和邻居寡妇做爰免费观看_日本特黄特色大片免费视频电影_国产视频h,百合宿舍肉h文,av不卡免费看,一级片一区二区三区

12月，全國金融標準化技術(shù)委員會就《金融數(shù)據(jù)安全 數(shù)據(jù)安全評估規(guī)范》（以下簡稱“此規(guī)范”）征求意見。規(guī)定了金融數(shù)據(jù)安全評估觸發(fā)條件、原則、參與方、內(nèi)容、流程及方法，明確了數(shù)據(jù)安全管理、數(shù)據(jù)安全保護、數(shù)據(jù)安全運維三個主要評估域及其安全評估主要內(nèi)容和方法。

本文希望通過對此規(guī)范的解讀讓復雜的問題抽象化，從抽象到具體、從具體到落地的角度逐步進行解讀，明確此規(guī)范的核心引擎是什么（即：評估流程、評估方法、評估內(nèi)容組成綜合考量）？評估單位主體應(yīng)如何駕馭此核心引擎？金融機構(gòu)又應(yīng)如何驅(qū)動此核心引擎？什么條件下需要啟動此核心引擎？安全廠商視角下又應(yīng)如何輔助金融機構(gòu)凌駕此核心引擎？

01、《規(guī)范》核心理念

此規(guī)范的內(nèi)容實際直接影響了兩類主體（即：評估單位主體、金融機構(gòu)主體），評估單位在對金融機構(gòu)開展數(shù)據(jù)安全評估時擁有了一個可靠的抓手，來持續(xù)對金融機構(gòu)開展數(shù)據(jù)安全評估；金融機構(gòu)在對自身數(shù)據(jù)安全能力建設(shè)時也同樣擁有了一個抓手，基于此規(guī)范來持續(xù)強化自身數(shù)據(jù)安全能力。本文所提到的核心引擎，由此規(guī)范中的評估流程、評估方法、評估內(nèi)容共同組成，評估單位在履行此規(guī)范評估原則（如：客觀公正原則、最小影響原則、信息保密原則等）約束條件下，共同啟動此核心引擎對金融機構(gòu)開展數(shù)據(jù)安全評估。

同時，金融機構(gòu)需要遵守此規(guī)范的約束條件，定期的要求評估單位去啟動此規(guī)范的核心引擎對自身數(shù)據(jù)安全情況開展評估。由于行標基于國標、國標基于國家宏觀方向，國家的宏觀方向又是從生產(chǎn)、生活所反映的情況中衍生出來的，因此，此規(guī)范對于金融機構(gòu)主體來講，需要更加體現(xiàn)出一種主體能動性，并基于此規(guī)范要求體現(xiàn)出金融機構(gòu)主體合規(guī)能力、管理能力及防御能力，通過能力建設(shè)驅(qū)動引擎，形成滿足趨勢、滿足政策、滿足規(guī)范的防御體系。

02、細談《規(guī)范》要求

1、什么條件下需要啟動核心引擎？

本文歸納了兩類啟動核心引擎的條件（包括：基本條件、特定條件）?；緱l件：金融機構(gòu)主體無論在資產(chǎn)層面、業(yè)務(wù)層面、安全事件層面等有無發(fā)生變化，至少一年需啟動一次核心引擎（注：一年至少要求開展一次數(shù)據(jù)安全評估）；特定條件：在數(shù)據(jù)資產(chǎn)、安全保障、應(yīng)用場景等發(fā)生變化時，需要啟動核心引擎開展數(shù)據(jù)安全評估，具體如下：

滿足以上條件的都應(yīng)該啟動核心引擎開展數(shù)據(jù)安全評估。

2、評估單位主體如何駕馭此核心引擎？

評估單位主體如想真正駕馭此核心引擎，應(yīng)結(jié)合此規(guī)范要求將圈定范圍、方式方法、流程制度進行綜合考量。在以圈定的范圍中按照設(shè)定的流程借助相應(yīng)的方法和手段開展評估工作。

