数据安全治理

治理和管理的区别,治理倾向法治,管理倾向人治。治理是董事会决策,形成全企业需要遵循的战略政策,包括管理。 

SDL及其检查点,

一是需求阶段,纳入安全需求。

二是方案阶段,进行方案自检、方案评审。

三是开发阶段,安全自检、代码审计。

四是测试阶段,安全扫描、安全测试。

五是运行阶段,安全配置与验收、安全防御、安全检测与应急响应。  

数据安全架构设计规范:

一是产品架构,至少具备接口层、业务逻辑层、数据访问层。

二是身份认证与敏感业务超时管理,实现SSO超时管理主要通过在接入网关上设置超时参数实现。

三是最小授权,首选是在应用内建立授权模块,实现精细化授权。

四是访问控制,执行以身份为中心的访问控制。

五是审计,保证操作日志的完整可用。

六是资产保护,包括存储和传输等。

七是部署架构,尽量使用应用网关,避免各应用直接对外提供服务。

posted @ 2024-02-21 21:58  dretrtg  阅读(14)  评论(0)    收藏  举报