面對日益嚴峻的數據安 全形勢和日趨復雜的數據應用場景,本書系統(tǒng)地介紹了數據安 全治理的理論�����、方法與實踐�����,旨在幫助讀者深入理解數據安 全治理的重要性和復雜性��,掌握構建和維護有效數據安 全體系的關鍵技能。本書共16章�,每章重點突出,為讀者提供了從理論到實踐指導��,幫助讀者理解數據安 全治理的背景與形勢��,掌握數據安 全治理的基本理論�����、方法與實踐�����,提升組織的數據安 全治理能力��,從而更好地釋放數據價值�����,守護數據安 全��,助力數字經濟健康有序發(fā)展�。本書還探討了新形勢下數據安 全治理面臨的新威脅�、法規(guī)政策發(fā)展和地緣政治挑戰(zhàn),展望了數據安 全治理的未來發(fā)展趨勢和創(chuàng)新方向。本書可以為數據安 全領域相關行業(yè)從業(yè)者�����、研究者��、政策制定者提供參考�,也可以作為數據安 全領域培訓或能力認證參考圖書。
1.契合國家發(fā)展政策�����。在當前的政策驅動和安 全需求迫切的背景下�����,提升數據安 全的覆蓋度和連接能力�、補齊安 全短板無疑是當前數字化轉型發(fā)展的重要任務。
2.強調了管理與控制在數據安 全治理中的核心地位�,以期幫助組織建立起更加穩(wěn)固和高 效的數據安 全防護體系。尖 端的安 全技術�����,若未能得到合理的配置與管理��,其保護作用也會大打折扣,甚至可能轉化為潛在的安 全漏洞�����。
3.編委團隊值得信賴��。本書編委團隊來自華信咨詢設計研究院有限公司��,擅長網絡和信息安 全領域的安 全管理�、安 全法規(guī)��、風險評估�����、安 全審計�、安 全意識類的課程研發(fā)和授課,企業(yè)客戶以電信行業(yè)為主��。認證課程主講CISP和CISA��。曾經擔任過計算機中心主任��、信息系統(tǒng)審計師�、軟件開發(fā)工程師等職務。
沈亞軍 華信咨詢設計研究院有限公司專職培訓講師,擁有多年培訓經驗��,具備諸多專業(yè)資質�。在網絡與信息安 全課程的設計和研發(fā)、題庫構建及教學實施方面功底深厚�,特別是在安 全管理實踐、法律法規(guī)解讀�����、風險評估�、安 全審計和員工安 全意識等方面有豐富的教學與研究經驗。
第一章 數據安全背景與形勢
1.1 數字化轉型的深化階段 2
1.2 數據安全的新挑戰(zhàn) 2
1.3 新業(yè)務環(huán)境中的數據安全威脅與風險 3
1.4 數據安全監(jiān)管的新進展 4
1.5 亟待加強的數據安全能力建設 5
第二章 數據安全治理綜述
2.1 數據的定義 7
2.2 數據安全的定義 9
2.3 數據安全的重要性 9
2.4 傳統(tǒng)安全與數據安全的區(qū)別 11
2.5 數據安全治理的定義 12
2.6 數據治理與數據安全治理的關系 14
2.7 數據安全管理與數據安全治理的關系 17
2.8 數據安全治理目標 18
2.9 數據安全治理要點 18
2.10 數據安全的常見誤區(qū) 19
2.10.1 數據安全合規(guī)不等于保障 19
2.10.2 數據安全方案不等于防護 20
2.10.3 數據安全運維不等于運營 20
2.10.4 數據安全技術不等于治理 21
2.11 數據安全治理面臨的挑戰(zhàn)和痛點 21
2.11.1 協同數據安全治理亟待強化 22
2.11.2 需重視個人信息利用與保護 22
2.11.3 需要行業(yè)背景下的場景化治理 23
2.11.4 亟待實現分類與分級自動化與精準化 23
2.11.5 需要完善治理水平稽核評價體系 24
2.11.6 合規(guī)性層面的痛點 24
2.11.7 管理層面的痛點 25
2.11.8 技術層面的痛點 26
2.12 數據安全治理框架 26
2.12.1 數據安全治理框架的概念 26
2.12.2 微軟的DGPC框架 27
2.12.3 Gartner的DSG框架 30
