1、北京安华金和科技有限公司 01 数据安全治理体系最佳实践02行业客户成功案例介绍数据安全法总体架构数据安全法总体架构第一章 总则第二章 数据安全与发展(安全与发展并重)实施大数据战略加强数据开发和数据安全技术研究数据安全标准体系建设促进数据安全检测评估、认证服务健全数据交易管理制度第三章 数据安全制度(保护重要数据)第四章 数据安全保护义务数据分类分级保护制度(重要数据保护目录)风险评估风险报告信息共享监测预警数据安全应急处置机制数据安全审查制度数据出口管制针对歧视性禁止、限制的对等措施数据安全管理制度数据安全治理数据安全教育培训数据安全技术措施数据安全管理机构数据安全风险监测数据安全风险评估
2、(种类数量风险)合法、正当收集数据数据安全风险处置数据处理和服务数据来源审核、记录数据处理服务许可依法数据调取数据出境跨境存储第五章 政务数据安全与开放第六章 法律责任第七章 附则依照法律、行政法规收集、使用数据健全数据安全管理制度,落实保护责任监督受托方履行数据安全保护义务政务数据开放目录和开放平台数据安全法重要条款解读总结数据安全法重要条款解读总结条款主体内容三.第二十一条国家机关1、建立数据分类分级保护制度2、统筹协调有关部门制定重要数据目录地区、部门、行业确定本地区、本部门以及相关行业、领域的重要数据具体目录三.第二十二条国家机关1、建立数据安全风险评估、报告、信息共享、监测预警机制2
3、、统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作三.第二十三条国家机关建立数据安全应急处置机制主管部门依法启动应急预案,采取相应的应急处置措施,发布与公众有关的警示信息三.第二十四条国家机关1、建立数据安全审查制度2、进行国家安全审查三.第二十五条国家机关依法实施出口管制三.第二十六条国家机关对歧视性禁止、限制的对等反制措施四.第二十七条数据处理者1、建立健全全流程数据安全管理制度2、组织开展数据安全教育培训3、采取技术措施保障数据安全4、重要数据处理者,应明确数据安全负责人和管理机构四.第二十九条数据处理者1、加强风险监测2、发现数据安全缺陷、漏洞等风险时,立即采取补救措施
4、3、发生数据安全事件时立即采取处置措施,及时告知用户并向有关主管部门报告条款主体内容四.第三十条重要数据处理者1、定期开展风险评估,并向有关主管部门报送风险评估报告2、报告应包括重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等四.第三十一条关键基础设施运营者适用网络安全法对重要数据进行出境管理其他数据处理者重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定四.第三十三条数据交易中介服务机构1、要求数据提供方说明数据来源2、审核交易双方的身份并留存审核、交易记录五.第三十八条国家机关1、依法收集和使用数据2、对在履职中知悉的个人隐私、个人信息、商业秘密
5、、保密商务信息等予以保密五.第二十九条国家机关建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全五.第四十条国家机关(委托方)委托他人建设、维护电子政务系统,存储、加工政务数据1、应当经过严格的批准程序2、监督受托方履行相应的数据安全保护义务受托方履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据五.第四十一条国家机关及时、准确公开政务数据。依法不予公开的除外五.第四十二条国家机关制定政务数据开放目录,构建安全可控的政务数据开放平台覆盖数据安全监管要求的全流程服务体系覆盖数据安全监管要求的全流程服务体系 数据安全 检查服务 数据安全管理 体系建设服务 数据安全风
6、 险评估服务 数据分类 分级服务数据资产梳理服务数据安全咨询服务帮助客户“摸清家底”数据资产清单业务流转图业务数据分布报告现有数据安全防护调研分类分级指引数据分类分级清单数据分类分级防护标准数据安全漏洞报告数据全生命周期安全评估报告风险场景评估报告数据安全管理体系方案(制度-策略-流程)场景化实施方案(风险暴露面-主体-威胁-)数据安全检查规范数据安全能力检查报告数据安全能力整改方案合规要求数据安全防护支撑与基础,针对性的数据防护,减轻综合投入成本合规要求发现数据安全风险场景针对性的进行数据安全建设合规要求数据安全制度规范合规要求行业及上级部门安全检查定期安全检查考核服务目录交付物服务价值对标
