數據安全治理實踐
沈亞軍
相關主題
商品描述
面對日益嚴峻的數據安 全角勢和日趨復雜的數據應用場景,本書系統地介紹了數據安 全治理的理論、方法與實踐,旨在幫助讀者深入理解數據安 全治理的重要性和復雜性,掌握構建和維護有效數據安 全體系的關鍵技能。本書共16章,每章重點突出,為讀者提供了從理論到實踐指導,幫助讀者理解數據安 全治理的背景與形勢,掌握數據安 全治理的基本理論、方法與實踐,提升組織的數據安 全治理能力,從而更好地釋放數據價值,守護數據安 全,助力數字經濟健康有序發展。本書還探討了新形勢下數據安 全治理面臨的新威脅、法規政策發展和地緣政治挑戰,展望了數據安 全治理的未來發展趨勢和創新方向。本書可以為數據安 全領域相關行業從業者、研究者、政策制定者提供參考,也可以作為數據安 全領域培訓或能力認證參考圖書。
作者簡介
沈亚军
华信咨询设计研究院有限公司专职培训讲师,拥有多年培训经验,具备诸多专业资质。在网络与信息安 全课程的设计和研发、题库构建及教学实施方面功底深厚,特别是在安 全管理实践、法律法规解读、风险评估、安 全审计和员工安 全意识等方面有丰富的教学与研究经验。
目錄大綱
第一章 數據安全背景與形勢
1.1 數字化轉型的深化階段 2
1.2 數據安全的新挑戰 2
1.3 新業務環境中的數據安全威脅與風險 3
1.4 數據安全監管的新進展 4
1.5 亟待加強的數據安全能力建設 5
第二章 數據安全治理綜述
2.1 數據的定義 7
2.2 數據安全的定義 9
2.3 數據安全的重要性 9
2.4 傳統安全與數據安全的區別 11
2.5 數據安全治理的定義 12
2.6 數據治理與數據安全治理的關系 14
2.7 數據安全管理與數據安全治理的關系 17
2.8 數據安全治理目標 18
2.9 數據安全治理要點 18
2.10 數據安全的常見誤區 19
2.10.1 數據安全合規不等於保障 19
2.10.2 數據安全方案不等於防護 20
2.10.3 數據安全運維不等於運營 20
2.10.4 數據安全技術不等於治理 21
2.11 數據安全治理面臨的挑戰和痛點 21
2.11.1 協同數據安全治理亟待強化 22
2.11.2 需重視個人信息利用與保護 22
2.11.3 需要行業背景下的場景化治理 23
2.11.4 亟待實現分類與分級自動化與精準化 23
2.11.5 需要完善治理水平稽核評價體系 24
2.11.6 合規性層面的痛點 24
2.11.7 管理層面的痛點 25
2.11.8 技術層面的痛點 26
2.12 數據安全治理框架 26
2.12.1 數據安全治理框架的概念 26
2.12.2 微軟的DGPC框架 27
2.12.3 Gartner的DSG框架 30
2.12.4 數據安全成熟度模型 32
2.12.5 《數據安全法》與數據安全治理框架 35
第三章 數據安全治理建設思路
3.1 數據安全治理總體視圖 37
3.1.1 總體視圖 37
3.1.2 設計思路 37
3.2 數據安全總體規劃 44
3.2.1 數據安全規劃的重要性 44
3.2.2 數據安全規劃的基礎 44
3.2.3 制訂數據安全規劃 45
3.3 數據安全治理的實踐路線 46
3.3.1 數據安全規劃階段 46
3.3.2 數據安全建設階段 48
3.3.3 數據安全運營階段 51
3.3.4 數據安全評估與優化 53
3.4 迭代式建設思路 54
第四章 數據生命周期的概念
4.1 數據生命周期的定義 55
4.2 與《數據安全法》的對應關系 56
4.3 數據生命周期階段 56
4.3.1 數據採集 56
4.3.2 數據傳輸 57
4.3.3 數據存儲 58
4.3.4 數據處理 58
4.3.5 數據交換 59
4.3.6 數據銷毀 59
第五章 數據安全合規要求
5.1 概述數據安全合規體系 61
5.2 數據安全主要法律和條例 63
5.2.1 《網絡安全法》在數據安全治理中的作用 63
5.2.2 《數據安全法》構建綜合的數據安全治理框架 64
5.2.3 《個人信息保護法》全面保障個人信息權益 65
5.2.4 “三法”的內在聯系及差異 67
5.2.5 《關鍵信息基礎設施安全保護條例》實施重點防護 68
5.2.6 《網絡數據安全管理條例》細化治理規則 69
5.2.7 《中華人民共和國民法典》提供補充性規定 70
5.3 數據安全相關規範性文件 70