2.12.4 數據安全成熟度模型 32
2.12.5 《數據安全法》與數據安全治理框架 35
第三章 數據安全治理建設思路
3.1 數據安全治理總體視圖 37
3.1.1 總體視圖 37
3.1.2 設計思路 37
3.2 數據安全總體規(guī)劃 44
3.2.1 數據安全規(guī)劃的重要性 44
3.2.2 數據安全規(guī)劃的基礎 44
3.2.3 制訂數據安全規(guī)劃 45
3.3 數據安全治理的實踐路線 46
3.3.1 數據安全規(guī)劃階段 46
3.3.2 數據安全建設階段 48
3.3.3 數據安全運營階段 51
3.3.4 數據安全評估與優(yōu)化 53
3.4 迭代式建設思路 54
第四章 數據生命周期的概念
4.1 數據生命周期的定義 55
4.2 與《數據安全法》的對應關系 56
4.3 數據生命周期階段 56
4.3.1 數據采集 56
4.3.2 數據傳輸 57
4.3.3 數據存儲 58
4.3.4 數據處理 58
4.3.5 數據交換 59
4.3.6 數據銷毀 59
第五章 數據安全合規(guī)要求
5.1 概述數據安全合規(guī)體系 61
5.2 數據安全主要法律和條例 63
5.2.1 《網絡安全法》在數據安全治理中的作用 63
5.2.2 《數據安全法》構建綜合的數據安全治理框架 64
5.2.3 《個人信息保護法》全面保障個人信息權益 65
5.2.4 三法的內在聯系及差異 67
5.2.5 《關鍵信息基礎設施安全保護條例》實施重點防護 68
5.2.6 《網絡數據安全管理條例》細化治理規(guī)則 69
5.2.7 《中華人民共和國民法典》提供補充性規(guī)定 70
5.3 數據安全相關規(guī)范性文件 70
5.3.1 數據安全需要協同治理 70
5.3.2 重要規(guī)章及規(guī)范性文件 71
5.3.3 地方性管理辦法 75
5.3.4 數據安全相關標準 76
5.4 概述國外數據安全法規(guī) 77
5.5 數據安全合規(guī)框架 78
5.5.1 數據安全合規(guī)風險 79
5.5.2 數據安全合規(guī)分類 81
5.5.3 建立合規(guī)框架的意義 82
5.5.4 構建合規(guī)框架的考慮 82
5.5.5 數據安全合規(guī)的核心要點 83
5.5.6 構建合規(guī)架構 85
5.5.7 制定合規(guī)制度的流程 86
5.5.8 實施數據安全合規(guī)框架 87
5.6 常見合規(guī)問題和建議 88
第六章 數據安全風險評估
6.1 概述信息安全風險評估 93
6.1.1 信息安全風險評估的概念 93
6.1.2 信息安全風險分析原理 94
6.1.3 信息安全風險評估流程 95
6.2 數據安全風險評估的概念 96
6.2.1 數據安全風險的定義 96
6.2.2 數據安全風險要素及關系 96
6.2.3 數據安全風險評估流程 97
6.3 評估準備階段 98
6.3.1 明確評估目標 98
6.3.2 確定評估范圍 99
6.3.3 組建評估團隊 100
6.3.4 開展前期準備 100
6.3.5 編制評估方案 101
6.4 信息調研階段 102
6.4.1 調研數據處理者 102
6.4.2 調研業(yè)務和信息系統(tǒng) 103
6.4.3 調研數據資產 104
6.4.4 識別數據處理活動 105
6.4.5 識別安全防護措施 106
6.5 風險識別階段 107
6.5.1 風險識別的概念和步驟 107
6.5.2 分析已有的風險評估報告 108
6.5.3 識別數據安全管理風險 109
6.5.4 識別數據安全技術風險 123
6.5.5 識別數據處理活動風險 132
6.5.6 識別個人信息風險 146
6.6 風險分析與評估階段 159
6.6.1 數據安全風險分析 159
6.6.2 數據安全風險評估 161
6.6.3 數據安全風險清單 163
6.7 評估總結階段 163
6.7.1 編制評估報告 163
