参考:
Data Security Governance - IRI
如何理解企业安全能力框架(IPDRR) | XieJava's blog
An Introduction to the 5 Functions of NIST | . Partners, LLC
Data Governance for Privacy, Confidentiality and Compliance: A Holistic Approach
数据安全复合治理与实践白皮书-学习思考 – ASPIRE
Gartner DSG框架
DSG:Data Security Governance数据安全治理框架
2015年提出
定义:“a subset of information governance that deals specifically with protecting corporate data (in both structured database and unstructured file-based forms) through defined data policies and processes.”
数据安全治理是信息治理的一个子集,数据安全治理通过规定的策略和流程保护公司数据(包括结构化数据库和非结构化的文件)。
由客户来定义策略和流程,通过分析企业内哪些数据最重要来划分数据的优先级。
第一步:业务需求与风险/威胁/合规性之间的平衡
考虑经营策略、治理、合规、IT策略和风险容忍度五个要素
第二步:数据优先级
应当优先对重要数据进行安全治理工作,依据数据的不同属性对数据进行分级。
第三步:制定策略,降低安全风险
明确数据的访问者(应用用户/数据管理人员)、访问对象、访问行为;基于这些信息制定不同的、有针对性的数据安全策略。
第四步:实施安全工具
Crypto(加密)、DCAP(以数据为中心的审计和保护)、DLP(数据防泄漏)、IAM(身份识别与访问管理)
第五步:策略配置同步
为所有安全能力与产品配置策略并保持策略的一致与同步,策略执行对象包括数据库、大数据系统、文件类数据、云端数据、终端数据等。
微软DGPC框架
DGPC:Data Governance for Privacy, Confidentiality and Compliance
2010年提出
划分了三个核心领域:人员、流程、技术
人员领域:建立内部DGPC团队,负责对数据分类、保护、使用和管理过程中的原则、策略和流程步骤等进行定义。
流程领域:
- 从各类权威文件(如法律、法规、标准、组织政策与战略文件等)梳理分析组织必须满足的各类要求,形成合规要求集合。
- 定义相应的指导原则和策略以满足这些合规要求。
- 识别和分析数据流转中的数据安全、隐私和合规风险,并根据风险控制目标采取必要的安全控制措施。
技术领域:微软围绕DGPC框架开发了一套特定的数据流分析方法,围绕数据生命周期、核心技术领域、数据隐私和机密性原则三个核心元素构建。
生命周期:
应重视数据的转移阶段,并且了解传输工具(内网、互联网、存储介质)。
应当确保数据接收者具备与当前数据保管者拥有相同的安全能力和流程。
核心技术领域:
- 安全的设施:保护计算机、存储设备、OS、app、网络免受侵害
- 身份和访问控制:(IAM or IdM)保护个人信息免受未经授权的访问
- 信息保护:持久保护机密数据
- 审计和报告:识别可疑、非法行为
数据隐私和机密性原则:
原则 1:在机密数据生命周期内遵守策略。
原则 2:将未经授权访问或滥用机密数据的风险降至最低。
原则 3:将机密数据丢失的影响降至最低。
原则 4:记录安全控制措施并证明其有效性。
DSMM模型
DSMM:Data Security Maturity Model
2019年8月,全国信息安全标准化技术委员会发布国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),正式提出数据安全能力成熟度模型(DSMM, Data Security Maturity Model)模型。
划分了五个数据安全能力成熟度:持续优化、量化控制、充分定义、计划跟踪和非正式执行
DSMM L1非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。
DSMM L2计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致,跟踪、控制执行的进展。
DSMM L3充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。
DSMM L4量化控制:建立了量化目标,安全过程可度量。
DSMM L5持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。
NIST CSF框架(IPDRR模型)
NIST CS:NIST Cybersecurity Framework
2014年由美国国家标准与技术研究所(NIST)提出。
IPDRR:Identify, Identify, Protect, Detect, Respond, Recover企业安全能力框架
具备五个功能:
Identify识别:
- 资产——识别核心业务的人员、数据、设备、系统和设施。
- 商业环境——定义组织的目标、使命、利益相关者和一般活动。
- 治理——涵盖监控和管理企业的法律、风险、监管、环境和运营要求所必需的政策、程序和流程。
- 风险——了解所有组织运作、资产和个人涉及的网络安全风险。
- 风险管理策略——明确组织的约束、优先级、风险容忍度。
应定期重复这一功能。
Protect保护:
- 访问控制——限制对资产和网络的访问。
- 数据安全——根据业务风险策略来管理公司的敏感数据。
- 信息保护流程和程序——用于维护和管理信息资产、系统的安全政策和流程。
- 维护——维修工业控制系统(Industrial control system)组件和信息系统组件。
- 保护技术——结合人工和自动化工具。
Detect检测:
- 异常和事件——检测所有异常和事件。
- 安全持续监控——实时或周期监控资产和信息。
- 检测流程——对检测系统进行适当维护。
Respond响应:
- 计划响应——及时响应检测到的网络安全事件。
- 沟通——组织与内部和外部利益相关者之间进行沟通。
- 分析——在响应活动期间进行审查。
- 缓解——防止恶化,减轻或消除影响。
- 改进——更新响应方案。
Recover恢复:
- 计划恢复—按优先级进行恢复。
- 改进——在系统重新运行后,反思事件,并记录经验。然后应该改进恢复计划。
- 沟通——与内部和外部各方协调,包括互联网服务提供商、受害者、供应商、攻击系统的所有者和协调中心。