7、条文第三章 数据安全制度第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。第五章第四十二条;国家制定政务数据开放目录,构建统一规范、
8、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。第三章 数据安全制度第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。第三章 数据安全制度第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。第三章 数据安全制度第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。12345数据分类分级服务框架(闭环)数据分类分级服务框架(闭环)人员与职责执行与落
9、实安全事件处理基线评估与考核管理制度专人负责,业务配合制定、发布和更新数据分类分级管理制度/办法数据安全事件应急处理预案数据分类分级基线考核办法数据分类分级管理规范数据安全事件应急响应预案数据分类分级基线考核办法安全策略识别并维护数据资产清单/数据分类分级标识清单识别和管理重要数据目录不同级别数据防护策略制定数据资产清单数据分类分级清单重要数据目录数据分类分级安全防护策略应急演练数据泄露安全事件应急演练数据安全策略落实KPI操作规范制定、发布和更新数据分类分级实施操作规范数据分类分级实施操作手册应急演练处置报告数据分类分级情况检查表技术防护规划数据分类分级管理的技术防护方案数据资产梳理产品数据
10、自动化分类分级系统数据脱敏/加密/水印等数据安全运营管控平台(含合规标准解读模块/数据资产梳理&备案/自动分类分级模块/脱敏/加密/水印/审计等模块)已有标准的数据分类分级基本方法(金融、运营商、医疗)已有标准的数据分类分级基本方法(金融、运营商、医疗)业务数据库清单工具梳理工具梳理数据库表字段客户客户知识库(对标)客户提供客户提供数据库管理部门字段名字段注释数据库所属系统数据库IP交付交付级别校核级别校核工具导出工具导出咨询顾问咨询顾问未关联标识数据(注释缺失)咨询顾问、客户进行数据分类 数据字典金融,运营商,医疗标准数据资产清单数据库名表名账号/密码数据资产清单工具分类分级工具分类分级数据
11、字典数据分类分级打标敏感数据清单敏感数据清单高级别数据分类分级分类分级现状调研现状调研数据分类分级清单工具高级别敏感数据人工二次调整级别数据分类分级打标实例名数据库IP数据库端口对标匹配、准确打标高效率、误差小数据分类分级动态管控策略数据分类分级动态管控策略4级管控3级管控五级字段四级字段三级字段二级字段一级字段数据源静态级别数据抽取转换数据传输数据汇聚存储数据加工生产数据分发共享用数访问表字段集合就高原则五级管控四级管控三级管控二级管控一级管控动态管控姓名(1)身份证(3)联系方式(3)地址(2)33级管控3级管控4级管控数据分类分级管理场景风险排序(来源现状调研和风险评估)多风险 少风险
12、无风险人员风险排序(来源现状调研和风险评估)访问人员复杂性 人员权限复杂性 .(这些维度还需总结归纳)操作风险排序(来源现状调研和风险评估)越权访问 .(这些维度还需总结归纳)威胁处置 防火墙 运维堡垒 脱敏加密 安全审计 漏洞扫描决定使用什么级别管控用数访问的人员(来源现状调研和风险评估)业务、三方、合作、外包、内部、领导、安全管理等。人员风险排序(来源现状调研和风险评估)访问人员复杂性 人员权限复杂性 .(这些维度还需总结归纳)共享分发操作风险排序(来源现状调研和风险评估)未审批分发等威胁处置 防火墙 运维堡垒 脱敏加密 安全审计 漏洞扫描源头边界源头边界从数据采集到数据使用的管控级别研判
13、标准从数据采集到数据使用的管控级别研判标准分发边界分发边界从数据分发到用数访问的管控级别研判标准从数据分发到用数访问的管控级别研判标准覆盖数据安全监管要求的全流程服务体系覆盖数据安全监管要求的全流程服务体系 数据安全 检查服务 数据安全管理 体系建设服务 数据安全风 险评估服务 数据分类 分级服务数据资产梳理服务数据安全咨询服务帮助客户“摸清家底”数据资产清单业务流转图业务数据分布报告现有数据安全防护调研分类分级指引数据分类分级清单数据分类分级防护标准数据安全漏洞报告数据全生命周期安全评估报告风险场景评估报告数据安全管理体系方案(制度-策略-流程)场景化实施方案(风险暴露面-主体-威胁-)数据