6.7.2 風險緩解建議 164
6.7.3 分析殘余風險 164
第七章 數據安全治理組織架構
7.1 組織架構 166
7.1.1 組織架構的重要性與設計原則 166
7.1.2 典型組織架構 167
7.1.3 組織架構的具體職能 167
7.2 數據安全協調機制 170
7.2.1 概述協調機制 170
7.2.2 協調機制的組成要素 172
7.2.3 面臨的挑戰(zhàn)與對策 174
7.3 人員管理 176
7.3.1 人員登記��、審查與保密制度 177
7.3.2 定崗與定員 177
7.3.3 人員能力提升與考核 180
7.3.4 權限與訪問控制管理 181
7.3.5 監(jiān)控與審計機制 182
7.3.6 員工離職管理 183
7.3.7 數據安全文化建設 184
第八章 數據安全戰(zhàn)略與策略
8.1 數據安全戰(zhàn)略與策略的概念 185
8.1.1 組織管理中的戰(zhàn)略與策略 185
8.1.2 數據安全戰(zhàn)略的概念 186
8.1.3 數據安全策略的概念 186
8.1.4 比較數據安全戰(zhàn)略與策略 187
8.2 規(guī)劃數據安全戰(zhàn)略 188
8.3 數據安全戰(zhàn)略內容框架 189
8.3.1 制定數據安全愿景�����、使命與目標 189
8.3.2 治理范圍和責任的確定 189
8.3.3 組織架構和角色分配 190
8.3.4 跨部門協作與溝通機制 191
8.3.5 法規(guī)遵從與行業(yè)標準 192
8.3.6 風險評估與優(yōu)先級設定 192
8.3.7 制定數據安全策略和原則 193
8.3.8 成本效益分析與預算規(guī)劃 194
8.3.9 實施時間表與關鍵里程碑規(guī)劃 194
8.3.10 溝通和培訓計劃 195
8.3.11 持續(xù)改進與戰(zhàn)略調整 196
8.4 數據安全戰(zhàn)略示例 197
8.5 編寫數據安全策略的思路 197
8.6 數據安全策略示例 198
第九章 數據分類和分級
9.1 數據分類分級的概念 199
9.1.1 數據分類的概念 199
9.1.2 數據分級的概念 199
9.1.3 數據分類分級的作用 200
9.1.4 數據分類分級的原則 201
9.2 實施數據分類 202
9.2.1 通用數據分類方法 202
9.2.2 通用數據分類流程 203
9.2.3 行業(yè)數據分類框架 205
9.2.4 行業(yè)數據分類流程 205
9.2.5 個人信息的識別和分類 206
9.2.6 公共數據的識別和分類 208
9.3 實施數據分級 212
9.3.1 通用數據分級方法 212
9.3.2 通用數據分級流程 214
9.3.3 通用數據分級框架 214
9.4 行業(yè)數據分級方法 216
9.4.1 數據分級要素 216
9.4.2 數據影響分析 217
9.4.3 基本分級規(guī)則 218
9.4.4 個人信息的分級 219
9.4.5 衍生數據的分級 221
9.4.6 數據的重新分級 222
9.5 行業(yè)數據分類分級示例 223
9.5.1 行業(yè)數據分類 223
9.5.2 行業(yè)數據分級 225
第十章 數據安全管理制度
10.1 概述管理制度 226
10.2 管理制度的重要性及作用 227
10.3 編寫適用的管理制度 228
10.3.1 編寫管理制度的基本原則 228
10.3.2 管理制度的編寫步驟 229
10.3.3 編寫管理制度的技巧 232
10.3.4 編寫管理制度的常見誤區(qū) 235
10.4 四級文件架構 238
10.5 管理制度體系 239
10.5.1 制度體系框架 239
10.5.2 一級文件內容框架 240
10.5.3 二級文件內容框架 240
10.5.4 三級文件內容框架 240
10.5.5 四級文件內容框架 240
第十一章 數據安全技術體系
