郑太海：平安集团数据安全体系化治理与实践分享.pdf

1、平安集团数据安全体系化平安集团数据安全体系化治理与实践治理与实践平安科技安全团队平安科技安全团队 郑太海郑太海2023-0322 2目录目录数据安全面临的监管压力与内部治理问题数据安全面临的监管压力与内部治理问题一一平安集团数平安集团数据安全治理体系据安全治理体系二二数据安全解决方案典型案例数据安全解决方案典型案例三三33 31.1数数据安全治理面临越来越严格监管压力，内外部安全挑战加剧据安全治理面临越来越严格监管压力，内外部安全挑战加剧标 准部门规章法 律行政法规法 律行政法规部门规章信息安全技术 个人信息安全规范数据安全数据安全法法关键信息基础设施安全保护条例个人信息保护法个人信息保护法网

2、络数据安全管理条例（意见稿）数据出境安全评估办法常见类型移动互联网应用程序必要个人信息范围规定App违法违规收集使用个人信息行为认定方法部门规章网络安全法网络安全法法 律法 律民法总则国内监管趋严国内监管趋严内外部安全挑战内外部安全挑战内部管理要求缺失内部管理要求缺失员工违规处理操作员工违规处理操作越权访问 蓄意破坏操作疏忽 倒卖数据制度缺失导致无章可循一刀切导致资源浪费或风险敞口过大外部安全挑战外部安全挑战上游供应商提供数据违法违规合作方违反安全约定泄露数据外部攻击 黑产勾结法 律密码法行政法规网络安全审查办法2020201920172021202244 41.2有有什么不一样：体系化、可视

3、化、差异化的数据安全治理什么不一样：体系化、可视化、差异化的数据安全治理传统信息安全传统信息安全网络安全网络安全数据安全数据安全主要基于软、硬件以系统和技术保障信息CIA关关注防御、应急处置能注防御、应急处置能力力网络扫描、主机扫描、应用系统安全、终端安全等强调网络空间主权强调网络安全防护、网络服务不中断网络安全IDS/IPS、负载均衡、网络攻防等以数据为中心，强调数据全生命周期动态保护，数据安全治理体系化、规范体系化、规范化化数据成为第五大生产要素，要求数据资产可视化可视化数据要素的高效价值挖掘，依赖于数据的分类分级、分类分级、业务场景融合的差异化安业务场景融合的差异化安全保护全保护55 5

4、1.3面面临的问题临的问题：治：治理体系化、资产可视化、保护差异化的全面提升理体系化、资产可视化、保护差异化的全面提升治理体系化治理体系化 治理体系怎么建 管理水平如何评资产可视化资产可视化 我有什么数据 我的数据在哪 数据分类分级保护差异化保护差异化 差异化保护要求 数据处理场景复杂66 6目录目录数据安全面临的监管压力与内部治理问题数据安全面临的监管压力与内部治理问题一一平安集团数平安集团数据安全治理体系据安全治理体系二二数据安全解决方案典型案例数据安全解决方案典型案例三三77 72.1国国内外数据安全治理框架内外数据安全治理框架微软微软DGPC框架框架Gartner数据安数据安全全治治理

5、框架理框架DSG数数据安全能力成熟度模据安全能力成熟度模型型DSMM目标：隐私、机密性和合规性方法：基于威胁建模与风险评估关注：数据生命周期和核心技术人员领域人员领域流程领域流程领域技术领域技术领域对数据分类、保护、使用和管理过程中的原则、策略和流程步骤等进行定义战略层 战术层 操作层制度 策略 控制措施形成制度规范，定义指导原则与策略，识别风险并采取控制措施数据安全差距分析表分析与评估数据安全流程控制和技术控制存在的特定风险平衡业务与风险平衡业务与风险数据梳理与数据生命周期管理数据梳理与数据生命周期管理定义数据安全策略定义数据安全策略部署安全能力与产品部署安全能力与产品策略配置与同步策略配置

6、与同步1 12 23 34 45 5 经营策略、治理框架、合规要求、IT策略、风险偏好 数据识别、分类分级 数据生命周期安全风险识别 数据、人员、行为 制定针对性的安全策略 采用和部署多种安全工具以支撑数据安全策略的实施 保持策略一致性 及时同步一个工工具具：用来衡量企业数据安全整体水平、数据安全能力高低的一个评价工具。一个标杆标杆：采用分级的模式，明确企业当前的等级，指导企业如何向更高等级提升。一条主线主线：以提高能力成熟度为工作主线，围绕该主线开展组织人员建设、制度流程建设、技术工具引入、专项项目、监督检查、考核度量等工作。88 82.2数数据安全治理体系据安全治理体系数据安全治理体系数据