14、安全检查规范数据安全能力检查报告数据安全能力整改方案合规要求数据安全防护支撑与基础,针对性的数据防护,减轻综合投入成本合规要求发现数据安全风险场景针对性的进行数据安全建设合规要求数据安全制度规范合规要求行业及上级部门安全检查定期安全检查考核服务目录交付物服务价值对标条文第三章 数据安全制度第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经
15、济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。第五章第四十二条;国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。第三章 数据安全制度第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。第三章 数据安全制度第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及
16、时向社会发布与公众有关的警示信息。第三章 数据安全制度第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。12345数据安全风险评估策略数据安全风险评估策略场景风险暴露面数据安全风险评估策略标准体系标准体系法律法规数据安全法(草案)个人信息保护法(草案)等级保护基本要求网络安全法数据安全标准大数据服务安全能力要求大数据安全管理指南行业监管标准个人金融信息保护技术规范金融数据安全数据安全分级指南数据安全能力成熟度模型威胁主体安全威胁监督评价体系监督评价体系整体性评价防护评价合规性评价数据安全事件数据安全策略落实情况敏感数
17、据识别情况数据分类分级管理情况访问控制及身份鉴别情况数据安全运营情况数据安全合规性要求满足情况数据脱敏策略下发情况数据分发用数访问数据抽取转换数据传输数据汇聚存储数据源数据加工生产业务流向管理制度及规范操作规范及流程技术防护工具策略生成机构人员制度保障分类分级权限管理安全审计第三方安全管理应急响应安全培训敏感数据识别能力数据安全审计能力数据安全防泄漏能力个人信息隐私保护能力数据安全风险评估报告高风险问题清单高风险场景安全威胁风险评估过程合规标准输入合规考核矩阵输出数据安全风险评估过程数据安全风险评估过程业务流向场景风险暴露面威胁主体安全威胁数据分发用数访问数据源级别不清开发测试第三方、运维业务
18、部门数据泄露非法使用非法访问风险评估安全策略黑客数据分类分级规范数据分类分级清单自动化分类分级工具抽取工具无限制开发测试第三方、运维病毒入侵数据泄露数据采集准入操作规范转换工具审核流程漏洞扫描工具传输通道未加密非授权访问数据泄露数据篡改开发测试第三方、运维业务部门数据抽取转换数据传输数据汇聚存储违规收集数据数据防火墙数据传输操作规范访问控制策略规则数据源数据加工生产敏感数据明文存储开发测试第三方、运维数据泄露数据篡改数据存储加密工具数据存储操作规范加密存储策略规则数据脱敏工具数据使用操作规范数据脱敏策略规则数据安全审计工具数据交换操作规范权限管控策略规则身份鉴权工具访问控制策略安全意识技能培训
19、生产数据未脱敏使用职权审批不当职权审批不当越权操作开发测试第三方、运维业务部门内部员工&黑客等开发测试第三方、运维开发测试第三方、运维异常操作数据泄露批量导出未脱敏共享数据泄露未授权共享越权操作异常操作违规下载管理规范技术防护操作流程某项目最佳实践某项目最佳实践-评估流程评估流程评估结束报告编制对标评估信息收集前期准备评估方法现场检查文档查验调研访谈综合分析评估工具准备评估工具准备申请接口接口/地址提供地址提供部署数据库漏洞扫描数据库漏洞扫描报告输出报告输出提交查验内容提交查验内容申请客户提供客户提供数据库资产列表业务场景汇总表用户权限列表检查管理评估管理评估文档文档/截图资料截图资料检查表顾
20、问访谈相关人员生命周期评估生命周期评估技术能力评估技术能力评估专家顾问文档汇总编制汇报总结汇报总结报告编制报告编制研判&汇总接口风险监测接口风险监测某项目最佳实践某项目最佳实践-业务应用场景风险汇总业务应用场景风险汇总序号威胁威胁主体高风险1敏感数据明文存储开发测试、业务部门等数据暴露面风险2未授权访问外部攻击者、第三方、内部人员等数据暴露面风险3生产数据外传第三方、运维等数据暴露面风险4生产数据未脱敏使用第三方、运维等数据暴露面风险5未有访问日志第三方、运维等抵赖6传输通道未加密开发测试等数据暴露面风险、篡改7隐藏传输通道外部攻击者技术侵入8接口未遵守最小化数据原则开发测试、运维接口设计风险
