2019年數據安全治理與認證.pdf

《2019年數據安全治理與認證.pdf》由會員分享，可在線閱讀，更多相關《2019年數據安全治理與認證.pdf（28頁珍藏版）》請在三個皮匠報告上搜索。

1、2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會數據安全治理與認證2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會議題 數據治理態勢與驅動力 數據安全治理的框架與模型-數據治理國際標準ISO38505-1的運用數據治理與數據中臺 數據安全治理案例展示 數據治理認證介紹2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會數據治理態勢與驅動力22/07/2019Copyright 2017 BSI.All rights reserved32019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會對數據的控制是數字時代全球治理的重要話題也成了

2、新的地緣主義工具工業時代工業時代物流關稅，海關，貿易策略資金流-幣種，匯率人流-護照，大使館，海關數字時代數字時代數據的流動-出境管理，隱私保護，關鍵基礎設施信息保護知識產權出口控制日本 Adequacy decision（充分性）無縫跨地區數據傳輸2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會基于信任的數據數據自由流通和以人為本的人工智能 個人權益的保護（人權）非個人數據的流通（重要數據跨境）全球數據治理成為全球數據治理成為G20大阪峰會的中心大阪峰會的中心議題議題安倍表示，“我希望G20大阪峰會因啟動全球數據治理而被人們長久銘記?！?019中中 國國 數數 據據 智智

3、能能 管管 理理 峰峰 會會2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會數據安全治理的框架與模型22/07/2019Copyright 2017 BSI.All rights reserved72019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會22/07/2019Copyright 2017 BSI.All rights reserved8治理相關標準和概念 治理與管理治理活動管理活動業務活動治理治理管理管理定義與含義管理的管理責任機構治理層，如董事會管理層，如CEO主要活動EDM 評估指導監督PDCA策劃執行檢查改進輸出物戰略，原則，方針方針、標準、流程

4、、程序操作指導責任價值與風險績效達成與操作風險控制2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會22/07/2019Copyright 2017 BSI.All rights reserved9基于ISO 38505-1概念下的大數據治理框架-數據安全治理框架協同應用基于信任的流通基于信任的流通以人為以人為本的人工智能本的人工智能2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會E 評估評估D決策決策M 監督監督C溝通溝通A 審計審計Governance治理層GE安全始于設計，業務考慮安全變革的安全DE 風險偏好容忍度安全策略安全的投資GM 安全計劃實施有效

5、性內外部期望達成變革安全監督GC安全的溝通外部及監管機構GA安全審計Management管理層ME發起安全項目支持業務目標MD安全目標風險與隱私影響評估數據分級分類指南數據生命周期管理數據安全架構管理數據共享分包管理MM設計一套監控指標觸發警示MC提請GB注意事項事件響應與內外部溝通采集與使用的透明告知內部意識文化的建立MA支持審計Technical 技術層TE戰略及項目管理工具TD風險管理工具識別打標敏感數據工具生命周期階段管理工具架構設計工具數據共享平臺API身份認證工具數據中臺數據中臺 TM檢查工具威脅模型與告警事件監控工具Dashboard日志分析工具.TC溝通渠道工具TA審計工具Pe

6、ople 人員PE安全意識法規PD風險管理投資決策PM監督及證據留存PC溝通能力應急事件PA審計及保留證據22/07/2019Copyright 2017 BSI.All rights reserved10基于國際標準的數據安全治理模型和流程ISO 38505-1的應用2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會數據治理22/07/2019Copyright 2017 BSI.All rights reserved112019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會摘自大數據治理與服務Data API 數據服務后臺基礎穩定前臺快速響應數據治理是數據中臺的

7、基礎2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會數據治理認證22/07/2019Copyright 2017 BSI.All rights reserved132019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會認證認證-標準指導標準指導 統一度量統一度量橫向可比橫向可比22/07/2019Copyright 2017 BSI.All rights reserved14金融金融合規驅動用戶挖據征信風控制造制造產品數據設備數據用戶數據互聯網互聯網用戶畫像技術第一成本生命線非一次性項目，是持久運營工作，通過認證年審督促數據治理的持續符合非一次性項目，是持久運營工

8、作，通過認證年審督促數據治理的持續符合2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會認證認證-傳遞信任，遵從展示傳遞信任，遵從展示22/07/2019Copyright 2017 BSI.All rights reserved15數據安全體檢證體檢證數據質量信用證信用證數據共享通行證通行證數據合法利用不濫用自由流通不隨意流通垃圾進垃圾出安全始于設計向主管與監管機構提供數據治理實施的符合性記錄向主管與監管機構提供數據治理實施的符合性記錄2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會認證認證-國際通行證書，品牌價值提升國際通行證書，品牌價值提升22/07/2

