一定要说的数据安全二三事-数据安全运营服务篇
发布时间 2020-03-02前言
在数据安全系列文章的开篇,小编对重视数据安全的必要性进行了介绍,同时也阐述了实际中如何保障数据安全的一个整体思路——即通过数据安全运营服务、数据安全支撑产品、以及数据安全管控平台这三个方面入手,从而为数据安全护航。本篇,小编主要介绍的是关于数据安全运营服务的内容。
数据安全运营服务详述
所谓数据安全运营服务,就是利用安全服务人员的专业技能,从数据安全摸底、数据安全策略的制定及升级、数据安全风险管理以及数据安全优化等方面对数据安全提供全方位安全服务。
下图是我们在安全服务的过程中需要的安全服务团队以及具体的服务内容。
总体而言,数据安全服务的核心即为两个方面——团队+服务。
★团队
数据安全咨询师
Ⅰ 提供专业的合规性数据安全规范管理制度;
Ⅱ 提供合理的数据使用场景安全管理体系;
Ⅲ 提供准确的数据管理策略;
Ⅳ 提供完整的数据安全运营体系知识转移;
数据安全分析师
Ⅰ 及时发现已知或未知的数据安全威胁事件并给出相关合理建议;
Ⅱ 跟踪、处置事件处理过程;
Ⅲ 数据安全威胁场景定制和优化;
Ⅳ 评估企事业单位中存在的数据安全风险;
Ⅴ 协助制定数据安全风险处置规范;
业务数据安全师
Ⅰ 梳理应用业务中存在的敏感数据;
Ⅱ 协助制定敏感数据分级分类标准以及针对敏感数据进行分级分类;
Ⅲ 协助制定动、静态敏感数据管控策略;
数据治理工程师
Ⅰ 对于数据安全管控平台输入数据的接入和规划;
Ⅱ 数据库数据内容细粒度梳理;
Ⅲ 管理安全数据质量,不断优化数据可用性;
Ⅳ 维护数据清单,管理各类数据的用途;
★服务
数据安全梳理服务
➤ 资产识别一一理清用户资产信息,用于刻画数据地图;
➤ 敏感数据梳理——识别出哪些为敏感数据;
➤数据资产风险评估——根据业务逻辑识别数据泄露薄弱项;
➤ 数据安全规范对标分析一一与现有的业务及安全规范合规性对标,发现安全规范的不适用及缺失项;
➤ 敏感数据分级分类一一将敏感数据按照其所影响级别以及其业务内容进行合理性分级分类;
➤ 数据权限梳理一一确认最小应用权限;
数据安全策略制定和升级
➤ 数据安全体系建设——根据现有数据安全管理规范及实践内容进行对标分析,形成一套适用、有效的数据安全管理体系;
➤ 数据安全管控策略梳理——根据现有数据安全管控措施进行策略梳理,结合数据安全管理体系内容对管控策略优化升级,并联动相关设备,实现策略下发;
数据安全风险管理服务
➤ 数据安全风险评估服务;
➤ 数据安全应用业务安全分析;
➤ 数据安全事件分析;
➤ 数据安全监测与告警服务;
➤ 数据安全响应及处置服务;
数据安全治理服务
➤数据治理服务——结合摸底服务、数据安全策略以及数据安全风险服务过程中的服务成果,对数据资产管理行使权力和控制。主要包括对数据质量问题、数据命名和定义冲突、数据安全问题等进行整治,进而在此过程中达成数据安全优化目的。
总结
以上,是我们针对数据安全提供的数据安全运营服务。当然,只有人没有产品的话如同士兵缺少了重要兵器,所以我们在进行数据安全项目落地时,会结合相关的产品让服务成果更加丰富和清晰。在下一章节,我将会详细讲解我们在数据安全运营的过程中具体使用了哪些安全产品以及它们分别发挥了怎样的作用。