21、9敏感文件未销毁开发测试、运维物理侵入序号场景描述问题描述1业务功能风险需求申请超出职责范围导致越权数据操作2数据源头级别不清楚导致未得到相关等级保护3数据汇聚造成数据敏感性提升4数据未加工处理导致敏感信息泄露5职权审批不当造成越权操作6客户名单未授权外发造成数据泄露7违规获取信息造成法律风险8业务流转和用户行为风险存储安全造成非授权查看、篡改、删除9非授权访问造成数据泄露、篡改、删除10数据违规收集导致合规风险11用户越权操作造成非授权查看、篡改、删除高风险场景安全威胁清单高风险问题清单某项目最佳实践某项目最佳实践-数据安全风险评估报告数据安全风险评估报告数据库漏洞扫描报告数据安全评估报告数
22、据安全整改建议/方案覆盖数据安全监管要求的全流程服务体系覆盖数据安全监管要求的全流程服务体系 数据安全 检查服务 数据安全管理 体系建设服务 数据安全风 险评估服务 数据分类 分级服务数据资产梳理服务数据安全咨询服务帮助客户“摸清家底”数据资产清单业务流转图业务数据分布报告现有数据安全防护调研分类分级指引数据分类分级清单数据分类分级防护标准数据安全漏洞报告数据全生命周期安全评估报告风险场景评估报告数据安全管理体系方案(制度-策略-流程)场景化实施方案(风险暴露面-主体-威胁-)数据安全检查规范数据安全能力检查报告数据安全能力整改方案合规要求数据安全防护支撑与基础,针对性的数据防护,减轻综合投入
23、成本合规要求发现数据安全风险场景针对性的进行数据安全建设合规要求数据安全制度规范合规要求行业及上级部门安全检查定期安全检查考核服务目录交付物服务价值对标条文第三章 数据安全制度第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保
24、护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。第五章第四十二条;国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。第三章 数据安全制度第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。第三章 数据安全制度第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。第三章 数据安全制度第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安
25、全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。12345数据安全治理体系框架数据安全治理体系框架战略规划应用分析加工分发测试运维采集存储传输处理交换销毁技术体系组织架构 管理规范安全策略操作流程合规性管理管理体系运营体系资产策略监测处置资产运营策略运营事件运营风险运营重保护网应急专家组织构建框架设计顶层设计场景生命周期战略规划构建运行监控分析改进优化评价体系标准支撑行业实践数据安全治理体系咨询实施数据安全治理体系咨询实施-管理体系实践管理体系实践标准体系标准体系法律法规数据安全法(草案)个人信息保护法(草案)等级保护基本要求网络安全法数据安全数据安全组织架构组织架构数据安
26、全数据安全管理制度管理制度数据安全数据安全运营管理运营管理数据安全标准大数据服务安全能力要求大数据安全管理指南行业监管标准个人金融信息保护技术规范金融数据安全数据安全分级指南数据安全能力成熟度模型决策层决策层(分管领导分管领导)总体负责数据安全防控统筹和推进管理层(科技部管理层(科技部/大数据部安全管理人员)大数据部安全管理人员)识别敏感数据资产,分类分级工作;制定数据安全管理防控体系的管理制度和操作规范,制定总体策略执行层(各分支,业务,系统,运维部门安全员)执行层(各分支,业务,系统,运维部门安全员)根据机构数据安全相关策略和规程,落实本部门数据安全防护措施监督层(安全审计员)监督层(安全
