数据治理之数据安全

2022-11-13 13:15:38 浏览数 (2)

目录

一、什么是数据安全?

二、数据安全管理方法

1.数据分类

2.数据分级

3.加密脱敏 


一、什么是数据安全?

数据安全指的是用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护等过程。

二、数据安全管理方法

主要分为数据分类、数据分级、数据脱敏三个关键步骤来管理。

1.数据分类

数据分类就是把相同属性或特征的数据归集在一起,形成不同的类别,方便人们通过类别来对数据进行的查询、识别、管理、保护和使用。数据分类更多是从业务角度或数据管理的角度出发的,例如:行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等,根据这些维度,将具有相同属性或特征的数据按照一定的原则和方法进行归类。

分类依据:

  • 关键性:数据对于企业日常运营和业务的重要程度?
  • 可用性:企业能够及时获取和访问所需数据吗,所访问的数据是否可靠?
  • 敏感性:如果数据被泄露,对业务的潜在影响是什么?
  • 完整性:数据在存储或传输过程中有丢失或被篡改的情况吗,对业务的影响有多大?
  • 合规性:按照法规、公司制度、监管要求或行业标准数据需要存档或保留多长时间?

2.数据分级

数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义。数据分级更多是从安全合规性要求、数据保护要求的角度出发的,本质上就是数据敏感维度的数据分类。 

按敏感程度划分(仅供参考)

级别

敏感程度

判断标准

1级

公开数据

可以免费获得和访问的信息,没有任何限制或不利后果,例如营销材料、联系信息、客户服务合同和价目表

2级

内部数据

安全要求较低但不打算公开的数据,例如客户数据、销售手册和组织结构图。

3级

秘密数据

敏感数据,如果泄露可能会对运营产生负面影响,包括损害公司、其客户、合作伙伴或员工。例如包括供应商信息、客户信息、合同信息、员工信息和薪水信息等。

4级

机密数据

高度敏感的公司数据,如果泄露可能会使组织面临财务、法律、监管和声誉风险。例如包括客户身份信息、个人身份和信用卡信息。

按受影响的程度划分(仅供参考)

级别

影响程度

判断标准

1级

无影响

数据被破坏后,对企业或个人均没有影响

2级

轻微影响

数据被破坏后,对企业或个人有影响,但影响范围不大,遭受的损失可控

3级

重要影响

数据被破坏后,企业或个人遭到重要商业、经济、名誉上的影响

4级

严重影响

数据被破坏后,不仅对企业和个人遭受影响,甚至还对国家安全带来影响或风险

3.加密脱敏 

对于像身份证、手机号、用户家庭住址、籍贯等个人隐私敏感数据以及财务等企业敏感数据,必须要做好相应的脱敏处理,才能最大限度的保证数据不被泄露。

当前主要的数据脱敏手段有:

掩码部分/全遮盖:用指定字符(比如,*****)替换敏感数据的全部或者部分

静态加密算法加密:通过MD5、hash或者自研算法加密,可以进行加盐,直接存储一份加密后的数据用于查询

动态加密算法加密:通过MD5、hash或者自研算法加密,可以进行加盐,在用户查询时对于敏感字段动态加密

ps:数据分级分类标准可以参考国家公开发布的分级分类标准(金融数据安全分级指南等),再结合公司内部业务现状综合确定。

0 人点赞