亚洲精品v日韩精品-国产妇女乱码一区二区三区-HD免费看片,大粗又爽又黄少妇毛片免费,亚洲国产精品伦理,韩国三级bd高清中文字幕下载

歷時四年，聚合行業(yè)安全專家智慧，凝煉行業(yè)安全最佳實踐，數(shù)字時代：基于行業(yè)最佳實踐的《主責數(shù)據(jù)保護與流動安全監(jiān)管框架》（以下簡稱“框架”）于2023年6月17日第三屆數(shù)字安全大會上正式發(fā)布。

該框架是在中國信息協(xié)會信息安全專業(yè)委員會指導下，由PCSA安全研究院、聯(lián)盟成員，聯(lián)合行業(yè)用戶和產(chǎn)業(yè)各方，深刻總結(jié)提煉十三五期間和十四五眾多行業(yè)數(shù)據(jù)安全治理、規(guī)劃、建設(shè)、運營的落地實踐，共同提出一個基于行業(yè)最佳實踐的《主責數(shù)據(jù)保護與流動安全監(jiān)管框架》。

美創(chuàng)科技，作為數(shù)據(jù)安全專業(yè)企業(yè)，基于多年數(shù)據(jù)安全防的研究經(jīng)驗，持續(xù)貢獻自身力量，旗下安全研究院以“產(chǎn)業(yè)研究力量”深入?yún)⑴c此次框架研究。

PCSA安全能力者聯(lián)盟（隸屬：中國信息協(xié)會信息安全專業(yè)委員會）是在公安部等保中心和國家信息中心指導下，于2016年10月成立，聯(lián)盟秉承聚合中國關(guān)鍵安全能力、賦能數(shù)字智能時代的理念，致力于云安全（包括平臺、租戶、數(shù)據(jù)、安全管理、移動安全等）關(guān)鍵技術(shù)及標準的研究、應(yīng)用和推廣，目前已完成面向云安全、數(shù)據(jù)安全、安全管理和運營的平臺解決方案。

數(shù)據(jù)所有者：掌握數(shù)據(jù)所有權(quán)的數(shù)據(jù)產(chǎn)權(quán)所有方；

數(shù)據(jù)使用者：對數(shù)據(jù)擁有使用和交換需求的數(shù)據(jù)需求方；

數(shù)據(jù)提供者：對數(shù)據(jù)進行獲取、處理與提供的數(shù)據(jù)提供方；

數(shù)據(jù)運營者：對數(shù)據(jù)運營過程的計劃、組織、實施和控制，是與數(shù)據(jù)生產(chǎn)和服務(wù)創(chuàng)造密切相關(guān)的各項管理工作的承擔方；

數(shù)據(jù)安全監(jiān)管者：在數(shù)據(jù)不同價值階段，制定數(shù)據(jù)流動安全策略.對不同數(shù)據(jù)角色的操作等進行檢查審核。

這些數(shù)據(jù)角色的充分定義和明晰是保障數(shù)據(jù)內(nèi)部流動跨部門、跨應(yīng)用、跨層級，外部流通跨行業(yè)、跨監(jiān)管單位或跨境等機制制定的基礎(chǔ)。

3、《框架》的核心思想：“1-3-6-N”架構(gòu)

數(shù)字時代：基于行業(yè)最佳實踐的《主責數(shù)據(jù)保護與流動安全監(jiān)管框架》的核心思想可總結(jié)為“1-3-6-N”架構(gòu)。

“1”個主要場景

即主責數(shù)據(jù)保護與流動安全監(jiān)管場景。要求責任主體，明紅線、守底線，做到事前、事中和事后監(jiān)管。

“3”個方面

即數(shù)據(jù)治理、數(shù)據(jù)安全治理、安全治理。以數(shù)據(jù)安全治理為主體，協(xié)同好數(shù)據(jù)治理和安全治理，明晰邊界與責權(quán)。

“6”個層次

即治理層、監(jiān)管層、管理層、運營層、技術(shù)層和數(shù)據(jù)層。統(tǒng)籌六個層次目標的關(guān)鍵場景和關(guān)鍵任務(wù)，共同構(gòu)建數(shù)據(jù)安全治理體系。

“N”個關(guān)聯(lián)角色

即數(shù)據(jù)安全治理過程中涉及的多個角色。包括：數(shù)據(jù)所有者、數(shù)據(jù)監(jiān)管者、數(shù)據(jù)提供者、數(shù)據(jù)使用者、數(shù)據(jù)運營者、安全審計員、安全管理員、系統(tǒng)管理員等。