11.1 概述數據安全技術需求 241
11.2 安全技術與安全產品的區(qū)別 241
11.3 全生命周期安全防護需求 242
11.3.1 數據采集安全 242
11.3.2 數據傳輸安全 243
11.3.3 數據存儲安全 244
11.3.4 數據處理安全 245
11.3.5 數據交換安全 248
11.3.6 數據銷毀安全 249
11.4 通用安全防護需求 250
11.4.1 組織和人員管理 250
11.4.2 合規(guī)管理 251
11.4.3 數據資產管理 251
11.4.4 數據供應鏈安全 252
11.4.5 元數據管理 253
11.4.6 終端數據安全 253
11.4.7 監(jiān)控與審計 254
11.4.8 鑒別與訪問控制 255
11.4.9 安全事件應急 256
11.5 數據安全產品與應用場景 256
11.5.1 數據資產識別工具 257
11.5.2 數據分類分級工具 258
11.5.3 數據水印工具 260
11.5.4 數據庫加密系統(tǒng) 262
11.5.5 數據庫脫敏系統(tǒng) 264
11.5.6 數據備份和恢復工具 267
11.5.7 數據銷毀工具 269
11.5.8 數據庫審計系統(tǒng) 271
11.5.9 數據庫防火墻系統(tǒng) 273
11.5.10 DLP系統(tǒng) 274
11.5.11 數據安全風險評估系統(tǒng) 277
11.5.12 IAM系統(tǒng) 279
11.5.13 公鑰基礎設施 281
11.5.14 SIEM系統(tǒng) 283
11.5.15 EDR 285
11.6 安全技術悖論 286
第十二章 數據安全運營體系
12.1 基于風險的運營體系 288
12.1.1 安全運營與安全運維的區(qū)別 288
12.1.2 數據安全運營的作用 289
12.2 數據安全運營總體思路 289
12.2.1 PDCA循環(huán)的概念 289
12.2.2 基于PDCA循環(huán)的運營思路 290
12.2.3 基于風險的數據安全運營 291
12.3 數據安全運營框架 293
12.3.1 概述IPDRR框架 293
12.3.2 數據安全運營框架 293
12.4 實施安全威脅與事件監(jiān)測 298
12.4.1 數據安全威脅類型 298
12.4.2 數據安全事件分類 298
12.4.3 監(jiān)測事件和威脅的方法 299
12.4.4 部署監(jiān)測工具 300
12.4.5 實時監(jiān)測與日志分析 302
12.4.6 威脅情報搜集與分析 303
12.5 實施安全事件應急響應 305
12.5.1 制訂應急響應計劃 305
12.5.2 組建應急響應團隊 306
12.5.3 識別��、報告與分析 306
12.5.4 遏制�����、根除與恢復 308
12.5.5 總結與改進 311
12.6 實施數據安全檢查 313
12.6.1 制訂檢查計劃 313
12.6.2 檢查方法 314
12.6.3 處置發(fā)現的問題 315
12.7 實施數據安全報告和溝通 316
12.7.1 定期報告機制 316
12.7.2 報告內容框架 318
12.7.3 報告編寫規(guī)范 319
12.7.4 報告審核與審批 320
12.7.5 報告存檔與追溯 322
12.7.6 內部溝通與協作機制 323
12.7.7 外部溝通與信息披露 324
12.8 實施供應鏈數據安全管理 325
12.8.1 供應鏈數據安全風險評估 325
12.8.2 合作伙伴數據安全要求 327
12.8.3 數據共享與交換安全 327
12.8.4 供應鏈數據安全監(jiān)控 328
12.8.5 供應鏈安全協同 329
12.9 實施數據備份與恢復 329
12.9.1 數據備份策略 330
12.9.2 數據恢復流程 333
12.10 實施數據安全教育和培訓 335
