新知一下
海量新知
6 2 9 8 6 5 8

【内附福利】讲师互动来袭:从《数据安全法》到数据安全治理

安华金和 | 让数据使用更安全 2022/04/29 11:22

数据分类分级应该怎么做?

数据安全相关的法规标准

有哪些可以参考……

4月26日,安全牛课堂邀请 安华金和

高级技术专家谭峻楠老师

以《从数据安全法到数据安全治理》

为主题进行直播分享。

有所呼,必有应!

公开课热度不减,干货满满。

你想知道的都在这里↓

(点击文末有福利)


新知达人, 【内附福利】讲师互动来袭:从《数据安全法》到数据安全治理


<学员问答精彩回顾>
Q&A REVIEW

:

等级保护和《数据安全法》是什么关系?


谭老师  :

《数据安全法》第二十七条:利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行数据安全保护义务。

也就是说,《数据安全法》要求利用互联网开展数据处理活动的时候,要在网络安全等级保护制度的基础上履行数据安全保护义务。

网络安全等级保护对数据安全保护提出了一些具体技术要求,可以另外再安排一次“等保数据安全技术要求和测评要求解读”课程。


学员 :
数据安全风险评估有相关认证或标准可以参考么 ?


谭老师 :

参考标准:GB/T 20984-2007《信息安全技术 信息安全风险评估规范》,GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》,JR/T 0171-2020《个人金融信息保护技术规范》,《电信网和互联网数据安全风险评估实施方法》等。

此外,《信息安全技术 数据安全风险评估方法》正在立项中。



学员 :
数据分级分类具体应该怎么做,有指南吗?


谭老师 :

在铁库奇侠百家号里有一篇文章“数据分类分级怎么做?”,较明确的说明了分类分级目的、原因、原则等说明,您可以做初步参考。我们即将发布《数据安全治理白皮书4.0》,里面也有详细说明,您也可以再多了解一下。



学员 :
给数据打标是什么概念 ?


谭老师 :

是指通过工具整理出数据资产清单、数据字典,形成知识库,对标金融、运营商、医疗行业标准,对数据按级别打标签。


学员 :
请问两条路径是指什么 ?


谭老师 :

一个路径应该是从管理制度、安全策略、操作规范到技术防护;另一个路径应该是从人员与职责、执行与落实、安全事件处理到基线评估与考核。依托数据安华金和数据安全运营管控平台实现数据分类分级的闭环管理。



学员 :
老师,第十九条:国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。目前有没有出台相关的制度和规范呢?


谭老师 :

数据交易规范和制度,这个谷安网校可以另外开一次公开课做探讨,请专业的老师整理和讲解一下。


学员 :
请问老师,咱们在做数据安全评估时用的是20984信息安全风险评估规范?国标行标数据安全评估规范好像都还没正式发布?


谭老师 :

参考标准:GB/T 20984-2007《信息安全技术 信息安全风险评估规范》,GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》,JR/T 0171-2020《个人金融信息保护技术规范》,《电信网和互联网数据安全风险评估实施方法》等。

此外,《信息安全技术 数据安全风险评估方法》正在立项中。



学员 :
数据安全治理管理制度有没有目录可以参考 ?


谭老师 :

在政数局的实践经验来看,预计形成一级《制度》,二级《指引》,三级《细则》,四级《操作规范》,要根据政企单位的实际情况和领导意见形成具体制度。

目前安华金和的安全咨询部门有数据安全服务经验,可以询问他们,或者谷安网校可以另外开一次公开课做探讨。



学员 :
DS MM和DCMM哪个更有学习的前途?DSG覆盖DSMM,但只是DCMM的1/8?


谭老师 :

DCSM(Data-centric Security Model),以数据为中心的安全性(DCS)是由IBM最早提出的,DCS可以看做是数据安全理论的核心思想和理念。

DSMM(数据安全成熟度模型),DSMM既是DCS的策略指导也是DCS的目标分解。

那么有了策略和目标,如何做呢?