5.3.1 數據安全需要協同治理 70
5.3.2 重要規章及規範性文件 71
5.3.3 地方性管理辦法 75
5.3.4 數據安全相關標準 76
5.4 概述國外數據安全法規 77
5.5 數據安全合規框架 78
5.5.1 數據安全合規風險 79
5.5.2 數據安全合規分類 81
5.5.3 建立合規框架的意義 82
5.5.4 構建合規框架的考慮 82
5.5.5 數據安全合規的核心要點 83
5.5.6 構建合規架構 85
5.5.7 制定合規制度的流程 86
5.5.8 實施數據安全合規框架 87
5.6 常見合規問題和建議 88
第六章 數據安全風險評估
6.1 概述信息安全風險評估 93
6.1.1 信息安全風險評估的概念 93
6.1.2 信息安全風險分析原理 94
6.1.3 信息安全風險評估流程 95
6.2 數據安全風險評估的概念 96
6.2.1 數據安全風險的定義 96
6.2.2 數據安全風險要素及關系 96
6.2.3 數據安全風險評估流程 97
6.3 評估準備階段 98
6.3.1 明確評估目標 98
6.3.2 確定評估範圍 99
6.3.3 組建評估團隊 100
6.3.4 開展前期準備 100
6.3.5 編制評估方案 101
6.4 信息調研階段 102
6.4.1 調研數據處理者 102
6.4.2 調研業務和信息系統 103
6.4.3 調研數據資產 104
6.4.4 識別數據處理活動 105
6.4.5 識別安全防護措施 106
6.5 風險識別階段 107
6.5.1 風險識別的概念和步驟 107
6.5.2 分析已有的風險評估報告 108
6.5.3 識別數據安全管理風險 109
6.5.4 識別數據安全技術風險 123
6.5.5 識別數據處理活動風險 132
6.5.6 識別個人信息風險 146
6.6 風險分析與評估階段 159
6.6.1 數據安全風險分析 159
6.6.2 數據安全風險評估 161
6.6.3 數據安全風險清單 163
6.7 評估總結階段 163
6.7.1 編制評估報告 163
6.7.2 風險緩解建議 164
6.7.3 分析殘餘風險 164
第七章 數據安全治理組織架構
7.1 組織架構 166
7.1.1 組織架構的重要性與設計原則 166
7.1.2 典型組織架構 167
7.1.3 組織架構的具體職能 167
7.2 數據安全協調機制 170
7.2.1 概述協調機制 170
7.2.2 協調機制的組成要素 172
7.2.3 面臨的挑戰與對策 174
7.3 人員管理 176
7.3.1 人員登記、審查與保密制度 177
7.3.2 定崗與定員 177
7.3.3 人員能力提升與考核 180
7.3.4 權限與訪問控制管理 181
7.3.5 監控與審計機制 182
7.3.6 員工離職管理 183
7.3.7 數據安全文化建設 184
第八章 數據安全戰略與策略
8.1 數據安全戰略與策略的概念 185
8.1.1 組織管理中的戰略與策略 185
8.1.2 數據安全戰略的概念 186
8.1.3 數據安全策略的概念 186
8.1.4 比較數據安全戰略與策略 187
8.2 規劃數據安全戰略 188
8.3 數據安全戰略內容框架 189
8.3.1 制定數據安全願景、使命與目標 189
8.3.2 治理範圍和責任的確定 189
8.3.3 組織架構和角色分配 190
8.3.4 跨部門協作與溝通機制 191
8.3.5 法規遵從與行業標準 192
8.3.6 風險評估與優先級設定 192
8.3.7 制定數據安全策略和原則 193
8.3.8 成本效益分析與預算規劃 194
8.3.9 實施時間表與關鍵里程碑規劃 194
8.3.10 溝通和培訓計劃 195
8.3.11 持續改進與戰略調整 196
8.4 數據安全戰略示例 197
8.5 編寫數據安全策略的思路 197
8.6 數據安全策略示例 198
第九章 數據分類和分級
9.1 數據分類分級的概念 199
9.1.1 數據分類的概念 199
9.1.2 數據分級的概念 199
9.1.3 數據分類分級的作用 200
9.1.4 數據分類分級的原則 201
9.2 實施數據分類 202
9.2.1 通用數據分類方法 202
9.2.2 通用數據分類流程 203
9.2.3 行業數據分類框架 205
9.2.4 行業數據分類流程 205