首先，在圈定范圍中，此規(guī)范設(shè)定了金融數(shù)據(jù)安全評估域，在金融數(shù)據(jù)安全評估中包括了對金融數(shù)據(jù)的管理、保護及運維方向的評估，管理方向需要包括是否建立數(shù)據(jù)安全方向的組織架構(gòu)、是否建設(shè)數(shù)據(jù)安全方向的制度體系；保護方向需包括是否建立對金融數(shù)據(jù)資產(chǎn)的管理能力、是否圍繞了數(shù)據(jù)全生命周期開展安全保護；運維方向需包括在開展運維工作中，金融機構(gòu)主體是否形成了智能化安全運維能力（如：邊界管控、安全審計、訪問控制、安全檢查、安全監(jiān)測、應(yīng)急響應(yīng)與事件處置等）。

其次，在以圈定好的范圍中明確應(yīng)該采用什么樣的方式方法輔助開展評估工作（對應(yīng)此規(guī)范中評估方法）。為保障評估方法的有效性、準確性、真實性，此規(guī)范提出了采用的評估手段需要“至少滿足”的字樣，要求采用的評估手段需至少滿足：問卷調(diào)查、人員訪談、文檔查驗、配置核查、工具測試、旁站驗證。通過至少需采用的評估手段可以看出，此規(guī)范采用的也是一種循序漸進的過程，本文將其歸納為兩類：情況核查類（包括：問卷調(diào)查、人員訪談、文檔查驗、配置核查、旁站驗證）、滲透評估類（包括：工具測試）。情況核查類是在不借助外力的情況下了解金融機構(gòu)主體的合規(guī)規(guī)范；滲透評估類是在借助外力的情況下，全力挖掘可能存在的安全風險，同時對情況核查的結(jié)果也有一定的驗證功能。在這里需強調(diào)一點，在文檔查驗手段中需以是否覆蓋數(shù)據(jù)生命周期要求和控制項為核心，評估金融機構(gòu)提供的數(shù)據(jù)安全相關(guān)文檔材料。

再次，利用此規(guī)范提出的評估方法，在圈定好的評估范圍內(nèi)按照評估流程開展評估工作。評估流程包括：評估準備階段、評估實施階段、安全分析階段、報告編制階段及結(jié)果評審階段。

1）評估準備階段：

要明確評估目標將合規(guī)差距、安全管理、風險防控、是否有第三方參與等進行綜合考量，設(shè)定評估目標；確定了目標后需要持續(xù)完成此目標要求（由誰去完成？），這里落在了評估團隊身上，此規(guī)范告訴我們要根據(jù)評估目標組建評估團隊，評估團隊由本機構(gòu)本次金融數(shù)據(jù)安全評估的最高負責人、評估參與方以及實施團隊等共同組成。在評估團隊中體現(xiàn)出了集權(quán)制決策體制（如：最高負責人擁有指導和決策的權(quán)利、最高負責人審定評估工作實施團隊及評審組、最高負責人指定本機構(gòu)內(nèi)本次評估工作的牽頭部門（作為主要參與方承擔總體統(tǒng)籌組織及內(nèi)部溝通機制的協(xié)調(diào)建設(shè)工作）、牽頭部門在選定本機構(gòu)其他參與方及相關(guān)外部合作方時，需要上報最高負責人審定等）。

另外限定各參與方主要負責人均應(yīng)為評估團隊成員，對實施團隊及評審組沒做強制限制要求，主要能力符合即可；評估范圍中需確定本次評估所涉及的金融數(shù)據(jù)、金融產(chǎn)品和服務(wù)、信息系統(tǒng)、人員及組織（含內(nèi)、外部）等；在評估準備階段的最后，需根據(jù)評估目標和范圍等情況編制評估方案，將評估工作的主要任務(wù)、任務(wù)分工、人員安排、時間計劃等涵蓋其中，并量化評估人員、評估要點、結(jié)果預(yù)期、方法技術(shù)和工具、配合人員、時間計劃等。

實施團隊以最高負責人的指導要求為方針，根據(jù)已確定的評估方案開展本次評估實施工作。

3）安全分析階段：

實施團隊圍繞數(shù)據(jù)安全現(xiàn)狀、安全問題、風險情況、重要程度等對評估結(jié)果進行分析，提出相應(yīng)改進建議，牽頭部門對結(jié)果進行審核和確認，并會同評估團隊各參與方形成最終安全分析結(jié)論。

實施團隊根據(jù)最終確定的結(jié)果和結(jié)論編制評估報告，對評估內(nèi)容、過程、結(jié)果、問題等進行總結(jié)分析，給出總體評估結(jié)論。