27、审计员)对数据安全管理防控体系进行成熟度评价监督评价体系监督评价体系整体性评价防护评价数据安全数据安全策略管理策略管理数据安全数据安全操作规范操作规范数据资产管理制度数据分类分级管理制度数据安全权限管理制度数据安全审计管理数据合规性管理数据生命周期安全管理制度数据资产备案操作规范数据资产梳理策略敏感数据识别策略数据资产备案维护操作流程数据分类策略数据分类分级标准指南数据分类分级基线管理数据分级策略身份鉴别策略访问控制策略用户访问权限配置规范权限配置管理认证策略访问控制权限管控加密存储脱敏策略销毁备案采集存储传输使用交换销毁数据采集准入操作规范数据存储备份操作规范数据安全交换操作规范数据安全传输
28、操作规范数据安全使用操作规范数据安全删除操作规范合规性评估基线检查数据安全合规评估操作规范数据安全监测安全管理规范数据安全事件管理异常行为审计策略权限变化审计策略数据安全审计规范数据安全审计监控流程数据安全合规评估流程数据安全应急响应管理知识库知识库体系体系行业数据特征库数据安全风险监测库数据流转行为规则库人才库人才库体系体系数据安全标准解读数据安全意识培训数据安全技能培训数据安全知识竞赛合规性评价数据安全事件数据安全策略落实情况敏感数据识别情况数据分类分级管理情况访问控制及身份鉴别情况数据安全运营情况数据安全合规性要求满足情况数据脱敏策略下发情况防控准备阶段防控运行阶段防控稽查阶段数据安全治
29、理体系咨询实施数据安全治理体系咨询实施-技术体系实践技术体系实践基基础础数数据据安安全全防防控控数据采集数据存储数据传输数据使用数据交换数据销毁数据安全运营数据安全运营管控平台管控平台数据资产管理分类分级安全防控访问权限安全防控数据生命周期安全防控合规性基线配置数据安全审计敏感数据梳理工具自动化分类分级工具鉴权工具认证鉴权工具数据库防火墙/加密工具数据脱敏工具数据库审计/数据水印技术数据销毁工具数据防泄漏不合规未授权未脱敏跨域传输/存储明文传输/存储越权访问批量下载高频访问应用场景防护工具防护技术非法外发未授权失效未处理残余数据泄露违规访问敏感数据违规使用特权账号未脱敏查询越权操作第5级数据非
30、法外发第4级数据未加密脱敏第3级数据未脱敏审批第2级数据未审批第1级数据流量拥塞数据防火墙脱敏工具数据库业务资产识别外部审查内部自查重大保障护网行动数据库权限访问识别敏感数据识别异常操作违规操作违规下载越权访问特权操作数据安全监测平台数据安全评估系统数据安全基线配置表格数据资源管理数据安全策略管理风险事件监测运行监测数据资产发现能力数据安全防护能力认证授权能力应急处置能力防控准备阶段防控运行阶段防控稽查阶段覆盖数据安全监管要求的全流程服务体系覆盖数据安全监管要求的全流程服务体系 数据安全 检查服务 数据安全管理 体系建设服务 数据安全风 险评估服务 数据分类 分级服务数据资产梳理服务数据安全咨
31、询服务帮助客户“摸清家底”数据资产清单业务流转图业务数据分布报告现有数据安全防护调研分类分级指引数据分类分级清单数据分类分级防护标准数据安全漏洞报告数据全生命周期安全评估报告风险场景评估报告数据安全管理体系方案(制度-策略-流程)场景化实施方案(风险暴露面-主体-威胁-)数据安全检查规范数据安全能力检查报告数据安全能力整改方案合规要求数据安全防护支撑与基础,针对性的数据防护,减轻综合投入成本合规要求发现数据安全风险场景针对性的进行数据安全建设合规要求数据安全制度规范合规要求行业及上级部门安全检查定期安全检查考核服务目录交付物服务价值对标条文第三章 数据安全制度第二十一条国家建立数据分类分级保护
32、制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。第五章第四十二条;国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用
33、。第三章 数据安全制度第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。第三章 数据安全制度第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。第三章 数据安全制度第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。12345数据安全检查支撑服务数据安全检查支撑服务编制检查稽核要求项现场配合配置合规检查行业标准规定汇报检查结果机构监管需求合规需求判定客户自
