[collect]数据安全能力成熟度模型

=Start=

缘由:

学习、提高需要

正文:

参考解答:

信息早期的“数据安全”多指“数据库安全”,主要是针对存储状态的静态数据在数据库层面开展的安全保护,侧重于对数据库中的数据进行访问控制加密存储,该阶段的数据安全多为对关系型数据库中存储的结构化数据的安全管理。伴随着云计算和大数据技术的发展和普及,组织也开始关注对半结构化数据和非结构化数据的价值挖掘,数据逐渐成为组织机构的重要资产,在业务发展、企业运营等关键环节中产生着更多的价值。

然而,在云计算和大数据环境以及多样化的工作方式、BYOD等新型模式的冲击下,组织的电子化数据不再仅仅存储于单一的信息系统和工作环境中,数据会经由组织及组织相关的业务流程及应用,在各业务系统、云平台、工作终端、员工的个人终端等不同的系统环境中进行流转和处理。同时,数据作为组织的重要资产面临着内外部的双重风险–外部日益复杂的攻击形式(甚至是国与国之间的安全对抗)以及恶意或误操作引发的内部风险,对组织的数据安全能力提出了更高的要求。

一方面,传统“边界安全防护”的思想所指导的安全工作聚焦于对承载数据的资产对象(如网络、系统)的独立安全控制,重点关注资产对象之间的边界安全,而大数据环境下数据在各安全边界之间的流转则是在打破原有的安全边界,边界安全防护的思想无法实现对数据的有效保护。另一方面,伴随着大数据产业的发展,对数据的安全保护面临着诸多合法合规要求,与国家安全、经济利益和个人隐私保护等利益相关的数据往往都需要符合数据的留存地点、留存时长等要求,数据的价值特性决定了大数据环境下安全工作的开展需要考虑对合法合规要求的符合

组织需要围绕数据的生命周期、结合大数据业务的需求以及监管法规的要求,持续不断的提升组织整体的数据安全能力,以数据为核心的安全是大数据环境下的组织数据安全工作开展的核心。

数据安全成熟度模型介绍

整体介绍数据安全成熟度模型(Data Security Maturity Model, DSMM)的架构如图1所示,模型包含以下三个维度:

  • 数据生命周期维度:组织在数据生命周期各阶段开展的数据安全实践构成了数据安全的过程域。
  • 数据安全能力维度:组织完成数据安全过程域所需要具备的能力。
  • 能力成熟度等级维度:对组织的数据安全能力进行成熟度等级评估的标准。

图1 数据安全成熟度模型架构

通过对模型的应用可以帮助组织机构了解其整体的数据安全风险,有针对性制定解决方案;建立组织内部整体的数据安全管理体系;明确自身的数据安全管理水平并确定后期建设的方向。

数据生命周期

数据生命周期基于大数据环境下数据在组织业务中的流转情况,定义了数据的六个生命周期阶段,各阶段的定义如下:

  • 数据产生:指新的数据产生或现有数据内容发生显著改变或更新的阶段;
  • 数据存储:指非动态数据以任何数字格式进行物理存储的阶段;
  • 数据使用:指组织在内部针对动态数据进行的一系列活动的组合;
  • 数据传输:指数据在组织内部从一个实体通过网络流动到另一个实体的过程;
  • 数据共享:指数据经由组织与外部组织及个人产生交互的阶段;
  • 数据销毁:指利用物理或者技术手段使数据永久或临时性的不可用的过程。
数据安全能力

通过对各项安全过程所需具备安全能力的量化,可供组织评估每项安全过程的实现能力。数据安全能力从组织建设、人员能力、制度流程及技术工具四个维度展开:

  • 组织建设:数据安全组织的架构建立、职责分配和沟通协作。
  • 人员能力:执行数据安全工作的人员的意识及专业能力。
  • 制度流程:组织关键数据安全领域的制度规范和流程落地建设。
  • 技术工具:通过技术手段和产品工具固化安全要求或自动化实现安全工作。
能力成熟度等级

能力成熟度等级维度组织的数据安全成熟度模型具有5个成熟度等级,如下表所述:

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3662.html

《[collect]数据安全能力成熟度模型》上有17条评论

  1. 大数据安全保护思考
    http://www.freebuf.com/articles/database/160564.html

    随着大数据时代的来临,企业数据开始激增,各种数据在云端、移动设备、关系型数据库、大数据库平台、pc端、采集器端等多个位置分散。对数据安全来说,挑战也更大了。在大型互联网企业里,传统方法已经很难绘制出一张敏感数据流转图了。因此在新的形势下,一是在工具层面要有新的手段支撑,包括完整的敏感数据视图、高风险场景识别、数据违规/滥用预警、数据安全事件的发现检测和阻止等。二是目前企业也存在着合规的问题了,以往合规对于互联网来说没那么重要,但随着网安法的出台,数据安全也摆上了日程。另外对于跨境企业来说,还面临着海外的数据安全法规。

    对数据安全的综合治理,核心思路其实就是一个:数据流动地图,抓住这条主线,也就是以数据为核心的安全保护。大数据时代,基于边界的方法已经过时了,你无法阻挡数据的流动。而在新的时代,还有很多未能解决的难题,换句话说,作为一个安全人员,你是在挖洞的如云高手中杀出一条血路,还是在这个需要探索的领域做先头兵?

