数据安全治理

治理和管理的区别，治理倾向法治，管理倾向人治。治理是董事会决策，形成全企业需要遵循的战略政策，包括管理。 

SDL及其检查点，

一是需求阶段，纳入安全需求。

二是方案阶段，进行方案自检、方案评审。

三是开发阶段，安全自检、代码审计。

四是测试阶段，安全扫描、安全测试。

五是运行阶段，安全配置与验收、安全防御、安全检测与应急响应。  

数据安全架构设计规范：

一是产品架构，至少具备接口层、业务逻辑层、数据访问层。

二是身份认证与敏感业务超时管理，实现SSO超时管理主要通过在接入网关上设置超时参数实现。

三是最小授权，首选是在应用内建立授权模块，实现精细化授权。

四是访问控制，执行以身份为中心的访问控制。

五是审计，保证操作日志的完整可用。

六是资产保护，包括存储和传输等。

七是部署架构，尽量使用应用网关，避免各应用直接对外提供服务。