9.2.5 個人信息的識別和分類 206
9.2.6 公共數據的識別和分類 208
9.3 實施數據分級 212
9.3.1 通用數據分級方法 212
9.3.2 通用數據分級流程 214
9.3.3 通用數據分級框架 214
9.4 行業數據分級方法 216
9.4.1 數據分級要素 216
9.4.2 數據影響分析 217
9.4.3 基本分級規則 218
9.4.4 個人信息的分級 219
9.4.5 衍生數據的分級 221
9.4.6 數據的重新分級 222
9.5 行業數據分類分級示例 223
9.5.1 行業數據分類 223
9.5.2 行業數據分級 225
第十章 數據安全管理制度
10.1 概述管理制度 226
10.2 管理制度的重要性及作用 227
10.3 編寫適用的管理制度 228
10.3.1 編寫管理制度的基本原則 228
10.3.2 管理制度的編寫步驟 229
10.3.3 編寫管理制度的技巧 232
10.3.4 編寫管理制度的常見誤區 235
10.4 四級文件架構 238
10.5 管理制度體系 239
10.5.1 制度體系框架 239
10.5.2 一級文件內容框架 240
10.5.3 二級文件內容框架 240
10.5.4 三級文件內容框架 240
10.5.5 四級文件內容框架 240
第十一章 數據安全技術體系
11.1 概述數據安全技術需求 241
11.2 安全技術與安全產品的區別 241
11.3 全生命周期安全防護需求 242
11.3.1 數據採集安全 242
11.3.2 數據傳輸安全 243
11.3.3 數據存儲安全 244
11.3.4 數據處理安全 245
11.3.5 數據交換安全 248
11.3.6 數據銷毀安全 249
11.4 通用安全防護需求 250
11.4.1 組織和人員管理 250
11.4.2 合規管理 251
11.4.3 數據資產管理 251
11.4.4 數據供應鏈安全 252
11.4.5 元數據管理 253
11.4.6 終端數據安全 253
11.4.7 監控與審計 254
11.4.8 鑒別與訪問控制 255
11.4.9 安全事件應急 256
11.5 數據安全產品與應用場景 256
11.5.1 數據資產識別工具 257
11.5.2 數據分類分級工具 258
11.5.3 數據水印工具 260
11.5.4 數據庫加密系統 262
11.5.5 數據庫脫敏系統 264
11.5.6 數據備份和恢復工具 267
11.5.7 數據銷毀工具 269
11.5.8 數據庫審計系統 271
11.5.9 數據庫防火牆系統 273
11.5.10 DLP系統 274
11.5.11 數據安全風險評估系統 277
11.5.12 IAM系統 279
11.5.13 公鑰基礎設施 281
11.5.14 SIEM系統 283
11.5.15 EDR 285
11.6 安全技術悖論 286
第十二章 數據安全運營體系
12.1 基於風險的運營體系 288
12.1.1 安全運營與安全運維的區別 288
12.1.2 數據安全運營的作用 289
12.2 數據安全運營總體思路 289
12.2.1 PDCA循環的概念 289
12.2.2 基於PDCA循環的運營思路 290
12.2.3 基於風險的數據安全運營 291
12.3 數據安全運營框架 293
12.3.1 概述IPDRR框架 293
12.3.2 數據安全運營框架 293
12.4 實施安全威脅與事件監測 298
12.4.1 數據安全威脅類型 298
12.4.2 數據安全事件分類 298
12.4.3 監測事件和威脅的方法 299
12.4.4 部署監測工具 300
12.4.5 實時監測與日誌分析 302
12.4.6 威脅情報搜集與分析 303
12.5 實施安全事件應急響應 305
12.5.1 制訂應急響應計劃 305
12.5.2 組建應急響應團隊 306
12.5.3 識別、報告與分析 306
12.5.4 遏制、根除與恢復 308
12.5.5 總結與改進 311
12.6 實施數據安全檢查 313
12.6.1 制訂檢查計劃 313
12.6.2 檢查方法 314
12.6.3 處置發現的問題 315
12.7 實施數據安全報告和溝通 316
12.7.1 定期報告機制 316
12.7.2 報告內容框架 318