評審團隊遵循公平公正、真實有效及合規(guī)合法性審核確定各評估事項及參與人員行為，并結(jié)合評估報告對評估過程、參與人員、評估結(jié)論等進行確認。

最終，上述圈定范圍、方式方法、流程制度進行綜合考量形成本文提到的核心引擎，助力評估單位駕馭此核心引擎。

3、金融機構(gòu)主體如何驅(qū)動此核心引擎？

本文在最開始提出基于此規(guī)范金融機構(gòu)主體要體現(xiàn)出主體能動性，主體能動性（即：金融機構(gòu)主體在數(shù)據(jù)安全實踐中表現(xiàn)出來的認識自身安全、改造自身安全的能動性）也是金融機構(gòu)主體驅(qū)動本文提到的核心引擎的重要源泉。金融機構(gòu)主體需重點關(guān)注此規(guī)范中的評估內(nèi)容，將金融數(shù)據(jù)安全管理、金融數(shù)據(jù)安全保護、金融數(shù)據(jù)安全運維進行綜合考量。

一、金融數(shù)據(jù)安全管理評估（S1）：金融機構(gòu)主體需建立數(shù)據(jù)安全組織架構(gòu)S1-1及建設(shè)制度體系S1-2（包括：總體規(guī)劃、技術(shù)管理、人員管理、合作管理、流程管理）來強化自身管理能力的同時，應(yīng)對相關(guān)安全評估的具體內(nèi)容、評估方法和結(jié)果判定。

二、金融數(shù)據(jù)安全保護評估（S2）：金融機構(gòu)主體需結(jié)合數(shù)據(jù)資產(chǎn)分級管理評估S2-1要求，建立對自身數(shù)據(jù)資產(chǎn)分級管控能力，重點強化數(shù)據(jù)梳理、數(shù)據(jù)分類、數(shù)據(jù)分級、建立統(tǒng)一清單等工作；還需結(jié)合數(shù)據(jù)生命周期安全評估S2-2，按照數(shù)據(jù)全生命周期（數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)刪除、數(shù)據(jù)銷毀）維度建立安全保護能力，如：數(shù)字簽名、權(quán)限控制、數(shù)據(jù)水印、防火墻、入侵檢測、密碼技術(shù)等應(yīng)用到金融機構(gòu)主體安全保護工作中。

三、金融數(shù)據(jù)安全運維評估S3：金融機構(gòu)主體需建立邊界管控、訪問控制、安全審計、安全檢查、安全監(jiān)測、應(yīng)急響應(yīng)與事件處置能力。

4、安全廠商視角下應(yīng)如何輔助金融機構(gòu)主體凌駕此核心引擎？

建立“以人為本、工具為輔”的數(shù)據(jù)安全運營理念，將運營人員的經(jīng)驗與智能化輔助工具進行深入融合，產(chǎn)生數(shù)據(jù)安全持續(xù)運營能力。數(shù)據(jù)安全層面的防護離不開“數(shù)據(jù)”與“業(yè)務(wù)”，在“人”與“工具”的深入結(jié)合產(chǎn)出數(shù)據(jù)安全運營能力后，要從“人”、“數(shù)據(jù)”、“業(yè)務(wù)”三個維度建立數(shù)據(jù)安全管控策略，形成底層數(shù)據(jù)安全策略的“集中管控中心”和“可視化中心”，以“人”為中心建立基于行為場景的訪問控制策略，以“數(shù)據(jù)”為中心建立數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)分級分類、數(shù)據(jù)脫敏、數(shù)據(jù)水印、數(shù)據(jù)加密管理等策略，以“業(yè)務(wù)”為中心建立基于數(shù)據(jù)的業(yè)務(wù)訪問、業(yè)務(wù)接口、業(yè)務(wù)互聯(lián)安全管控策略，形成分類、防護、場景、策略、管控于一體的集中管控中心，并將集中管控中心能力進行不同維度的可視化呈現(xiàn)，反作用整體數(shù)據(jù)安全運營能力中心。

在“數(shù)據(jù)安全運營能力中心”中，結(jié)合“集中管控中心”、“可視化中心”提供的能力，建立“安全運營支撐平臺”，形成分析、管理、監(jiān)測、響應(yīng)、加固的數(shù)據(jù)安全能力，為分析人員、態(tài)勢感知輔助工具提供能力支撐，持續(xù)開展數(shù)據(jù)安全運營能力加固。