定义:
定义、规划、开发、执行安全策略和规程,以提供对数据和信息资产的适当验证、授权、访问、审计。
目标:
-
启用对企业数据资产的适当访问,并防止不适当的访问
-
理解并遵守所有有关隐私、保护和保密的法规和政策
-
确保所有利益相关方的隐私与保密需求得到执行和审计
业务驱动:
-
降低风险
-
识别敏感数据资产并分类分级
-
在企业中查找敏感数据
-
确保保护每项资产的方法
-
识别信息与业务流程如何交互
-
-
业务增长
-
安全性作为资产
原则:
-
协同合作
-
企业统筹
-
主动管理
-
明确责任
-
元数据驱动
-
减少接触降低风险
输入:
业务目标和战略
业务规则和流程
监管要求
企业架构标准
企业数据模型
活动:
-
识别相关的数据安全需求
-
定义数据安全策略
-
定义数据安全标准
-
评估当前安全风险
-
实施控制和规程
成果:
数据安全架构
数据安全策略
数据隐私和保密标准
数据安全访问控制
法规遵从的数据访问视图
安全分级记录
身份认证和用户访问历史记录
数据安全审计报告
技术:
CRUD矩阵应用
及时安全补丁部署
元数据中数据安全属性
项目需求中的安全需求
加密数据的搜索
文件清理
工具:
杀毒软件
https
身份管理技术
入侵检测和入侵防御软件
元数据跟踪
数据脱敏与加密
指标:
-
安全实施指标
-
安全意识指标
-
数据保护指标
-
安全事件指标
-
机密数据扩散
