06-數據安全合規的思與行.pdf

《06-數據安全合規的思與行.pdf》由會員分享，可在線閱讀，更多相關《06-數據安全合規的思與行.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、數據安全合規的思與行國家法律法規基礎01企業內部規章制度02合規稽查態勢分析03數據加固應用構建04總結0501國家法律法規基礎三法一條例保障網絡安全，維護網絡空間主權和國家安全、社會公共利益。保護公民、法人和其他組織合法權益。規范數據處理活動，保障數據安全，促進數據開發利用，維護國家主權、安全和發展利益。保護個人、組織的合法權益。保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用。網絡數據安全管理條例規范網絡數據處理活動，保障網絡數據安全，促進網絡數據依法合理有效利用。02企業內部規章制度企業內部數據安全管理制度一級文件:信息安全管理制度-安全管理體系總則。明確信息安全部門職能范圍

2、、總體目標、工作策略、底線要求及獎懲條例。二級文件：數據安全管理規定-數據全生命周期中數據管理者、使用者的責任劃分，如何根據數據場景化制定分類分級，嚴格區分重要數據和一般數據的性質。數據庫安全基線管理辦法-數據庫權限訪問控制，重要數據備份機制，應急恢復演練以及管理人員的職業素養。數據運營管理流程-數據展示、共享、提取等在流程體系中如何規避風險，根據數據重要程度和量級設立多級審批制，主導“誰生產、誰運營、誰負責”的原則。集團發布數據安全理制度03合規稽查態勢分析合規稽查中的數據治理數據安全風險自評估數據非法收集引發的風險移動應用程序、網站權限違規調用數據安全防護能力薄弱引發的風險數據接口防護不當

3、數據庫安全保障措施不健全鑒權訪問控制不完備數據傳輸或存儲未加密數據處理人員違規操作引發的風險合作方管理不善，造成數據違規傳輸、泄漏賬號權限配置不當數據生命周期引發的風險數據采集過程數據傳輸與存儲數據應用與共享合規稽查中的數據治理數據安全風險評估對分類分級的要求01分類分級行業指南02權限管控03數據脫敏04可用不可見開放不共享05數據水印06數據加密07行為審計08態勢感知09應急處置04數據加固應用構建強化構建中的探索與實踐四個“統一”一、企業內部分類分級標準以及保護措施是否統一？*引用各行業分類分級模板時，對于同一類信息應采用同等級別劃分規則二、企業內部各業務調用加密或脫敏算法機制是否統一

4、？*金融、汽車、醫療、AI等行業對個人敏感信息尤為重視，隱私信息保護意識已滲入民生的方方面面。三、不同業務前端獲取同一敏感信息是否統一管理？*業務間對于采集同一敏感數據源不應背靠背各自管理，存儲越多，隱患越大。四、數據外發管控底線是否拉齊，數據防泄漏策略是否一致，審計標準是否統一？*商密數據外發管控底線應根據企業數據管理制度執行統一標準，分開管理極易造成交叉傳遞各自逃逸。（A部門重要數據，流轉至B部門被認定一般數據）強化構建中的探索與實踐服務端數據保護措施1.增加制度審批流程從服務器授權直接獲取導出/下載的數據，可根據重要程度，數量級，擴散范圍，傳輸方式，操作時間等綜合因素制定評估規則，加強多

5、級審批環節。2.數據流轉態勢感知數據接口被調用時，應驗證請求源是否安全。通過鑒權過濾無效訪問，防患超范圍或未授權竊取數據信息。如果有能力改造系統，應針對數據庫敏感字段增加標識，摸清數據流轉過程，以便應對更好的保護措施。確保系統服務上下游調用數據傳輸時記錄全量日志，通過soc平臺劇本，自動化審計排查是否存在惡意篡改或偽造數據行為的發生。強化構建中的探索與實踐服務端數據保護措施3.數據異地實時備份生產數據應建立實時異地或不同機房備份的機制。收益：數據備份可防止主數據被惡意篡改；防止數據庫應用因安全漏洞被勒索病毒強行鎖定；防止誤操作無法還原；防止數據遷移過程中發生不可逆風險。4.內網系統收斂企業內部

6、信息化系統遷移至內網訪問。例如企業內部OA系統、網頁郵箱、自建云盤服務等，可能含有大量的內部商密數據。強化構建中的探索與實踐服務端數據保護措施5.用戶行為風險分析（UEBA）*分享個人案例（1）拉取目標生產服務器日志中當天所有操作命令，整合后排序；（2）篩查高危操作命令，顏色區分；紅色為增刪改，黃色為調用工具，綠色為查看結果。重點關注紅區。（3）按照周期性統計高危命令操作頻次，設定閾值，并建立監測告警機制?；榈疆惓Ｐ袨楦婢瘯r，立即阻斷進程并強制下線當前操作賬號，直至數據處理者恢復系統或服務。強化構建中的探索與實踐客戶端數據保護措施1.辦公終端標準化辦公終端至少應安裝殺毒、DLP等安全防護軟件。訪問內網時應加強網絡準入認證以及域控認證。內部通訊軟件安裝時檢測本地域控信息，防止個人與辦公設備混用。2.數據防泄漏管控策略梳理企業內部敏感關鍵詞，通過防泄漏能力創建保密規則，阻斷或審計內部商密信息通過第三方IM、網盤、協議、介質拷貝（外發）等媒介向外傳輸泄密。內部IM軟件在移動端應集成前序提及的OA、郵箱、云盤等辦公模塊，且支持文檔在線協同不落地原則。05 總結總結與思考數據安全建設還有哪些可以閉環通過深度解讀國家三法一條例制定內部管理制度合規審計梳理自查風險加強數據全生命周期保護措施THANKS感謝您的觀看