数据保护、隐私、安全和风险管理

1、数据安全目标

保护信息资产，以符合隐私和保密规定、合同协议和业务要求

要求来源：

• 利益相关者

• 政策法规

• 商业机构

• 合法访问需求

• 合同义务

数据安全活动的目标包括：

• 对企业数据资产启用适当的范围跟权限并阻止不当访问

• 遵守有关隐私、数据保护和保密性的政策法规

• 确保满足理益相关者对隐私和保密性的要求

2、数据安全原则

• 协作

• 基于企业整体的角度

• 主动管理

• 明确责任

• 元数据驱动

• 通过减少披露来降低风险

3、数据安全与企业数据管理

数据安全--有足够的资金支持，面向系统、企业内部保持方案一致

评估当前组织数据状态，确定数保护范围过程：

• 识别和分类敏感数据资产 ，涵盖身份识别、医疗和财务信息方面

• 定位整个企业的敏感数据，取决于存储位置，单点违规导致数据泄露形成高风险

• 确定各资产的保护方式，因内容和技术类型而不同

• 确认信息与业务流程的交互方式

4、元数据安全

一个存储数据特征的企业级知识库，为所有部门准确地了解敏感信息要求的保护级别提供全局支撑。有助于优化数据保护，指导业务使用数据和技术支持流程，从而降低成本。

安全管理的先决条件--数据分类：

• 保密级别：保守秘密或私密信息，仅在“需要指导”的基础上共享

• 监管类别：来源于外部，如法律、条约和行业法规等，以“允许知晓”的方式共享

5、数据安全架构

企业架构的组成部分，描述如何在企业内实现数据安全，以满足业务规则和外部法规的要求。

数据整合要求：

1. 内部系统和业务部门

2. 组织及外部商业伙伴

3. 组织和监管机构

6、数据安全规划

流程规划、数据分类、架构规划

最佳方法：树立安全意识、理解安全要求、遵守安全策略、执行安全程序

组织提高合规性的方法：

• 培训，促进安全标准的推广

• 整体一致的策略，制定数据安全规章及与之相应的监管策略，并与企业规章相辅相成

• 评估数据安全的好处，将数据安全优势与组织能动性联系起来

• 为供应商设定安全要求

• 树立紧迫意识，强调法律、合同和监管要求，建立数据安全管理的内部框架

• 持续的沟通，加强员工数据安全培训，指导规范操作

6、总结

• 数据安全管理时数据管理成功的基础

• 对数据进行高可靠的分类和标记有利于数据的保护

• 安全活动包括：整体层面的数据安全规划、建立可靠的安全架构、管理安全相关的元数据

• 保护数据的必要性要求供应商和合作伙伴也确保其数据安全

• 强大的、可被证明的数据安全实践有助于建立信任，形成差异化竞争优势