4、《框架》“1-3-6-N”架構(gòu)解析

1）“1”個主場景：主責數(shù)據(jù)保護與流動安全監(jiān)管場景

主責數(shù)據(jù)保護與流動安全監(jiān)管主場景綜合考慮數(shù)據(jù)治理、安全治理和數(shù)據(jù)安全治理的目標區(qū)別和職責邊界，聚焦數(shù)據(jù)安全治理領(lǐng)域，清晰定義數(shù)據(jù)安全相關(guān)角色和流動場景，重點解決靜態(tài)數(shù)據(jù)保護、動態(tài)數(shù)據(jù)流動監(jiān)管的問題，做到明紅線、守底線，實現(xiàn)事前、事中、事后監(jiān)管。

• 主體責任明紅線、守底線

數(shù)據(jù)安全法、數(shù)據(jù)二十條都明確數(shù)字化組織在數(shù)據(jù)處理過程中對數(shù)據(jù)安全負有主體責任，需要在明確紅線、守住安全底線的前提下，進行數(shù)據(jù)開發(fā)利用、開放共享。

• 事前事中事后監(jiān)管

做好數(shù)據(jù)流動事前督導、事中監(jiān)管、事后審計，幫助數(shù)字化組織確認清楚在組織和組織內(nèi)部數(shù)據(jù)流動過程中的主體責任，解決數(shù)據(jù)治理、安全治理的責權(quán)不清、動態(tài)監(jiān)管等影響數(shù)據(jù)合法有序使用的關(guān)鍵問題。

2）“3”個方面：數(shù)據(jù)治理、數(shù)據(jù)安全治理、安全治理

數(shù)據(jù)治理、安全治理和數(shù)據(jù)安全治理三個方面目標不同、邊界權(quán)責交叉，本框架主要聚焦數(shù)據(jù)安全治理，需要協(xié)同好數(shù)據(jù)治理和安全治理，明晰邊界與責權(quán)。

• 數(shù)據(jù)治理

參考數(shù)據(jù)治理自身特點以及國內(nèi)最新發(fā)布的數(shù)據(jù)二十條相關(guān)內(nèi)容，發(fā)現(xiàn)，數(shù)據(jù)治理需要圍繞數(shù)源可信、權(quán)屬清晰、激活數(shù)據(jù)的目標，開展數(shù)據(jù)治理基礎(chǔ)建設(shè)、數(shù)據(jù)治理能力建設(shè)、數(shù)據(jù)治理運營建設(shè)以及數(shù)據(jù)價值賦能。

由于數(shù)據(jù)治理不是本次討論的重點，有關(guān)該部分的詳細內(nèi)容可查閱國際、國內(nèi)相關(guān)數(shù)據(jù)管理、數(shù)據(jù)治理的流程、過程、標準和內(nèi)容。

• 安全治理

安全治理圍繞合規(guī)閉環(huán)、實戰(zhàn)驗證、風險可控的目標，開展合規(guī)基礎(chǔ)保護建設(shè)、實戰(zhàn)強化保護建設(shè)、指揮協(xié)同保護建設(shè)，構(gòu)建網(wǎng)絡(luò)安全管理體系、安全技術(shù)體系、安全運營體系，實現(xiàn)看管監(jiān)控一體化、平戰(zhàn)結(jié)合一體化。

該部分內(nèi)容主要來源于PCSA安全能力者聯(lián)盟2022年發(fā)布的《基于行業(yè)最佳實踐的安全保護框架》，更為詳細的解讀可查閱2022年研究成果《基于行業(yè)最佳實踐的安全保護框架》。

• 數(shù)據(jù)安全治理

數(shù)據(jù)安全治理圍繞主責明確、流動監(jiān)管、共享共用的目標，協(xié)同數(shù)據(jù)治理和安全治理，在做好數(shù)源可信、權(quán)屬清晰、激活數(shù)據(jù)、合規(guī)閉環(huán)、實戰(zhàn)驗證、風險可控的前提下，聚焦主責數(shù)據(jù)保護和流動安全監(jiān)管主場景，充分定義數(shù)據(jù)安全相關(guān)角色和流動場景，通過自上而下的從數(shù)據(jù)安全治理層、數(shù)據(jù)安全監(jiān)管層、數(shù)據(jù)安全管理層、數(shù)據(jù)安全運營層、數(shù)據(jù)安全技術(shù)層、數(shù)據(jù)層等六個層次，逐層壓實數(shù)字化組織在數(shù)據(jù)共享共用過程中的主體安全責任，提升數(shù)據(jù)的可用、可信、可流通、可追溯水平，加強內(nèi)部安全自律意識，幫助數(shù)字化組織走好數(shù)據(jù)安全的“最后一公里”。