  2. 大数据安全第3期 | 国内外大数据安全与个人隐私安全标准
    https://mp.weixin.qq.com/s/-f5hym2xdoE_QgwOEYV2DQ

    目前,国内外有多个标准化组织正在开展大数据和大数据安全相关标准化工作,国际上主要有国际标准化组织/国际电工委员会下的ISO/IEC JTC1 WG9(大数据工作组)ISO/IEC JTC1 SC27(信息安全技术分委员会)、国际电信联盟电信标准化部门(ITU-T)、美国国家标准与技术研究院(NIST)等;国内正在开展大数据和大数据安全相关标准化工作的标准化组织,主要有全国信息技术标准化委员会(以下简称“全国信标委”,委员会编号为TC28)和全国信安标委(TC260)以及国家网络安全各个行业主管部门的监管和技术等行业标准。

    本篇文章先分享一下目前已经发布和正在准备发布的相关标准列表,之后会和大家就内容进行标准研究和分析。

  3. 以“威胁应对”为中心,看企业信息安全能力建设
    https://www.sec-un.org/%E4%BB%A5%E5%A8%81%E8%83%81%E5%BA%94%E5%AF%B9%E4%B8%BA%E4%B8%AD%E5%BF%83%E7%9C%8B%E4%BC%81%E4%B8%9A%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E8%83%BD%E5%8A%9B%E5%BB%BA%E8%AE%BE-%E6%9D%8E/

    笔者将以威胁为中心的信息安全能力建设问题总结为以下四句话,并进行详细阐述:
    1. 全面感知是基础
    2. 异常行为是线索
    3. 分析能力是关键
    4. 响应处置是根本

  4. 互联网公司数据安全保护新探索
    https://mp.weixin.qq.com/s/56JwbVbWgHCqUAJARQ43mA

    在互联网公司的数据安全领域,无论是传统理论提出的数据安全生命周期,还是安全厂商提供的解决方案,都面临着落地困难的问题。其核心点在于对海量数据、复杂应用环境下的可操作性不佳。

    一、应用系统
    1.1 扫号及爬虫
    1.2 水印
    1.3 数据蜜罐
    1.4 大数据行为审计
    1.5 数据脱敏

    二、数据仓库
    2.1 数据脱敏
    2.2 隐私保护
    2.3 大数据资产地图
    2.4 数据库扫描器

  5. 互联网企业:如何建设数据安全体系?
    https://mp.weixin.qq.com/s/y89__2zjZavVo3Zq_E3GrA
    https://tech.meituan.com/Data_Security_System_Construction.html

    一、背景
    Facebook数据泄露事件

    二、概念
    这里特别强调一下,“隐私保护”和“数据安全”是两个完全不同的概念。
    隐私保护:对于安全专业人员来说是一个更加偏向合规的事情,主要是指数据过度收集和数据滥用方面对法律法规的遵从性。
    数据安全:是实现隐私保护的最重要手段之一。

    三、全生命周期建设

    数据采集
      全站HTTPS
      Keyless CDN
      跨IDC自动加密
      反爬
      帐号安全
      UUID

    前台业务处理
      全程ticket鉴权
      用户token&服务token
      SSO
      可信计算
      服务化(访问DB必须通过API)
      RPC鉴权
      RPC加密
      SQL审计

    数据存储
      密钥HSM化
      统一KMS
      结构化(静态数据加密)
      per-file加密
      文件系统加密

    访问和维护
      运维堡垒机
      debug脱敏
      监控日志脱敏
      RD/运维分离
      生产转测试脱敏

    后台数据分析
      ETL加密
      数仓加密
      审计大盘
      匿名化算法

    展示和使用
      水印
      DLP
      beyondCorp模型
      展示脱敏
      数仓堡垒机

    共享和再分发
      隐私声明
      授权审核
      脱敏
      防止下游缓存
      安全SDK

    数据销毁
      安全删除

发表评论

电子邮件地址不会被公开。 必填项已用*标注