导图社区 数据安全合规方案
数据安全合规方案的思维导图,在中国,安全合规是态度、管理和技术的融合,核心思路:控制(将个人信息和敏感数据保存在内部网络和系统)。
这一篇关于管理事件影响,调整认知模式的思维导图。该思维导图比较系统全面地归纳总结了关于这一部分的知识点。
社区模板帮助中心,点此进入>>
论语孔子简单思维导图
《傅雷家书》思维导图
《童年》读书笔记
《茶馆》思维导图
《朝花夕拾》篇目思维导图
《昆虫记》思维导图
《安徒生童话》思维导图
《鲁滨逊漂流记》读书笔记
《这样读书就够了》读书笔记
妈妈必读:一张0-1岁孩子认知发展的精确时间表
数据安全加固方案
目标:合法合规
在中国,安全合规是态度、管理和技术的融合
合规风险
敏感信息泄露
经验值:50以上
核心思路
大量个人信息泄露
大量:500以上
5000以上为严重
互联网入侵风险
网络安全层面
防火墙、华为云
系统漏洞入侵
主机安全
web入侵风险
waf
定期渗透测试(建议安全大厂)
互联网资产定期梳理
安全厂商
开源灯塔系统
APP风险
APP合并
合规报备
加壳
内部数据泄漏风险
建立安全制度体系
开发、运维、安全
终端安全防护
防病毒
行为分析
准生产环境数据安全
同生产环境--核心思路
测试环境数据
数据批量脱敏
加强和细化鉴权矩阵
内部零信任
DLP
核心思路:控制
控制:将个人信息和敏感数据保存在内部网络和系统
必须对外部提供的
强鉴权;双向证书认证签名
有条件的B端,敏感数据加密:如,可控的三方
C端:禁止大量、全量数据导出权限(红线),使用同一流程或者平台进行控制
内部控制:防止大量、全量个人信息数据导出
大量数据导出权限控制
梳理和分析大量个人信息数据下载必要性
建立数据提取流程-统一定向提供
实施方法
全链路传输加密
https
敏感数据加密存储
保证敏感数据的安全性
去标识化
前端个人和敏感数据脱敏
终端数据防泄漏(内部)
梳理和加强系统入口(api或其他三方)鉴权排查和持续监控
数据安全意识培训
2.数据安全风险评估
自评估
第三方评估
1.数据分类
个人信息
个人敏感信息
银行账号
身份证号
交易消费记录
流水记录
口令
个人位置信息???司机?征得同意?
姓名
住址
电话
设备唯一识别码
公共数据
法人(经营)数据
数据分级
四级
个人(客户)权益
严重损害
公司权益
三级
一般损害
二级
轻微损害
一级
无损害