• 三者關(guān)系分析

數(shù)據(jù)治理和安全治理中都有數(shù)據(jù)安全的部分，伴隨著數(shù)據(jù)由資源向資產(chǎn)的演進，一方面數(shù)據(jù)治理要求實現(xiàn)數(shù)據(jù)的開放共享使用，另一方面安全治理又要求嚴格管控守好安全底線，那么如何在安全管控的情況下做到數(shù)據(jù)共享利用、用數(shù)不違法的平衡，這就需要數(shù)據(jù)安全治理來協(xié)同好數(shù)據(jù)治理和安全治理，明晰邊界與責權(quán)。

數(shù)據(jù)治理將持續(xù)為數(shù)據(jù)安全治理提供可信的數(shù)據(jù)底賬、動態(tài)完整的分類分級結(jié)果，以支撐數(shù)據(jù)安全治理工作的開展；而安全治理將根據(jù)不同數(shù)據(jù)等級為數(shù)據(jù)安全治理提供完整、持續(xù)的數(shù)據(jù)安全基線。同時，在運營層面，數(shù)據(jù)安全治理的運營還需要協(xié)同數(shù)據(jù)治理運營和安全治理運營，共同實現(xiàn)看管監(jiān)控一體化的運營目標，持續(xù)雙向反饋各自運營成果。至此，數(shù)據(jù)安全治理才從真正意義上打通了數(shù)據(jù)治理、安全治理各自的鴻溝，在數(shù)字化組織全局視角上達成拉齊數(shù)據(jù)風險管控和價值激活的雙重目的。

3）“6”個層次

聚焦在數(shù)據(jù)安全治理領(lǐng)域，研究現(xiàn)有落地實踐，將數(shù)據(jù)安全治理劃分為數(shù)據(jù)安全治理層、數(shù)據(jù)安全監(jiān)管層、數(shù)據(jù)安全管理層、數(shù)據(jù)安全運營層、數(shù)據(jù)安全技術(shù)層和數(shù)據(jù)層，不同層次的數(shù)據(jù)安全場景和重點任務(wù)存在差異，其關(guān)注點也存在區(qū)別。

• 數(shù)據(jù)安全治理層

數(shù)據(jù)安全治理層從內(nèi)部剛需和外部監(jiān)管出發(fā)，圍繞數(shù)據(jù)資源、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)流通和數(shù)據(jù)交易的不同階段，根據(jù)本行業(yè)、本組織特點開展戰(zhàn)略制定、現(xiàn)狀評估、藍圖規(guī)劃和實施路徑規(guī)劃等工作，主要解決數(shù)據(jù)治理和安全治理目標不統(tǒng)一的共性問題，與數(shù)據(jù)治理和安全治理的目標達成統(tǒng)一。

戰(zhàn)略制定：根據(jù)數(shù)字化組織發(fā)展所處的不同階段、不同需求，制定數(shù)據(jù)安全總體戰(zhàn)略、數(shù)據(jù)安全總體目標和數(shù)據(jù)安全總體策略。

現(xiàn)狀評估：根據(jù)數(shù)字化組織發(fā)展所處的不同階段、不同需求，開展數(shù)據(jù)現(xiàn)狀評估、安全現(xiàn)狀評估、數(shù)據(jù)安全能力現(xiàn)狀評估，為數(shù)據(jù)安全治理體系的規(guī)劃設(shè)計提供基礎(chǔ)數(shù)據(jù)支撐。

藍圖規(guī)劃：根據(jù)現(xiàn)狀評估的結(jié)果，開展差距分析、需求分析及規(guī)劃設(shè)計工作，明確規(guī)劃目標，并提供充足的保障機制。

實施路徑：依托藍圖規(guī)劃，制定詳細的實施演進路線，進一步明確行動計劃和關(guān)鍵任務(wù)。

• 數(shù)據(jù)安全監(jiān)管層

數(shù)據(jù)安全監(jiān)管層主要解決事前督導、事中監(jiān)管、事后審計的監(jiān)督落實問題，實現(xiàn)全程可視、狀態(tài)可察、權(quán)限可審、流動追溯、權(quán)益清晰、監(jiān)審一體的目標。