在DSG体系中,将数据安全体系的构建,明确归纳为安全政策的制定,技术支撑平台的建设,安全政策执行有效性的监督,安全政策的改善这一持续循环过程。

这里我们把它分成五个阶段来执行:梳理评估阶段、分类分级、制度建设、技术管控、策略优化。目标是帮助企业构建一套行之有效的数据安全治理体系。

所以说作为政企单位客户学DSG更好,做理论研究可以学DCSM。这个谷安网校可以另外开一次公开课做探讨,请专业的老师整理和讲解一下。


学员 :
给数据打的标签是做什么用,怎么用的?标签的操作是不是针对某种数据安全产品/方案打的标签?另外,必须是按某特定的数据安全产品达标才行吧?请问这种打标签的操作是不是针对某种数据安全产品/方案打的标签,例如使用某厂商的DLP产品,按某厂商的产品要求打的特定的标签?或者标签是通用的,各家产品都能用?我不懂数据库,请教大家一个数据库打标的问题。数据打标后,用户下载数据,便签会和数据一起下载吗?



谭老师 :

给敏感字段打标,是标明这个字段的文字备注、分类、分级的情况,这样在后续做大数据分析、数据安全管控的时候,有参考依据。

打标不会标在客户的数据库字段上,是在厂家的分类分级系统里,可以通过统一数据接口或数据格式实现不同厂家的数据交换。

比如: 用安华金和的数据安全风险评估系统做好字段打标,然后生成XML文件给其他大数据厂商导入做分析使用,或者用安华金和的数据安全运营管控平台实现数据安全管控。



学员 :
请问老师,数据权限管理这块具体有哪些内容呢?


谭老师 :

您提的是在《北京政府投资信息化项目数据资源管理办法(试行)》的第二十六条:市经济信息化委市经济信息化委要建立市级大数据管理平台统一身份认证、权限管理、数据加密等技术防护体系,增强其风险防范能力。

这里的数据权限管理我认为是要梳理哪些数据库账户对各类敏感数据的使用权限,这也是动态的,可以通过 安华金和的数据安全风险评估系统定期扫描,出权限管理报告。



学员 :
数据安全分类分级有国家标准吗?


谭老师 :

分类分级参考标准有:

《DB 52/T 1123-2016 政务数据 数据分类分级指南》

《DB 3301/T 0322-2020 数据资源管理 政务数据分类分级》 《信息安全技术 政务信息共享 信息资源安全分级指南》(草案)

《JR/T 0158-2018 证券期货业数据分类分级指引》

《GB/T 38667-2020 信息技术 大数据 数据分类指南》

《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》 《YDT 3813-2020 基础电信企业数据分类分级方法》

《YDT 3867-2021 基础电信企业重要数据识别指南》

《JR/T 0197-2020 金融数据安全 数据安全分级指南》

此外,国标《信息安全技术 重要数据识别指南》(征求意见稿)已发布,可以作为参考。


<福利发放>
WELFARE DISTRIBUTION

下提供直播课程完整视频回放及课程资料下载

https://www.aqniukt.com/goods/show/2632?targetId=17177&preview=0

新知达人, 【内附福利】讲师互动来袭:从《数据安全法》到数据安全治理
新知达人, 【内附福利】讲师互动来袭:从《数据安全法》到数据安全治理
关于安华金和


北京安华金和科技有限公司专注数据安全领域13年,是中国专业的数据安全产品与解决方案提供商, 中国“数据安全治理”理念、体系的提出者和践行者

公司面向数据中心,提供覆盖数据安全合规、数据安全保护、数据安全管理、数据安全共享四大领域的数据安全整体解决方案,产品、平台和服务覆盖数据全生命周期,具备金融和运营商核心生产系统数据安全在线防护能力。同时,安华金和在公有云和私有云数据安全领域技术深耕、实践广泛,与国内领先云服务商建立了战略合作伙伴关系。



新知达人, 【内附福利】讲师互动来袭:从《数据安全法》到数据安全治理



关注 安华金和公众号】

第一时间了解更多精彩内容

新知精选

更多新知精选