0


Microsoft 的数据安全治理框架(DGPC)详细解读

1.实现目标

摒弃组织内不同部门独立解决的问题解决方式,以统一、跨学科的方式实现以下三个目标:

1)传统IT安全方法侧重于IT基础设施,关注边界安全和终端安全。应在传统IT安全方法的基础上,加强对存储数据的保护。

2)在原有安全会涉及到隐私保护措施基础上,强调隐私相关的保护措施,包括获取、保护和执行用户对信息的收集、处理或第三方共享的行为措施。

3)统一数据安全和数据隐私合规的控制目标和控制行为,合理化处理两者的关系。

2.框架概述

提出时间:2010年

提出方:微软

中英文解释:DGPC(Data Governance for Privacy, Confidentiality and Compliance)隐私、保密和合规性的数据治理框架

3.框架解释

3.1 与Gartner DSG的区别和联系

Gartner DSG数据安全治理 架构及解读_谷雨之际的博客-CSDN博客_数据安全顶层治理架构

1)区别:Gartner DSG 以数据安全治理为目标,制订分层级、分步骤的流程化思想,强调安全和风险管理;DGPC以数据隐私合规为目标,围绕人员、流程和技术三个部分展开,强调隐私保护。

2)联系:数据安全保护措施与隐私保护措施有重叠,两者都关注团队的建立和技术保护措施的落地;两者都为数据安全治理提供了指导思想,实际落地时可以根据需要两者结合。

3.2详细解释

1)人员

建立一个由组织内的个人组成的DGPC团队,团队中的每个人承担明确的角色和职责,同时要为团队中的人提供足够的资源。

该团队可以是一个虚拟组织,团队中的成员需要完成行为原则、政策和流程的定义,安全策略的配置和数据管理的监督等工作。

2)流程

团队组建完成后,接下来需要定义流程。首先通过查阅组织需要满足的法律法规、标准政策、公司发展战略,充分了解组织在数据安全治理和隐私保护方面需要满足的要求;其次,制定专门用于数据隐私保护的原则和要求;之后,梳理数据流向,探查数据安全、隐私合规的风险,分析风险并采取适当的控制措施。

3)技术

使用“风险/差距分析矩阵”表格的方式,分析特定数据流并识别存在于流程中的风险问题。该表格由三个要素组成:信息生命周期、四个技术领域以及组织的数据隐私和机密性原则,如下图所示:

  • 信息生命周期

     DGPC框架中将信息生命周期分为收集、更新、处理、删除、传递、存储六个阶段。
    
  信息生命周期可分为收集、使用、维护、存储、传递五个阶段,也可以按照数据生命周期的采集、传输、存储、处理、交换和销毁的方式来定义。无论采用什么方式定义信息生命周期,目的都是识别信息在系统中的流动过程,根据不同阶段的性质助于识别在不同阶段存在的安全风险,并按照阶段实施风险控制措施。
  • 四个技术领域

    四个技术领域组成一个参考框架,用于判断风险的可接受程度。
    
    **安全的基础架构:**技术基础架构是安全保护的底线,减少软硬件设备的内外部入侵危害。
    

    ** 身份和访问控制:**为保护个人信息免受未经授权的访问,需要建立认证机制、数据访问控制机制和用户账户管理机制,实现全流程跟踪管理用户访问过程。

    **信息保护:**数据存放于数据库、文档管理系统、文件服务器之中,并且在生命周期中流动,需要对数据分类分级,采用加密等多种手段持续保护。
    
    **审计和报告:**采用监控、自动化审计等方式验证数据访问控制的有效性,发现信息保护流程中的风险点,识别可疑或不合规行为。
    
  • ** 数据隐私和保密原则**

    在整个机密数据使用期限内遵守政策:按照适用的法规和条例处理所有数据,保护用户隐私并尊重用户的选择和意愿,允许用户在必要时审查和更正其信息。

    ** 减少数据滥用造成的数据机密性风险:**通过管理、技术和物理保障,加强访问授权限制,细粒度管控数据访问权限。

** 减少数据丢失造成的数据机密性风险:**分析数据泄露途径并制定对应计划,对重要数据采取加密措施,并对重要信息系统提供更严格的保护措施。

** 记录适用的控制措施并验证其有效性:**通过采取适当的监督、审计和控制措施验证用户行为的合规性,发现违规行为和信息泄露风险。


本文转载自: https://blog.csdn.net/lavend117/article/details/128445442
版权归原作者 谷雨之际 所有, 如有侵权,请联系我们删除。

“Microsoft 的数据安全治理框架(DGPC)详细解读”的评论:

还没有评论