226姜山-企業數據安全建設的思考（17頁）.pdf

1、姜山/安全負責人/某集團10年以上信息安全相關工作經驗（CISSP/CISA/CCSK/PMP），最初從事金融支付產品研發工作，后轉型在金融行業相關企業從事信息安全管理工作，在企業安全體系建設、安全合規和安全運營方面具有豐富的理論和實踐經驗。演講主題：企業數據安全建設的思考企業數據安全建設的思考 姜山經歷知識領域l 金融支付產品研發；l 金融數據處理安全管理；l 金融領域信息安全管理；l CISSP/CISA/CCSK/PMPl PCI DSSl ISO27001自我介紹WHYHOW&“2020年中國數字經濟規模達到39.2萬億元，占GDP比重達38.6%，保持9.7%的高位增長速度?！敝袊?/p>

2、聯網發展報告2021“數據作為一種新型生產要素，與土地、勞動力、資本、技術等傳統要素并列?！标P于構建更加完善的要素市場化配置體制機制的意見開放、共享、創造價值。網絡安全、信息安全與數據安全上游下游企業數字化網絡安全數據安全信息安全注：僅從某個角度來看，并不是純粹的包含關系；驅動力業務驅動合規驅動企業和個人的“新動能”數據安全模型合規要求業務需求組織建設制度策略技術控制基于風險持續運營數據生命周期組織架構人員培訓戰略與文化數據資產識別分類分級標準管理制度及流程訪問控制策略數據發現數據追溯數據網關數據脫敏身份管理數據容災數據加密數據清理職責分工數據安全框架數據，是指任何以電子或者其他方式對信息的記

3、錄。數據安全的對象不止是電子信息不止是個人信息不止是結構化數據打好基礎1243安全組織架構l 決策層l 管理層l 執行層安全技術架構l 基礎架構安全l 應用系統安全l 終端安全安全運營l 資產管理l 風險管理l 安全監控l 應急響應人員培訓建立信息安全和數據安全統一的管理機制l 安全意識l 合規要點l 數據治理不要盲目追求大而全分類分級全生命周期全流程先結構化數據關注關鍵環節從系統訪問控制入手明確顆粒度多層級分類收集共享特權賬號數據提取結合企業實際項目尋找切入點服務產品場景依賴“強”不要盲目買產品控制細節“多”業務模式“新”擁抱合規，但不過度依賴中華人民共和國民典法中華人民共和國國家安全法中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國個人信息保護法中華人民共和國密碼法電子商務法網絡安全審查辦法 .信息安全技術 網絡安全等級保護基本要求信息安全技術 數據安全能力成熟度模型信息安全技術 個人信息安全規范金融數據安全 金融數據分級指南金融數據安全 數據生命周期安全規范金融行業網絡安全等級保護實施指引個人金融信息保護技術規范證券期貨業數據安全標準規劃期貨公司信息技術管理指引 .以通用法律法規為基礎，參考行業標準，形成合規清單。挑戰&機遇結語