9、019Copyright 2017 BSI.All rights reserved16截至 2016年底的ISO調查顯示全球對認證的需求上升強勁相比2015年ISO27001增長了20.9%，業務連續增長了23%信息安全：BSI占有世界范圍內IS的市場業務連續性：BSI占有世界范圍內ISO的.市場IT服務管理：BSI占有世界范圍內ISO的.市場云安全領域BSI最早與CSA（云安全聯盟）合作，將其經驗轉換為認證標準，國內的阿里、百度、騰訊、華為、國外的微軟Azure、office 365,Apple、Cisco、花旗、匯豐等都選擇BSI認證服務。2019中中 國國 數數 據據 智智 能能 管管

10、理理 峰峰 會會數據治理認證做什么22/07/2019Copyright 2017 BSI.All rights reserved172019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會22/07/201918數據治理系列認證與服務數據治理系列認證與服務風險風險數據治理數據治理ISO38505-1信息安全ISO27001GDPRBS10012健康數據安全HIPAA約束約束個人信息安全ISO2910027018/29151云安全ISO27017支付卡數據安全PCI DSS中國網絡安全法價值價值GB/T34960.5流通、服務、洞察標準、質量、元數據生命周期、數據安全審核準則與依據：

11、紅色部分為必選，其他為組織實際業務情況可選ISO20000/8000服務/數據質量管理2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會 數據治理認證為了證實企業數據治理組織已經建立，組織戰略覆蓋了數據戰略，組織考慮了數據的價值、風險與合規的要求。數據治理認證像其他體系認證一樣需要確認認證的范圍，從業務、組織、地點等維度確認認證證書的范圍 組織可以有質量管理、GBT34960.5附錄提及的其他管理機制落地實施不同的治理域，但是數據安全方面，數據治理認證必須基于ISO27001證書基礎上實施，即需要依靠一套管理的機制來落地管理層的流程與實施監督改進，確保數據風險按照組織策略得以控

12、制。22/07/2019Copyright 2017 BSI.All rights reserved192019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會22/07/2019Copyright 2017 BSI.All rights reserved202019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會EDMPDCA數據治理審核要點數據治理機構、職責，數據戰略，數據管理與服務流程，數據價值績效，數據治理環境與人員技能數據治理域的審核可選數據標準，數據架構，元數據管理，數據質量，數據安全，數據共享，數據服務，數據洞察等2019中中 國國 數數 據據 智智 能能 管

13、管 理理 峰峰 會會其他管理模塊的介紹（根據組織業務實際，疊加為組織的實施和認證依據）ISO27017:云安全管理ISO29100：個人信息保護原則ISO2718：公有云個人信息保護，微軟云，百度騰訊等已獲得此證書BS 10012：世界上唯一一個與GDPR一致的標準，SAP已獲得此認證GDPR:歐盟個人數據保護法案，BSI提供培訓，實施與評估驗證服務PCI DSS：支付卡數據安全標準，BSI提供培訓與評估服務，華為、花旗等通過此評估HIPAA：美國個人健康數據保護法案，Accenture等在27001基礎上通過此評估22/07/2019Copyright 2017 BSI.All rights

14、 reserved222019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會如何做數據治理認證22/07/2019Copyright 2017 BSI.All rights reserved232019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會22/07/2019Copyright 2017 BSI.All rights reserved24組織申請組織根據實施情況，確定認證范圍包括業務（產品或服務）、組織、地點、人數填寫申請表向BSI提出認證申請初次認證BSI評估組織準備情況接受申請實施第一階段文件評審，查看相關策略文件是否覆蓋標準要求實施第二階段評審 查看執行記

15、錄與現場操作，確定是否滿足認證標準與依據若沒有嚴重不符合項目，經過BSI內部報告評審流程，準予發放ISO38505-1 數據治理證書年度監督評審三年重審組織獲得證書后，須有一套管理流程確保戰略的落地，確保治理層的監督執行，確保發現問題的改正，確保風險與價值的持續該進，每年BSI會進行外部審核，三年全年重新審核，滿足要求換發新的證書組織可以變更證書范圍，比如擴充產品線，管理域等2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會ISO 38505-1 介紹22/07/2019Copyright 2017 BSI.All rights reserved252019中中 國國 數數 據

16、據 智智 能能 管管 理理 峰峰 會會How：ISO38505-1 面向董事會的大數據治理工具26ISO38505-1 標準通過模型模型和原則原則定義了 3大任務6項原則18個子任務治理主體評估指導監督運營合規價值實現風險可控數據管理體系戰略和方針方案和規劃績效和符合性數據價值實現將成為公司治理的評估維度環境促成要素文化人員技術2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會大數據環境下，數據資產概念得到確認，如何使用和運作該項資產，成為大數據治理區別與傳統將數據僅作為控制對象看的管理域。治理相關標準和概念治理相關標準和概念大數據時代的數據治理大數據時代的數據治理治理主體評估指導監督運營合規價值實現風險可控數據管理體系PDCA戰略和方針方案和規劃績效和符合性數據價值實現環境促成要素文化人員技術2019中中 國國 數數 據據 智智 能能 管管 理理 峰峰 會會THANK YOU!