34、查需求行业技术指引安华数据安全经验安全检查表安全检查表安全检查清单安全检查清单某项目最佳实践某项目最佳实践-数据安全检查表数据安全检查表01数据安全治理体系最佳实践02行业客户成功案例某人行数据分类分级服务最佳实践某人行数据分类分级服务最佳实践项目概述项目亮点1项目背景 前期调研表发送回馈 人工现场访谈 数据分类分级方法提供 数据分类分级落地打标 制定数据安全管理规范项目实践效果7个系统全字段级别打标数据安全管理细则数据分类分级基线考核针对数据分类分级的应急预案数据库库资产梳理达成南京人行的数据资源摸底;分类分级资产梳理完成7个业务系统分类分级,并形成分类分级清单(2803个字段分类分级结果)
35、,中国人民银行南京分行数据安全管理细则,提供针对不同等级的数据的安全管理策略和防护措施。另建设快捷、便捷、囊盖为主导,完成数据安全使用、操作流程申请表,执行于日常数据安全流程操作,以数据安全生命周期规范为核心,划分不同级别数据安全监测要求规范,赋予南京人行对于其他分支进行管理和检查能力。本次项目依据总行数据安全管理要求,从数据安全治理角度给出管理体系建设、数据分类分级及数据审计建议,提升人民银行南京分行在组织建设、制度流程、技术工具及人员能力等方面的数据安全保障水平,进而降低辖区数据安全风险,满足合规要求、加强数据防护。同时,结合南京分行数据安全防护现状,给出切实可行的数据安全治理方案,并关注
36、数据安全能力改进、建设、运维过程的管理,确保数据安全管控要求切实落地。项目范围含征信,清算,易启通,统一门户,采集等7个系统。2项目实施方法 数据资产清单 数据分类分级清单 数据分类分级操作手册 数据分类分级防护策略 数据安全基线检查表 数据安全事件应急预案3项目交付物某省一体化平台大数据局数据安全治理最佳实践某省一体化平台大数据局数据安全治理最佳实践项目概述项目亮点1项目背景 前期调研表发送回馈 人工现场访谈 组织架构建立&管理制度编制 数据分类分级方法提供 数据分类分级落地打标 数据管控策略关联制度流程项目实践效果建立并完善数据安全组织架构数据分类分级管理及落实建立数据安全管理体系数据安全
37、管控策略体系收集并整理大数据中心业务流转及数据安全使用情况,明确了数据安全薄弱环节及风险场景。建立了符合大数据中心场景的数据安全组织架构,职责明确落实到人。依据数据安全法形成了针对大数据中心的数据安全制度规范,为大数据中心提供了合法合规、安全可落地的数据安全管理措施。明确了大数据中心内部数据资产及数据的申请授权流程。形成了数据分类分级清单,明确并部署分级管控策略,使不同级别的数据得到相应的保护。为推进政府数字化转型,大数据中心汇集了各地各行业大量政务数据,建设了覆盖政务服务、协同办公、数据共享开放等各领域的应用服务系统。由于业务系统和网络环境复杂,数据流动频繁,数据处理活动涉及众多部门和人员。
38、在整个过程中,大数据中心尚未建立完整的数据安全治理体系,缺乏针对性的管理规则,缺乏数据保护能力,缺乏有效的安全监测预警手段。2项目实施方法 数据安全管理制度(总纲)数据资产管理规范 全流程数据安全管理规范 数据分类分级管理规范 风险监控评估管理规范 应急管理规范3项目交付物某省政务数据交换平台轻量级数据安全咨询服务最佳实践某省政务数据交换平台轻量级数据安全咨询服务最佳实践项目概述项目亮点1项目背景 现状调研 人工现场访谈 数据资产梳理 资料梳理 分析编制项目实践效果数据资产梳理数据分类分级规范数据安全管理总纲数据安全规划方案收集并整理重要业务流转及数据安全能力建设情况,明确了数据管理、技术和运
39、营的薄弱环节。通过编制分类分级规范,为公司和不同委办局数据共享提供了分类分级参考,并指导后续不同策略的管控。通过数据资产梳理和账号权限梳理也帮助委办局对自有数据进行了了解,指导后续安全管控。通过编制三阶段规划方案,指导公司后续不断提升数据安全管理、技术和运营能力。为更好地服务新区政务,保障政务数据共享开放等业务数据安全。某省政务数据交换平台进行数据安全治理咨询,为其加强数据安全管理、技术、运营能力提供梳理和帮助,并进行能力提升路线的规划。2项目实施方法 数据安全管理制度(总纲)数据资产清单 账号权限清单 数据分类分级规范 数据安全规划方案3项目交付物提供快速落实安全咨询服务的服务包提供快速落实安全咨询服务的服务包数据安全分类分级服务包(闭环轻量级交付服务产品)数据安全体系建设服务包(满足数安法体系建设基本面)数据安全评估服务包(查漏补缺必备服务产品)数据安全培训服务包(附加产品包)流程闭环清单规范闭环流程扫描报告体系流程规范制度解读意识数据安全法客户现状调研表数据安全法客户现状调研表
浙ICP备2021020529号-1 | 浙B2-20240490 
