数据安全治理(简称:dsg)是以“让数据使用更安全”为目的的安全体系构建的方法论,核心内容包括:
(1)满足数据安全保护(protection)、合规性(compliance)、敏感数据管理(sensitive)三个需求目标;
(2)核心理念包括:分级分类(classfiying)、角色授权(privilege)、场景化安全(scene);
(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;
(4)核心实现框架为数据安全人员组织(person)、数据安全使用的策略和流程(policy & process)、数据安全技术支撑(technology)三大部分。
数据安全成熟度模型(简称:dsmm)是另一个数据安全建设中的系统化框架,是围绕数据的生命周期、结合大数据业务的需求以及监管法规的要求,持续不断的提升组织整体的k8凯发棋牌能力,以数据为核心的安全框架。
dsmm核心框架图
主要包含以下三个维度:
1) 数据生命周期安全:围绕数据生命周期,提炼出大数据环境下,以数据为中心,针对数据生命周期各阶段建立的相关k8凯发棋牌过程域体系。
2) 安全能力维度:明确组织机构在各k8凯发棋牌领域所需要具备的能力维度,明确为制度流程、人员能力、组织建设和技术工具四个关键能力的维度。
3) 能力成熟度等级:基于统一的分级标准,细化组织机构在各k8凯发棋牌过程域的5个级别的能力成熟度分级要求。
dsmm模型与dsg理论之间既有相同,又有区别;两个安全体系都强调以数据为中心建立系统化的k8凯发棋牌体系,在数据安全的建设上,都不是强调唯技术论,都强调组织建设、制度流程和技术工具的综合作用。
1) dsg是以数据的分级分类为核心,进行安全策略的设定;dsmm是以数据的生命周期为核心,寻求安全策略的覆盖;
2) dsg体系化建议了数据使用或服务的人员的角色,根据角色对数据使用的主要场景,提供建议的安全措施,以及所要使用的安全工具;而dsmm更多的是提供一种评估方法,看数据使用的过程中,企业是否定义了明确的控制措施,并无具体化的方法推荐;
3) dsg并不那么强调数据的生命周期,dsg反对在数据的生命周期中不区分化的安全措施,dsg强调针对数据使用场景,满足数据使用需求后的针对性安全措施;比如在开发测试环境,需要采用脱敏的技术获得高仿真数据,在这种场景下不强调审计、管控和加密等措施;
4) 在dsg体系中,将安全体系的构建,明确归纳为安全政策的制定,技术支撑平台的建设,安全政策执行有效性的监督,安全政策的改善这一持续循环过程;而dsmm对安全成熟度进行了等级化分级,将持续改善定义为了最高级别;在dsg的理念中,无论在完成了多少的安全建设,持续改善都是一个标准动作。
5) 从本质上讲,dsg更像一种方法论,帮助企业如何迅速构建一套行之有效的k8凯发棋牌体系;而dsmm更像一种评估方法,像一个考试,让企业或监管机构来评价企业当前的安全建设状态。
试用申请