12.7.3 報告編寫規範 319
12.7.4 報告審核與審批 320
12.7.5 報告存檔與追溯 322
12.7.6 內部溝通與協作機制 323
12.7.7 外部溝通與信息披露 324
12.8 實施供應鏈數據安全管理 325
12.8.1 供應鏈數據安全風險評估 325
12.8.2 合作夥伴數據安全要求 327
12.8.3 數據共享與交換安全 327
12.8.4 供應鏈數據安全監控 328
12.8.5 供應鏈安全協同 329
12.9 實施數據備份與恢復 329
12.9.1 數據備份策略 330
12.9.2 數據恢復流程 333
12.10 實施數據安全教育和培訓 335
12.10.1 數據安全意識培養 335
12.10.2 數據安全技能培訓 336
12.10.3 專項培訓與認證 337
12.10.4 培訓效果評估與改進 337
12.10.5 持續教育與更新 338
第十三章 治理成效評估和持續改進
13.1 概述數據安全治理成效評估 339
13.1.1 評估目的與意義 339
13.1.2 評估的基本原則 340
13.1.3 常用評估方法 341
13.1.4 評估流程 342
13.2 評估準備工作 342
13.2.1 組建評估團隊 342
13.2.2 確定評估的目標、範圍與指標 343
13.3 文檔和信息收集 344
13.3.1 收集相關文檔和記錄 344
13.3.2 回顧歷史安全事件 345
13.4 現場評估與訪談 345
13.4.1 關鍵部門和人員訪談 346
13.4.2 實際操作觀察 346
13.4.3 記錄問題和建議 347
13.5 評估治理的有效性 348
13.5.1 評估治理框架和策略 348
13.5.2 評估組織結構和職責 348
13.5.3 評估風險管理和合規 349
13.5.4 評估數據分類分級 350
13.5.5 評估管理制度 351
13.5.6 評估技術保護措施 351
13.5.7 評估數據安全運營 352
13.5.8 評估人員培訓和意識水平 353
13.6 發現和解決存在的問題 353
13.6.1 問題識別和分類 353
13.6.2 問題優先級排序 354
13.6.3 制定解決方案 354
13.6.4 實施問題解決方案 355
13.7 持續改進計劃 356
13.7.1 改進計劃制訂 356
13.7.2 實施改進措施 356
13.7.3 效果驗證與跟蹤 357
13.7.4 持續學習與適應 358
13.7.5 新一輪評估準備 358
13.8 編寫成效評估報告 359
第十四章 場景化數據安全治理策略
14.1 場景化數據安全治理的意義 361
14.2 個人敏感數據處理場景 362
14.3 政府和公共數據處理場景 364
14.4 數據共享和交易場景 366
14.5 內部共享和集成場景 369
14.6 供應鏈場景 371
14.7 雲計算場景 374
14.8 遠程辦公場景 376
14.9 物聯網場景 379
14.10 大數據處理場景 381
14.11 人工智能和機器學習場景 384
14.12 跨境傳輸和存儲場景 386
14.13 區塊鏈場景 389
第十五章 行業案例分析
15.1 電信行業數據安全治理背景 392
15.1.1 行業背景 392
15.1.2 面臨的挑戰 392
15.1.3 數據安全治理需求示例 394
15.2 電信運營商案例分析 395
15.3 金融行業數據安全治理背景 396
15.3.1 行業背景 396
15.3.2 面臨的挑戰 396
15.3.3 數據安全治理需求示例 397
15.4 證券公司案例分析 398
第十六章 趨勢與發展
16.1 新形勢下的數據安全治理 399
16.1.1 數據安全治理現狀與挑戰 399
16.1.2 組織面臨的數據安全治理新問題 401
16.2 技術革新與數據安全治理 403
16.2.1 創新技術在數據安全中的應用 403
16.2.2 新興技術領域的數據安全挑戰 405
16.3 業務發展與數據安全 406
16.3.1 數據安全與組織發展策略 406
16.3.2 數據安全與商業實踐的平衡 408
16.4 長期挑戰和創新方向 410
16.4.1 長期發展中的挑戰與應對 410
16.4.2 數據安全治理的創新方向 411
術語解釋 413
參考文獻 419
致謝 420
附錄 421