数据安全-法规和框架

《中华人民共和国数据安全法》

《中华人民共和国网络安全法》

《个人信息和重要数据出境安全评估办法（征求意见稿）》

数据安全管理办法（征求意见稿）

《中华人民共和国个人信息保护法》

数据出境安全评估指南（草案）

国内

CFIUS（美国外资投资委员会）

CCPA是迄今为止美国最高的数据保护标准，旨在强有力的保障个人的个人数据，适用于收集、使用或共享消费者数据的企业，无论这些信息是在线还是离线获得，并使用NIST CIS框架为企业数据安全建设提出要求和指引

CCPA

对在线收集13岁以下儿童个人信息的行为。它详细介绍了网站运营商必须包括的隐私政策，何时以及如何获得父母或监护人同意，以及应尽的责任，运营商必须保护儿童的隐私和安全，包括限制向13岁以下的儿童销售。

COPPA

美国

国外

参考：炼石-国外数据安全政策研究报告

国内外汇总版

法律法规

数据安全风险枚举

dsmm架构

数据安全pa体系

技术工具

技术工具各阶段

框架图

dsmm评估流程

在实际应用中，应根据不同业务部门进行分组评估。首先，确定业务部门负责人，辅助评估过程的资源协调工作。然后，与业务部门负责人一同梳理基本的业务流程，结合PA（过程域），根据线上生产数据和线下离线数据两条线，确定各过程域（Process Area，简称PA）访谈部门和访谈对象，并根据评估工作的展开动态调整

数据安全能力成熟度等级评估流程

1.DSMM评估方法及流程

DSMM在组织的应用

2.DSMM的使用方法

子主题

dsmm标准要求

京东云数据安全保护体系

实践案例

中国-DSMM

Gartner ID 465140

Gartner-DSG

DGPC框架可与现有的IT管理和控制框架（如COBIT）、ISO/IEC 27001/27002信息安全管理体系规范、支付卡行业数据安全标准(PCI DSS)等安全规范和标准协同工作。DGPC框架围绕人员、流程和技术三个核心能力领域构建。

人员领域

流程领域

1.数据安全生命周期

(1)数据的基础架构

(2)身份和访问控制

(3)信息保护

(4)审计和报告

2.四个技术领域

以下4条原则旨在帮助组织选择能够保护其机密数据的技术和行为，以指导风险管理和决策的过程

原则1：在整个信息生命周期中遵守策略。这包括承诺按照适用的法规和条例处理所有数据，保护隐私数据、尊重客户的选择并得到客户同意，允许个人在必要时审查和更正其信息

原则2：将数据滥用风险降至最低。信息管理系统应提供合理的管理、技术和物理保障，以确保数据的机密性、完整性和可用性

原则3：将数据丢失的影响降至最低。信息保护系统应提供合理的保护措施，如加密数据以确保数据遗失或被盗后的机密性。制订适当的数据泄露应对计划，并规划升级路径，对所有可能参与违规处理的员工进行培训

原则4：展示数据保护策略和措施的有效性。为确保问责制度的实施，组织应遵守隐私保护和保密原则，并通过适当的监督、审计和控制措施来加以验证。此外，组织应该有一个报告违规行为的报告制度和明确定义的流程

3.数据隐私和保密原则

风险/差距分析矩阵模型

技术领域

框架

微软-DGPC

(1)敏感数据发现和分类

(2)实时监控数据访问行为

(4)数据访问权限设置、监控和控制

(3)特定敏感数据访问管控

(5)数据访问和风险事件审计报告

(6)单一监测和管理控制台

DCAP框架提供的六种支持能力

Gartner-DCAP

数据安全生命周期及相关团队整合

能力成熟度模型的结构

(1)获得高管支持

(2)梳理数据所有者（数据治理的一部分）

(3)制定风险所有者分担策略

(4)保证数据安全相关人员稳定性

(5)评估并实施数据安全平台

DAPMM落地实施的五项建议

IBM公司-DAPMM

1.数据发现

2.数据分类

定义数据、（定义数据可以更好的管控）

分解和分析数据、

1.访问控制

2.监控数据使用行为

3.删除不在需要的数据

4.混淆数据

防御风险和保护数据

Forrester-DSC

零信任2.0数据安全架构

1.以身份和数据构成的双中心原则

2.全面覆盖立体化防护原则

3.智能化、体系化原则

CAPE数据安全实践框架坚持三个原则

风险核查(C)

数据梳理(A)

数据保护(P)

监控预警(E)

CAPE数据安全实践框架

框架对比https://inews.gtimg.com/newsapp_bt/0/14891091437/1000

DSC框架的特点是，从技术的角度来剖析怎么实现数据安全管控，提出了梳理定义数据、分解分析数据、防御保护数据的三步骤框架

DCAP框架的特点是，它定义了一个完整的数据安全产品技术能力集所应该包含的六种能力，并且需要支持非结构化、半结构化和结构化数据、RDBMS、数据仓库、非结构化数据文件、半结构化大数据平台（如Hadoop）等

DAPMM强调数据安全方案不能是纯粹的产品和技术，而是一种结构化且可重复的方法，用于识别、保护数据，降低数据安全风险。这种方法需要协调人员、流程和技术。同时，DAPMM定义了相对应的数据安全能力成熟度模型，该模型为组织提供了实施落地的基础

DGPC框架与DAPMM有相似之处，主要围绕“人员、流程、技术”三个核心能力领域的具体控制要求展开，与现有安全框架体系或标准协调合作以实现治理目标。DGPC框架的特点是，以识别和管理与特定数据流相关的安全和隐私风险需要保护的信息，包括个人信息、知识产权、商业秘密和市场数据等

SMM则基于数据在组织业务场景中的生命周期，从组织建设、制度与流程、技术与工具、人员能力四个方面构建了数据安全过程的规范性、数据安全能力成熟度分级模型及评估方法。

不同框架 特点

数据安全治理框架

资料来源互联网和部分数据加以总结，如有侵权，请联系我删除修改。持续完善中，欢迎交流数据安全建设，工作忙不定期回复消息，望见谅

作者微信：datasecer

数据安全-法规和框架