BricQ 乐高教育发布BricQ趣动系列套装

乐高教育今日宣布其发布两款无需额外技术辅助,寓学于乐的动手实践式STEAM学习解决方案,LEGO Education BricQ趣动系列套装。此次发布的两款解决方案均以体育运动为主题,在物理科学学科教学中通过实际场景应用,帮助学生们以有趣且独…

如何搜索相似的图片,如何通过识别图像搜索图片

最近有一张图片,想搜索这张图片的来源,搜索图片里的内容也没有搜索出来。比如搜索一个明星的照片,输入名字可以出来很多,但是有了图片想知道这个图片更多的信息,或者类似的图片,怎么搜索呢。 百度提供了一个…

搜索引擎(包括图片搜索)

转自:http://blog.csdn.net/v_july_v/article/details/6827391 1、什么是搜索引擎 搜索引擎指自动从因特网搜集信息,经过一定整理以后,提供给用户进行查询的系统。因特网上的信息浩瀚万千,而且毫无秩序,所有的信息像汪…

安卓性能测试(三):耗电量 (batterystats)

使用条件: android 5.0及以上系统 (在6.0及以上系统的数据更详细) 使用方法: 1、打开电池数据获取 adb shell dumpsys batterystats --enable full-wake-history 2、数据重置 adb shell dumpsys batterystats --reset 3、拔掉…

BatteryStatsService电池电量统计服务源码分析

BatteryStatsService主要负责电池电量的统计信息,首先我们简单的看下电量统计服务的启动过程。 BatteryStatsService启动过程 从BatteryStatsService的启动时序图可以看出,BatteryStatsService服务是在ActivityManagerService服务中启动的 1. 在SystemSe…

android 4.4 batteryservice 电池电量显示分析

转载地址:http://blog.csdn.net/daweibalang717/article/details/40615453 最近工作接触到这么的东西,这是我对整个电池管理方面Java 层的分析。如果想了解底层的话,请看我的博客: android 4.4 电池电量管理底层分析(C\C层) &a…

Battery Historian分析手机耗电神器

极力推荐Android 开发大总结文章:欢迎收藏程序员Android 力荐 ,Android 开发者需要的必备技能 本篇文章主要介绍 Android 开发中 电量 的部分知识点,通过阅读本篇文章,您将收获以下内容: 1.安装Battery Historian 2.收集Batteryst…

卡尔曼滤波预测应用python实践

1. 什么是卡尔曼滤波 最佳线性滤波理论起源于二十世纪40年代美国科学家Wiener和前苏联科学家KOnMoropOB等人的研究工作,后人统称为维纳滤波理论。60年代Kalman把状态空间模型引入滤波理论,并导出了一套递推估计算法,后人称之为卡尔曼滤波理论…