事前督導：對數(shù)據(jù)底賬梳理、數(shù)據(jù)分級分類、數(shù)據(jù)權(quán)屬定義、數(shù)據(jù)授權(quán)規(guī)則制定、數(shù)據(jù)角色定義、數(shù)據(jù)安全基線制定、數(shù)據(jù)交易、數(shù)據(jù)出境專項等工作，進行事前監(jiān)督、指導。

事中監(jiān)管：對數(shù)據(jù)底賬狀態(tài)、數(shù)據(jù)歸類定級、數(shù)據(jù)權(quán)屬主體、數(shù)據(jù)操作行為、數(shù)據(jù)角色授權(quán)、數(shù)據(jù)流動全程、數(shù)據(jù)交易專項、數(shù)據(jù)出境專項等工作，進行事中監(jiān)督、管理。

事后審計：對數(shù)據(jù)底賬變更、數(shù)據(jù)分級分類、數(shù)據(jù)權(quán)屬變更、數(shù)據(jù)違規(guī)操作、數(shù)據(jù)授權(quán)變更、數(shù)據(jù)流動追溯、數(shù)據(jù)交易專項、數(shù)據(jù)出境專項等工作，進行事后審計。

• 數(shù)據(jù)安全管理層

數(shù)據(jù)安全管理層主要圍繞數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)安全目標和數(shù)據(jù)安全策略，通過機制定義、組織定義、職責定義等方面為數(shù)據(jù)安全治理提供充足的機制保障。

定義機制：圍繞數(shù)據(jù)安全治理層定義的數(shù)據(jù)安全治理目標，做好管理定義，建立數(shù)據(jù)安全管理機制，包括管理辦法、規(guī)范細則、流程表單以及可考核的關(guān)鍵性指標。

定義組織：配套數(shù)據(jù)安全管理機制，建立數(shù)據(jù)安全管理組織架構(gòu)，明確崗位設(shè)置、角色定義和人員配備。

定義職責：基于數(shù)據(jù)安全管理機制、數(shù)據(jù)安全管理組織架構(gòu)，清晰定義責任邊界、權(quán)利義務(wù)、激勵機制。

• 數(shù)據(jù)安全運營層

數(shù)據(jù)安全運營層通過數(shù)據(jù)安全監(jiān)測、分層響應(yīng)、協(xié)同研判、聯(lián)合處置等關(guān)鍵任務(wù)的開展，解決多方協(xié)同的問題，實現(xiàn)數(shù)據(jù)安全運營的看管監(jiān)控一體化。其與網(wǎng)絡(luò)安全運營同樣遵循“檢測-響應(yīng)-預測-防御”的Gartner自適應(yīng)安全架構(gòu)，區(qū)別在于數(shù)據(jù)安全運營是在網(wǎng)絡(luò)安全運營的基礎(chǔ)上，針對主責數(shù)據(jù)本身，實現(xiàn)細粒度、針對性的安全運營。

數(shù)據(jù)安全監(jiān)測：聚焦數(shù)據(jù)本身，通過與數(shù)據(jù)防泄露、數(shù)據(jù)訪問控制、安全登錄、數(shù)據(jù)操作、數(shù)據(jù)流動、API接口等能力的對接，實現(xiàn)細化到數(shù)據(jù)庫、表、字段的專而深的細粒度安全監(jiān)測。

分層響應(yīng)：針對數(shù)據(jù)安全事件，建立分層響應(yīng)機制，落實數(shù)據(jù)管理員、系統(tǒng)管理員、安全管理員、IT基礎(chǔ)設(shè)施管理員等不同角色之間的分層響應(yīng)。

協(xié)同研判：協(xié)同業(yè)務(wù)部門、數(shù)據(jù)部門和安全部門等多方人員綜合分析研判數(shù)據(jù)安全事件，深度分析數(shù)據(jù)服務(wù)停止、數(shù)據(jù)篡改，誤操作/惡意行為、數(shù)據(jù)泄露、越權(quán)訪問、數(shù)據(jù)勒索、數(shù)據(jù)違規(guī)外發(fā)等的根本原因，做好數(shù)據(jù)風險預測、研判、分析、預警和通報。

聯(lián)合處置：基于協(xié)同研判分析的結(jié)果，聯(lián)合業(yè)務(wù)部門、數(shù)據(jù)部門、安全部門等開展安全策略核查、數(shù)據(jù)違規(guī)阻斷、恢復服務(wù)/系統(tǒng)/數(shù)據(jù)、冗余備份安全加固、最小授權(quán)等聯(lián)合處置工作，應(yīng)對暴露面收斂、攻擊發(fā)現(xiàn)與阻斷、日常攻防演練、威脅情報處置等安全應(yīng)用場景。

