ACCPER数据安全能力框架（26页）.pdf

1、?演讲人：汪亚军组织：云 智 信 安ACCPER数据安全能力框架?数据安全法正 式 颁 布2021年9月1日起施行?法 律 责 任开 展 数 据 处 理 活 动 的 组 织、个 人 不 履 行 本 法 第 二 十 七条、第 二 十 九 条、第 三 十 条 规 定 的 数 据 安 全 保 护 义 务的，由 有 关 主 管 部 门 责 令 改 正，给 予 警 告，可 以 并 处五 万 元 以 上 五 十 万 元 以 下 罚 款，对 直 接 负 责 的 主 管 人员 和 其 他 直 接 责 任 人 员 可 以 处 一 万 元 以 上 十 万 元 以 下罚 款；拒 不 改 正 或 者 造 成 大 量

2、数 据 泄 露 等 严 重 后 果 的，处 五十 万 元 以 上 二 百 万 元 以 下 罚 款，并 可 以 责 令 暂 停 相 关业 务、停 业 整 顿、吊 销 相 关 业 务 许 可 证 或 者 吊 销 营 业执 照，对 直 接 负 责 的 主 管 人 员 和 其 他 直 接 责 任 人 员 处五 万 元 以 上 二 十 万 元 以 下 罚 款?数据安全保护义务第二十七条开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，

3、履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。第二十九条开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。?数据安全保护如何做？网 络 安 全 数 据 安 全应当在网络安全等级保护制度的基础上实施数据安全保护?数 据

4、 在 哪数据有无流动？有无暗资产？是文件服务器还是数据库？是生产库还是测试库？数据有无备份？是云平台还是大数据平台？?数 据 是 啥是否可以共享开放？Data securitySMZG数据的具体内容是啥？是否包含个人敏感信息？是否是重要数据？?谁 能 访 问谁在访问数据？是应用还是终端？谁能访问数据？是业务人员还是管理、运维人员？访问行为有无审计？是否有越权访问？是否访问敏感数据？?有 无 防 护对重要数据是否加密？对重要业务应用数据是否有防护？运行环境时候安全？数据共享是否有脱敏？防护加密脱敏安全?风 险 在 哪对整体的态势进行预判？是否开展风险监测？有无风险事件发生？是否有风险评估机制？是

5、否对发现的风险进行通告预警等？?如 何 处 置u发 生 问 题 怎 么 办？u有 无 应 急 方 案？u能 否 实 时 封 堵？u能 否 追 踪 溯 源？u如 何 落 实 责 任？u如 何 防 范 下 次 不 再 发 生？?ACCPER数据安全能力框架横 空 出 世?ACCPER数据安全能力框架全 面 梳 理Assort联 动 响 应Respond分 级 分 类Classify深 度 管 控Control安 全 防 护ProtectACC P E R 数 据 安 全 能 力 框 架 是 以 中 华 人 民 共 和 国 数 据 安 全 法 为 依 据，结 合 D C A P、数 据 流 动风 险

6、、数 据 全 生 命 周 期 安 全 管 理 等 安 全 模 型 形 成 的 一 套 数 据 安 全 治 理 和 保 护 的 整 体 框 架。框 架 由“A 梳 理-C 分 级 分 类-C 管 控-P 防 护-E 预 警-R 响 应”6 个 环 节 组 成，解 决 了“数 据 在 哪-数 据 是 啥-谁 能 访 问-有 无 防 护-风 险 在 哪-如 何 处 置”的 问 题，形 成 了 数 据 安 全 能 力 的 闭 环。风 险 预 警Exaine612345?全 面 梳 理数据资产地图数据发现资产识别账户权限弱口