今天跟大家跟分享一下,数据安全能力框架中的第二种(DGPC)2010年的节点,微软提出了 --DGPC-- (Data Governance for Privacy,Confidentiality and Conmpliance)隐私、保密和合规的数据治理,这个框架是以隐私、保密和合规为目标,以人员、流程和技术三个核心进行构造。
与DSG框架的区别和联系
区别:DSG是以数据安全治理为主要目标,分类分级、分步骤的过程,着重强调安全和风险的管理;DGPC以数据隐私、保密、合规为主要目标,围绕人员、流程和技术三个部分展开,着重强调隐私保护。
联系:数据安全保护措施与隐私保护的安全措施有重合,都关注组织人员的建立和技术安全措施的实践;都为数据安全治理提供了思想,实际落地运用的时候,需要根据实际的场景结合并运用。
DGPC框架示意图
如上图所示、主要分为三块。
1、人员
建立一个DGPC团队,需要明确团队中的每个人,所需承担的角色和职责,也要为团队中的人提供足够的资源。团队成员需要共同负责制定数据分类分级、保护、使用、管理、原则、政策、流程等关键方面的定义,以及安全策略的配置等等。2、流程
定义DGPC流程,首先通过查阅组织,必须满足的法律法规、行业标准及政策、经营策略。充分了解组织在数据安全治理和隐私保护方面需要满足的要求;其次,制定专门用于数据隐私保护的原则和要求;之后,梳理数据流向,探查数据安全、隐私合规的风险,分析风险并采取适当的控制目标和控制活动。3、技术
微软使用“风险/差距分析矩阵”的表格,分析特定数据流并识别存在于流程中的风险问题,表格由三个要素组成:信息生命周期、四个技术领域以及组织的数据隐私和机密性原则,如下图所示:
风险/差距矩阵示意图
如上图所示,
风险/差距矩阵分为:信息生命周期、4个技术领域及通用控制行为。
信息生命周期:收集、更新、处理、删除、传递、存储六个阶段。
4个技术领域:安全基础设施、身份和访问控制、信息保护、审计和报告。
a.安全基础设施是数据安全保护的底线;
b.身份访问控制是为保护个人信息免受未经授权的访问,需要建立认证机制、数据访问控制机制和用户账户管理机制,实现全流程跟踪管理用户访问过程;c.信息保护是将数据存放于数据库、文档管理系统等,并且在生命周期中流动,需要对数据分类分级,采用加密等多种手段持续保护;d.审计和报告采取适当的监控、审计和安全策略来保障企业组织,并识别相关风险点及不合规的 行为;通用控制行为:
通用控制行为在整个生命周期每个阶段,都得满足的四个原则;A.在整个信息生命周期内遵守相关政策,运用适用的法律法规处理;B.降低数据滥用造成的数据机密性风险,结合数据安全产品来确保数据的机密性、完整性、可用性;C.减少数据丢失造成的数据机密性风险,数据安全应制定相应的安全措施,保障数据的机密性;D.记录适用的控制措施并验证其有效性,落实企业人员责任、流程。