数据安全治理实践

信息安全研究 ›› 2022, Vol. 8 ›› Issue (11): 1069-.

数据安全治理实践

李雪莹;张锐卿;杨波;谢海昌;马国伟;

(北京天融信网络安全技术有限公司北京100085)

出版日期:2022-11-06 发布日期:2022-11-03
通讯作者: 李雪莹博士，副研究员(资格).主要研究方向为网络安全、安全管理与安全防护体系构建、安全大数据分析、云安全. li_xueying@topsec.com.cn
作者简介:李雪莹博士，副研究员(资格).主要研究方向为网络安全、安全管理与安全防护体系构建、安全大数据分析、云安全. li_xueying@topsec.com.cn 张锐卿高级工程师.主要研究方向为数据安全、云计算、网络安全. zhang_ruiqing@topsec.com.cn 杨波工程师.主要研究方向为信息安全、数据安全. yang_bo@topsec.com.cn 谢海昌工程师.主要研究方向为数据安全、物联网安全. xie_haichang@topsec.com.cn 马国伟高级工程师.主要研究方向为应用安全、数据安全. ma_guowei@topsec.com.cn

Data Security Governance Practices

Online:2022-11-06 Published:2022-11-03

摘要/Abstract

摘要： 数据安全治理写入了《中华人民共和国数据安全法》，同时，数据安全治理也是体系化的网络安全建设中的重点之一.分析了Gantner和微软的数据安全治理理念，结合企业架构、利益攸关者理论、数据流安全评估、成熟度安全评估等方法论，形成一套数据安全治理理念，并设计数据安全管理与运营平台，用于数据安全治理指标的动态监管与数据安全运营.从2018年开始，该方法论和平台已在项目进行实践，解决用户的数据管理与防御体系的建设与优化.

关键词: 数据安全治理, 生命周期, 企业架构, 数据流, 成熟度

Abstract: Data security governance has been written into the Data Security Law of the People’s Republic of China. At the same time, data security governance is also one of the key points in the construction of systematic network security. This paper analyzes the data security governance concepts of Gantner and Microsoft, combines enterprise architecture, stakeholder theory, data flow security assessment, maturity security assessment and other methodologies, forms a set of data security governance concepts, and designs a data security management and operation platform for dynamic supervision and data security operation of data security governance indicators. Since 2018, this methodology and platform have been put into practice in the project to solve the construction and optimization of users’ data management and defense system.

Key words: data security governance, lifecycle, enterprise architecture, data flow, maturity

李雪莹, 张锐卿, 杨波, 谢海昌, 马国伟, . 数据安全治理实践[J]. 信息安全研究, 2022, 8(11): 1069-.

参考文献

参考文献
［1］新华社. 习近平主持中共中央政治局第二次集体学习并讲话［EBOL］. (20171209) ［20211220］. http:www.gov.cnxinwen20171209content_5245520.htm［2］新华社. 中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见［EBOL］. (20200409) ［20211220］. http:www.gov.cnzhengce20200409content_5500622.htm［3］第十三届全国人民代表大会常务委员会. 中华人民共和国数据安全法［EBOL］. (20210611) ［20211220］. http:www.gov.cnxinwen20210611content_5616919.htm［4］Fritsch J, Wonham M. How to successfully design and implement a datacentric security architecture［EBOL］. (20190722)［20211220］. https:www.gartner.comendocuments3953491［5］Salado J, Voon P. A guide to data governance for privacy, confidentiality, and compliance［EBOL］. (20191025) ［20211220］. https:www.microsoft.comdatagovernance［6］Salido J, Manager S P, Group T C, et al. A guide to data governance for privacy, confidentiality, and compliance. ［EBOL］. (20101101) ［20211220］. https:iapp.orgmediapdfknowledge_centerGuide_to_Data_Governance_Part3_Managing_Technological_Risk_whitepaper.pdf［7］于海澜, 唐凌遥. 企业架构的数字化转型［M］.北京: 清华大学出版社, 2019［8］鲁传颖. 网络空间治理与多利益攸关方理论［M］. 北京: 时事出版社, 2016［9］Shostack A. SDL威胁建模工具入门［EBOL］. (20151014) ［20211220］. https:docs.microsoft.comzhcnarchivemsdnmagazine2009januarysecuritybriefsgettingstartedwiththesdlthreatmodelingtool［10］Shostack A. Uncover security design flaws using the STRIDE approach ［EBOL］. (20191007) ［20211220］. https:docs.microsoft.comenusarchivemsdnmagazine2006novemberuncoversecuritydesignflawsusingthestrideapproach［11］全国信息安全标准化技术委员会. GBT 37988—2019 信息安全技术—数据安全能力成熟度模型［S］. 北京: 中国标准出版社, 2018［12］国务院. 促进大数据发展行动纲要［EBOL］. (20150905) ［20211220］. http:www.gov.cnxinwen20150905content_2925284.htm

[1]	张晋, 卢佐华, . 构建电子政务移动安全主动防御体系[J]. 信息安全研究, 2022, 8(E1): 18-.
[2]	王兆蒙, 李涛, . 云原生安全管理与防护方案[J]. 信息安全研究, 2022, 8(E1): 39-.
[3]	陈炜忻, 刘嘉奇, . 金融行业漏洞全生命周期管理解决方案[J]. 信息安全研究, 2022, 8(E1): 91-.
[4]	国强. 网络可信身份体系建设相关问题研究[J]. 信息安全研究, 2022, 8(9): 871-.
[5]	陈圣楠, 范新民, 许力. 基于多约束安全工作流的漏洞管理系统[J]. 信息安全研究, 2022, 8(7): 700-.
[6]	王庆德, 吕欣, 王慧钧, 刘海洋, 秦天雄, . 数据安全治理的行业实践研究[J]. 信息安全研究, 2022, 8(4): 333-.
[7]	李雪莹, 王玮, . 基于业务场景的数据安全治理模型[J]. 信息安全研究, 2022, 8(4): 392-.
[8]	刘畅, . 统一漏洞管理平台研究设计[J]. 信息安全研究, 2022, 8(2): 190-.
[9]	余晓斌. 政务数据安全框架构建[J]. 信息安全研究, 2022, 8(11): 1061-.
[10]	杨一未孙成昊. 关键信息基础设施保护体系建设与漏洞管理标准化研究[J]. 信息安全研究, 2022, 8(1): 62-.
[11]	陈畅, 刘福来, . 基于智能电网内部数据流分析的内存泄露检测方法研究[J]. 信息安全研究, 2022, 8(1): 85-.
[12]	王月兵, 覃锦端, 刘隽良, 刘聪, . 医疗行业数据安全治理框架研究[J]. 信息安全研究, 2021, 7(E2): 33-.
[13]	田永健. 新形势下智慧城市数据安全治理研究[J]. 信息安全研究, 2021, 7(E2): 57-.
[14]	郑三丽, 于国强, 陈洪运, 包英明. 银行业数据安全治理解决方案[J]. 信息安全研究, 2021, 7(E1): 71-.
[15]	李德辉, 钟昕. ID.LINK全栈式身份与访问管理解决方案[J]. 信息安全研究, 2021, 7(E1): 131-.