12.10.1 數據安全意識培養(yǎng) 335
12.10.2 數據安全技能培訓 336
12.10.3 專項培訓與認證 337
12.10.4 培訓效果評估與改進 337
12.10.5 持續(xù)教育與更新 338
第十三章 治理成效評估和持續(xù)改進
13.1 概述數據安全治理成效評估 339
13.1.1 評估目的與意義 339
13.1.2 評估的基本原則 340
13.1.3 常用評估方法 341
13.1.4 評估流程 342
13.2 評估準備工作 342
13.2.1 組建評估團隊 342
13.2.2 確定評估的目標�、范圍與指標 343
13.3 文檔和信息收集 344
13.3.1 收集相關文檔和記錄 344
13.3.2 回顧歷史安全事件 345
13.4 現場評估與訪談 345
13.4.1 關鍵部門和人員訪談 346
13.4.2 實際操作觀察 346
13.4.3 記錄問題和建議 347
13.5 評估治理的有效性 348
13.5.1 評估治理框架和策略 348
13.5.2 評估組織結構和職責 348
13.5.3 評估風險管理和合規(guī) 349
13.5.4 評估數據分類分級 350
13.5.5 評估管理制度 351
13.5.6 評估技術保護措施 351
13.5.7 評估數據安全運營 352
13.5.8 評估人員培訓和意識水平 353
13.6 發(fā)現和解決存在的問題 353
13.6.1 問題識別和分類 353
13.6.2 問題優(yōu)先級排序 354
13.6.3 制定解決方案 354
13.6.4 實施問題解決方案 355
13.7 持續(xù)改進計劃 356
13.7.1 改進計劃制訂 356
13.7.2 實施改進措施 356
13.7.3 效果驗證與跟蹤 357
13.7.4 持續(xù)學習與適應 358
13.7.5 新一輪評估準備 358
13.8 編寫成效評估報告 359
第十四章 場景化數據安全治理策略
14.1 場景化數據安全治理的意義 361
14.2 個人敏感數據處理場景 362
14.3 政府和公共數據處理場景 364
14.4 數據共享和交易場景 366
14.5 內部共享和集成場景 369
14.6 供應鏈場景 371
14.7 云計算場景 374
14.8 遠程辦公場景 376
14.9 物聯網場景 379
14.10 大數據處理場景 381
14.11 人工智能和機器學習場景 384
14.12 跨境傳輸和存儲場景 386
14.13 區(qū)塊鏈場景 389
第十五章 行業(yè)案例分析
15.1 電信行業(yè)數據安全治理背景 392
15.1.1 行業(yè)背景 392
15.1.2 面臨的挑戰(zhàn) 392
15.1.3 數據安全治理需求示例 394
15.2 電信運營商案例分析 395
15.3 金融行業(yè)數據安全治理背景 396
15.3.1 行業(yè)背景 396
15.3.2 面臨的挑戰(zhàn) 396
15.3.3 數據安全治理需求示例 397
15.4 證券公司案例分析 398
第十六章 趨勢與發(fā)展
16.1 新形勢下的數據安全治理 399
16.1.1 數據安全治理現狀與挑戰(zhàn) 399
16.1.2 組織面臨的數據安全治理新問題 401
16.2 技術革新與數據安全治理 403
16.2.1 創(chuàng)新技術在數據安全中的應用 403
16.2.2 新興技術領域的數據安全挑戰(zhàn) 405
16.3 業(yè)務發(fā)展與數據安全 406
16.3.1 數據安全與組織發(fā)展策略 406
16.3.2 數據安全與商業(yè)實踐的平衡 408
16.4 長期挑戰(zhàn)和創(chuàng)新方向 410
16.4.1 長期發(fā)展中的挑戰(zhàn)與應對 410
16.4.2 數據安全治理的創(chuàng)新方向 411
術語解釋 413
參考文獻 419
致謝 420
附錄 421
