数据安全,是指通过采取必要措施确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。数据安全应保证数据生产、存储、传输、访问、使用、销毁、公开等全过程的安全,并保证数据处理过程的保密性、完整性、可用性。此外,还应当异构处理公开数据的关联关系,例如个人姓名、联系方式、车辆登记、社交媒体等。这些虽然都是非实体隐含数据,但往往涉及个人隐私,甚至可能造成实时定位等公共安全问题。
对于企业来说,做好内部数据安全管理工作,可以保障企业自身和客户的利益,消除重大风险隐患,对数据进行数据安全定级,可以明确权责。
在数据安全治理的实际操作中,只有对数据进行有效分类,才能避免一刀切的控制方式,也才能对数据的安全管理采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。
一、为什么要分级分类?
数据分类为信息安全管理提供了基础和指导。贯穿整个数据生命周期,它可以帮助企业制定正确的安全策略,采取有效的数据保护措施,不断提高数据安全水平,实现治理全面合规。数据安全体系建设离不开数据分类这一基石。主要体现在以下几个方面:
1、指导数据安全策略制定。根据不同级别的数据分类,可以制定针对性的安全策略和措施。高风险数据要实施更加严格的访问控制、加密存储、数据备份等,低风险数据的安全策略相对简单一些。
2、优化资源分配。基于数据的风险等级分配相应的资源进行保护,如给高风险数据分配更多的存储空间或更高性能的服务器等。避免因分级不清导致资源浪费或分配不当。
3、引导用户的数据安全意识。通过公布数据分类分级政策,可以引导用户理解不同数据的敏感度和重要性,提高用户的数据安全意识,从而主动采取相应措施以保护数据安全。
4、支持数据生命周期管理。数据分类可以指导各级别数据的创建、使用、共享、归档和销毁等管理工作。如高风险数据应定期审计和更新,低风险数据可以定期归档或清理。
5、评估数据安全合规性。通过数据安全分类可以衡量目前的数据保护状况是否满足各类数据的安全需求,评估安全策略和措施是否到位,确保达到行业标准和法规的合规要求。
6、指导事件响应处置。数据泄露或丢失事件发生时,可以根据数据分类分级信息,正确评估风险,采取针对性的响应措施。高风险数据事件要优先处理,并上报管理层,低风险数据事件按一般程度处理。
二、数据分级分类的标准
数据分级:主要是对数据在遭到破坏时可能出现的后果预估,分析数据对公众造成的危害程度,然后对公众数据进行定级,制定相关安全保护措施,让不同级别的数据都能够得到安全保护,数据在进行分级的时候可以根据数据的重要性进行划分,将数据按照对公众的危害程度由高到低进行划分。
例如,等级保护建设服务可以为政府部门、教育和医疗提供多种等级保护,同时还提供数据保护咨询,对各种等级的数据进行安全评估,分析可能出现的风险,对数据安全进行整改,同时定期开展检查。
数据分类原则:
合法合规性原则、时效性原则、自主性原则、可执行性原则、差异性原则、客观性原则。
三、数据安全证书推荐
数据安全治理过程的推广和应用,专业人才是关键。加快培养符合各类组织机构信息安全建设需求的专业人才是应用数据安全治理理念系统化解决数据安全问题的重点。
中国信息安全测评中心主导的CISP-DSG注册数据安全治理专业人员技能水平注册考试,锻炼考生通过数据安全治理过程,帮助各类组织机构解决数据安全顶层设计及管理体系建设的问题,从而促进国家企事业单位信息安全管理能力提升,提高我国信息安全产业的整体实力和在国际市场的竞争力。
CISP-DSG是针对数据安全人才的培养认证,证书持有人员主要从事数据安全治理相关工作,具有数据安全治理过程管理、数据安全技术体系设计、数据安全管理体系设计的基本知识和能力。
1、适考人群
①企业信息安全负责人、大数据部门信息安全管理人员、数据管理人员、安全监管人员;
②数据安全部门工作人员、数据信息使用者;
③数据风险管理人员、技术支持及运维人员等。
2、报考须知
CISP-DSG报考无学历和工作经验要求。
3、考试须知
共有3次考试机会,题型为100道单选题,每题1分,总分100分,70分及以上视为通过。
考试地点同CISP一样,各直辖市及省会城市均有考点,具体可咨询中培伟业老师。
4、近期开班
培训课程 | 培训地点 | 培训时间 |
CISP-DSG国家注册数据安全治理专业人员(面授+直播) | 成都 | 2023年5月21-25日 |
北京 | 2023年10月17-21日 |
中培伟业是中国信息安全评测中心授权的培训机构,提供CISP-DSG报名、培训等服务。中培伟业17年IT培训经验,产品打磨更细致,精品小班课程,老师讲解更细致,针对性辅导更多,累计为18家世界500强企业提供IT培训服务,掌握主流IT技术方向。选择中培伟业,助你拿下CISP-DSG。
点击了解相关课程——国家注册数据安全治理专业人员CISP-DSG认证