跳出单独的法律行规的层面,基于GRC、CG的角度 简单快速梳理了一下数据安全与隐私保护治理的内容(which I hate)。后续会梳理产品安全架构 以及技术架构、管理规范、PET(太难了我可能不会去学)
数据安全与隐私保护治理 数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等,目的是让企业在市场中保持竞争优势、法律合规以及数据安全 战略 security project management-
过程:项目规划、项目实施、效果检测、覆盖评估
-
内容
-
安全防御基础设施
- DDoS、HIDS、WAF
-
安全运维基础设施
- 跳板机、自动化运维平台、数据传输系统
-
安全支撑系统
- SSO、权限管理、密钥管理、日志管理
-
流程与工具
- 发布审核、端口扫描、漏洞扫描
-
数据安全管理平台
- 展现数据安全风险现状与改进趋势(Dashboard)
-
-
过程:
-
建立政策风险评估
-
融入流程风险改进
-
SDL
- 安全需求
- 安全自检
- 方案评审
- 代码审计
- 安全扫描、测试
- 安全运行
-
-
外部认证度量风险
- 5A(在后续产品安全架构中说明)
-
政策改进风险总结
- 5A
-
-
过程:运营指标、监督改进、报告/度量、绩效考核
-
组织
-
高层
- 定指标
-
管理者
- 数据OWNER
-
跨部门
- 协作
-
员工
- 支持
-
后续需要基于数据安全生命周期以及安全架构梳理数据安全产品需求来源以及设计思路