• 數(shù)據(jù)安全技術(shù)層

數(shù)據(jù)安全技術(shù)層主要建立數(shù)據(jù)安全工具能力資源池，為數(shù)據(jù)監(jiān)管和運營提供可擴展的能力使用及調(diào)用。

數(shù)據(jù)全生命周期的基礎(chǔ)合規(guī)：在滿足個人信息保護、等級保護、關(guān)基保護、數(shù)據(jù)安全法、密碼保護、F級保護、商密保護、行業(yè)規(guī)范等法律法規(guī)、標準規(guī)范的基礎(chǔ)上，做到從數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)加工、數(shù)據(jù)共享、數(shù)據(jù)交換、數(shù)據(jù)交易、數(shù)據(jù)銷毀的全生命周期合規(guī)。

數(shù)據(jù)安全工具能力資源池：圍繞數(shù)據(jù)全生命周期建立分類分級、數(shù)據(jù)標簽、密級標識、隔離交換、加密傳輸、策略矩陣、存儲加密、訪問控制、隱私保護、數(shù)據(jù)授權(quán)、數(shù)據(jù)脫敏、零信任、行為授權(quán)、操作審計、打刻審計、數(shù)據(jù)水印、數(shù)據(jù)防泄漏、介質(zhì)管控、備份恢復、數(shù)據(jù)清除、剩余信息保護等數(shù)據(jù)安全能力資源池。

• 數(shù)據(jù)層

數(shù)據(jù)層通過對各類數(shù)據(jù)的標識證明，使數(shù)據(jù)成為獨立管理對象，其屬性可支撐數(shù)據(jù)共享、交換及交易流通等場景。

經(jīng)過多年的信息化、數(shù)字化建設(shè)，已經(jīng)積累了大量的數(shù)據(jù)。從技術(shù)上來看，可以分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)；從敏感程度上來看，可以分為SM數(shù)據(jù)、商密數(shù)據(jù)、個人隱私數(shù)據(jù)等；從責任歸屬上來看，可以分為個人數(shù)據(jù)、企業(yè)數(shù)據(jù)、公共數(shù)據(jù)等。

標識證明通過數(shù)源標識、數(shù)據(jù)標識、權(quán)益標識，標記數(shù)據(jù)全生命周期各過程，形成數(shù)據(jù)資源目錄，使數(shù)據(jù)所有者明晰其主責數(shù)據(jù)，同時通過對具體的數(shù)據(jù)實體登記形成產(chǎn)權(quán)證明、權(quán)益證明和交易證明，形成實體數(shù)據(jù)底賬，使數(shù)據(jù)相關(guān)方明確各自的數(shù)據(jù)權(quán)益，最終數(shù)據(jù)資源目錄和實體數(shù)據(jù)底賬通過流通標識比對，實現(xiàn)對數(shù)據(jù)共享、交換及交易流通等場景應(yīng)用支撐。

4）“N”個關(guān)聯(lián)角色

是指參與到數(shù)據(jù)安全治理全過程的各個組織定義的角色。包括：數(shù)據(jù)所有者、數(shù)據(jù)監(jiān)管者、數(shù)據(jù)提供者、數(shù)據(jù)使用者、數(shù)據(jù)運營者、安全審計員、安全管理員、系統(tǒng)管理員等。

數(shù)據(jù)所有者：即數(shù)據(jù)產(chǎn)權(quán)所有方；

數(shù)據(jù)使用者：即數(shù)據(jù)需求方；

數(shù)據(jù)提供者：即對數(shù)據(jù)進行獲取與處理數(shù)據(jù)供給方；

數(shù)據(jù)運營者：即對數(shù)據(jù)運營過程的計劃、組織、實施和控制各項管理工作的承擔方；

數(shù)據(jù)監(jiān)管者：即在數(shù)據(jù)不同價值階段，制定數(shù)據(jù)流動安全策略，對不同數(shù)據(jù)角色的操作等進行稽核審查方；

系統(tǒng)管理員：即系統(tǒng)的所有者，負責系統(tǒng)的管理和授權(quán)；

安全管理員：即網(wǎng)絡(luò)安全管理者；

安全審計員：即網(wǎng)絡(luò)安全和數(shù)據(jù)安全的審計者。

其他角色：即涉及到數(shù)據(jù)及網(wǎng)絡(luò)安全支撐的相關(guān)人員，如基礎(chǔ)設(shè)施保障人員等。