數據安全生命周期主要包括 數據采集、數據傳輸、數據存儲、數據共享、數據使用、數據銷毀等階段

數據存儲

數據存儲是指數據以某種格式記錄在計算機內部或外部存儲介質上。數據存儲安全是數據中心安全和組織安全的一部分，同時數據完整性、保密性和可用性三個方面都有涉及。

為了能夠合保證數據的安全性，要對數據存儲介質的安全做好管理建設，相關要求如下：

明確組織機構對數據存儲介質進行訪問和使用的場景，建立存儲介質安全管理規定/規范，明確存儲介質和分類的定義，常見存儲介質為磁帶、磁盤、光盤、內存等，依據數據分類分級內容確定數據存儲介質的要求。
明確存儲介質的采購和和審批要求，建立可信任的渠道，保證存儲介質的可靠。
對存儲介質進行標記，如分類（可按照類型、材質等分類）、標簽（對存儲介質進行打標簽處理，明確存儲數據的內容、歸屬、大小、存儲期限、保密程度等）。
明確介質的存放環境管理要求，主要包括存儲的區域位置、防塵、防潮、防靜電、防盜、分類標識、出入庫登記等內容。
明確存儲介質的使用規范，包括申請單、登記表等一系列訪問控制要求及數據清理（永久刪除、暫時刪除等）和銷毀報廢（銷毀方式、銷毀記錄）要求。
明確存儲介質測試和維修規范，包括測試存儲硬件的性能、可靠性和容量等以及如何返廠、操作人、時間和場地等內容。
明確常規和隨機審查要求，定期對存儲介質進行檢查，以防信息丟失。

針對數據存儲介質管控要做到符合安全要求，同時要對數據下載做好的嚴格的審核和日志記錄，相關要求如下：

明確數據安全管理的崗位和人員，負責明確整體的數據存儲系統安全管理要求，并推進相關要求的落地實施。
明確各類數據存儲系統的賬號管理、認證鑒權、權限管理、日志管理、加密管理、版本升級等安全要求。 對數據存儲系統的日志記錄進行采集和分析，識別賬號和訪問權限，監測數據使用規范性和合理性，同時可對發生的安全事件進行分析和溯源。

備份和恢復是為了提高信息系統的高可用行和災難可恢復性，在數據庫系統崩潰的時候，沒有數據庫備份就沒法找到數據，保證數據可用性是數據安全的基礎。相關要求如下：

建立數據備份與恢復的策略和管理制度，以保證數據服務的可靠性和可用性。
建立數據備份與恢復的操作規程，明確定義數據備份和恢復的范圍、頻率、工具、過程、日志記錄規范、數據保存時長等。
明確數據備份和恢復的定期檢查和更新工作要求，如數據副本的更新頻率、保存期限等，確保數據副本或備份數據的有效性等。
建立備份數據的壓縮、完整性校驗和加密策略要求，確保備份數據存儲空間的有效利用和安全訪問。
識別組織適用的國內外法律法規要求，結合自身業務需求，確保按照法律規定和監管部門要求對相關數據予以記錄和保存及滿足備份保存周期要求。
建立統一的、自動化執行的備份和恢復工具。
對備份數據采取安全管理數據手段，包括但不限于對備份數據的訪問控制、壓縮或加密管理、完整性和可用性管理

數據使用

數據使用是指對數據進行操作、加工、分析等過程，此階段對數據接觸的最深入，所以安全風險也比較大。因此要降低該階段的安全風險

從數據脫敏、數據分析安全等方面著手，相關要求如下:

應結合數據分類分級表對敏感數據進行識別和定義，明確需要脫敏的數據信息，一般包括個人信息數據、組織敏感信息、國家重要數據（非涉密信息）等。
應定義不同等級的敏感數據的脫敏處理場景、流程、方法和涉及的部門及人員分工，根據數據使用者的職責、權限及業務范圍采取不同的數據脫敏方式，如對開發人員使用的數據，可采用擾亂技術在脫敏后保留數據屬性特征等；對投屏展示用的數據，可以選擇掩碼方式隱藏敏感的信息。
應配置統一的數據脫敏工具，提供靜態脫敏和基于場景需求的自定義脫敏規則的動態脫敏功能，滿足不同業務需求。 應在數據脫敏的各階段加入安全審計機制，對數據脫敏過程的操作行為進行記錄，用于后續問題排查分析和安全事件取證溯源。
應明確哪些人員可以使用數據分析工具，開展哪些分析業務，限制數據分析工具的使用范圍，根據最少夠用原則，允許其獲取完成業務所需的最少數據集。
應制定數據分析結果審核機制，采取必要的技術手段和管控措施，保證分析結果不泄露敏感信息。如規定數據分析的結果需經過二次評估后才允許導出，重點評估分析結果是否與使用者所申報的使用范圍一致。
應明確規定數據分析者不能將分析結果數據用于授權范圍外的其他業務。
應對分析算法的變更重新進行風險評估，以確保算法的變更不會導致敏感信息和個人隱私的泄露

使用用戶數據做分析時，應該是消除具體的用戶身份特，并且數據使用范圍應該是已經在用戶征求范圍內，相關要求如下：

應建立組織的數據權限授權管理制度，明確授權審批的整個流程以及關鍵節點的人員職責。
基于國家相關的法律法規（《網絡安全法》、《個人信息保護法》等）要求及組織數據分類分級標準和處置方式等，對數據使用進行嚴格規范管理。如，當使用個人信息時，必須征得個人信息主體的明示同意。
數據授權過程應遵循最少夠用原則，即給與使用者完成業務處理活動的最小數據集。
應定期審核當前的數據資源訪問權限是否合理。如，當人員崗位調動或者數據密級變更后是否對訪問權限及時進行了調整，避免數據不正當使用。
應建立數據使用的違規處罰制度和懲罰措施，對個人信息、重要數據的違規使用等行為進行處罰，強調數據使用者安全責任。
應配置成熟的數據權限管理平臺，限定使用者可訪問的數據范圍。
應配置成熟的數據使用日志記錄或審計產品，對數據使用操作進行記錄審計以備責任識別和追責

參考文檔

信通院 2020人工智能醫療產業發展藍皮書

總結

以上是生活随笔為你收集整理的数据安全生命周期管理介绍(二)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。