B站影视

首页 > 资讯信息 >

深度剖析数据生命周期:从收集起始至销毁的全程管理秘籍

B站影视 2024-12-18 22:01 1

摘要:在当今数字化时代,数据已成为企业最为宝贵的资产之一。数据的生命周期管理犹如一场精心编排的旅程,从数据诞生直至最终消逝,每一个环节都至关重要,且需要慎之又慎。

在当今数字化时代,数据已成为企业最为宝贵的资产之一。数据的生命周期管理犹如一场精心编排的旅程,从数据诞生直至最终消逝,每一个环节都至关重要,且需要慎之又慎。

不同行业、不同领域对于数据生命周期的叫法与内容存在差异。例如,在金融行业有其特定的标准 —— 生命周期安全规范,如下图:

而在国家层面,GB/T 37988 - 2019 数据安全能力成熟度模型以及国家的数据安全法也对数据生命周期管理有着相关规定与指引。

国际上,像 ISACA 等组织也给出了其定义的数据生命周期管理模式:

接下里我们按照以下数据生命周期模型给大家展开讲一讲:

1.收集:生成或聚合数据
• 数据收集是数据生命周期的起点,即生成或聚合数据。在此环节,指导方针清晰明确:若无明确的使用目的,切勿收集和存储数据。这是众多隐私法规限制数据收集的核心依据。在实际操作中,企业或组织需要精准确定数据收集的范围与用途,避免盲目收集无用数据,从而减少数据管理成本与潜在风险。

2.存储:数据保存到存储系统或存储库中
• 数据存储是将数据保存到存储系统或存储库中。一个简单且有效的原则是321 原则:核心数据应准备 3 份 COPY,分别备份在 2 种不同的介质上,并且至少有 1份数据要进行异地保存。遵循此原则能极大提高数据的安全性与可靠性,有效应对诸如硬件故障、自然灾害等意外情况,确保数据不会因单一事件而丢失。

3.使用:用户或系统出于其预期目的对数据进行处理和/或分析

•使用环节是用户或系统依据其预期目的对数据进行处理和 /
或分析。这一过程中,职责分离是关键。通过合理划分不同人员或系统在数据使用过程中的权限与职责,能够有效防止数据被滥用、篡改或泄露,保障数据使用的合规性与安全性,使数据能在合法合规的框架内充分发挥其价值。

4.共享:数据与授权的外部用户和系统共享

•数据共享是指数据与授权的外部用户和系统进行共享。在此过程中,必须关注上下游是否存在数据处理规范。若缺乏规范,可能会给企业带来诸如数据泄露、数据滥用等严重损失,影响企业声誉与业务发展。因此,建立健全的数据共享规范与流程,明确共享对象、共享范围与共享目的等是必不可少的。

5.保留:数据保留(例如存档)预定的时间段

•数据保留是将数据在预定的时间段内进行保留(例如存档)。保留时间主要分为两种情况:一是依据法律法规规定,某些数据因法律要求必须在特定时长内予以保留;二是取决于组织的业务要求,部分数据可能因业务需要在一定时间内留存以供查询、审计或其他业务目的使用。

6.销毁:数据被删除并从存储中永久删除,使其无法访问和使用

• 当数据不再具有价值时,便进入销毁环节,即数据被删除并从存储中永久删除,使其无法访问和使用。这一环节可有效释放存储空间,降低数据管理成本,同时也避免了因数据留存过久可能带来的安全风险。

在整个数据生命周期中,以下2个关键要点:

一、数据的识别和分类

• 数据安全生命周期管理是指数据保护始于数据被首次创建时,一直持续到该数据被销毁时。

• 实现生命周期保护的第一步是对信息和资产进行识别和分类。组织常将分类定义纳人安全策略中。然后,人员根据安全策略要求适当地标记资产。

• 这里所述的资产包括敏感数据、用于处理它们的硬件和用于保存它们的介质。

二、定义敏感数据

• 敏感数据它包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。

• 个人身份信息

(Persomaiy identifiable information,PII)是任何可以识别个人的信息。NISTSP 800-122提供了如下更正式的定义:PII是由机构保存的关于个人的任何信息,包括:

▶任何可用于识别或追踪个人身份的信息,如姓名、社会保险账号、出生日期、出生地点、生物识别记录。

▶与个人有联系或可联系的其他信息,如医疗、教育、金融和就业信息。

• 最重要的是,组织有责任保护PII,包括与员工和客户相关的PII。许多法律要求,当数据泄露导致P丢失时,组织要通知个人。

• 受保护的健康信息

(Protected Health Information, PHl)是与特定个人有关的任何健康信息。健康信息指以口头、媒介或任何形式记录的任何信息。

▶这些信息由如下结构设立或接收:卫生保健提供者、健康计划部门、卫生行政部门.雇主、人寿保险公司、学校或卫生保健信息交换所。

▶涉及任何个人的如下信息:过去、现在或将来在身体方面、精神方面的健康状况,向个人提供的健康保健条款;过去、现在或将来为个人提供医疗保健而支付的费用。

专有数据

指任何有助于组织保持竞争优势的数据,它可以是开发的软件代码、产品的技术计划内部流程、知识产权或商业秘密。如果竞争对手获取到专有数据,将严重影响组织的主要任务。

总之,数据的生命周期管理是一个系统而复杂的工程,每个环节都需要重视。对于那些致力于深入研究信息安全并提升自身职业竞争力的人士来说,CISSP(国际信息系统安全专家)认证是一个极具价值的选择。CISSP认证涵盖了广泛的信息安全知识领域,包括安全与风险管理、资产安全、安全工程等多个重要板块,这些内容与数据生命周期管理的各个环节紧密相关。通过考取CISSP认证,不仅能够系统地学习数据安全的前沿理论与最佳实践,还能向行业展示个人在信息安全领域的专业素养和能力水平,为个人在数据安全领域的职业发展开辟广阔的道路,无论是从事数据安全管理、信息系统审计还是安全架构设计等工作,CISSP 认证都将成为强有力的助力,帮助您在国际信息系统安全专家的道路上迈出坚实的步伐,赢得更多的职业机遇与尊重。

CISSP 在艾威长期有开课,欢迎评论区留言或者私信咨询!!

来源:阿晶科技时代

标签: 秘籍 生命 cissp
免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
相关推荐