建設(shè)大概步驟：
第一階段：資產(chǎn)梳理和分析--職責(zé)體系--管理制度--分級分類--關(guān)鍵能力（合法合規(guī)性）--意識培訓(xùn)
第二階段：落實管理制度--完善數(shù)據(jù)安全能力--統(tǒng)一數(shù)據(jù)安全平臺
第三階段：建立審計體系--優(yōu)化數(shù)據(jù)安全體系--輸出案例或者對外提供價值服務(wù)

總體思路

數(shù)據(jù)資產(chǎn)安全

1.資產(chǎn)管理

• 數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)
• 敏感數(shù)據(jù)發(fā)現(xiàn)
• 資產(chǎn)變化監(jiān)控
• 數(shù)據(jù)資產(chǎn)責(zé)任人

2.資產(chǎn)使用情況

• 使用情況監(jiān)控、統(tǒng)計、分析
• 高頻使用資產(chǎn)
• 沉寂資產(chǎn)

3.資產(chǎn)權(quán)限管理

• 權(quán)限劃分
• 授權(quán)管理
• 權(quán)限時效性

4. 數(shù)據(jù)資產(chǎn)分級分類

• 分級分類標(biāo)簽
• 各級各類管理要求

數(shù)據(jù)運(yùn)營安全

1.安全管理

• 合規(guī)性需求
• 管理制度的完整性、可執(zhí)行性、實際落地
• 安全審計
• 組織和人員管理
• 密鑰管理
• 權(quán)限管理

2. 安全審計

• 代碼審計
• 配置核查
• 風(fēng)險評估
• 影響分析

數(shù)據(jù)業(yè)務(wù)安全

1.安全采集

• 完整性校驗
• 合法合規(guī)性驗證
• 數(shù)據(jù)源鑒別
• 數(shù)據(jù)質(zhì)量評估
• 采集工具評估

2.傳輸安全

• 身份認(rèn)證
• 傳輸加密
• 防泄漏、防篡改

3.使用安全

• 脫敏
• 匿名化
• 去標(biāo)識化
• 濫用行為識別
• 數(shù)據(jù)血緣關(guān)系分析

4.存儲安全

• 去標(biāo)識化
• 加密存儲
• 數(shù)據(jù)備份和恢復(fù)
• 特權(quán)賬號管理
• 特權(quán)賬號使用監(jiān)控

5.共享安全

• 接口管理
• 身份認(rèn)證
• 訪問控制
• 接口審計
• 脫敏
• 同態(tài)加密
• 追蹤溯源，數(shù)據(jù)水印
• 合規(guī)性檢查

6.銷毀安全

• 銷毀評估
• 銷毀實施
• 銷毀驗證

數(shù)據(jù)環(huán)境安全

1.數(shù)據(jù)庫安全

• 數(shù)據(jù)庫加密
• 漏洞識別、分析、修復(fù)、驗證
• 攻擊行為識別、分析、阻斷
• 賬號權(quán)限、使用監(jiān)控
• 補(bǔ)丁修復(fù)

2.數(shù)據(jù)平臺環(huán)境

• 身份識別
• 訪問控制
• 安全配置
• 組件漏洞識別、分析、修復(fù)、驗證

3.物理環(huán)境安全

• 物理接觸管理
• 辦公環(huán)境安全

數(shù)據(jù)運(yùn)維安全

1.人員及職責(zé)

• 數(shù)據(jù)安全管理員
• 數(shù)據(jù)安全審計員
• 權(quán)限管理員
• 數(shù)據(jù)安全責(zé)任人

2.權(quán)限

• 授權(quán)與審批
• 權(quán)限時效性
• 違規(guī)操作識別與阻斷
• 高危操作識別與阻斷

數(shù)據(jù)安全監(jiān)測和審計

1.日志采集

• 數(shù)據(jù)使用日志
• 數(shù)據(jù)操作日志
• 權(quán)限變更日志
• 資產(chǎn)變更日志
• 賬號變更日志

2.日志分析

• 行為分析
• 數(shù)據(jù)安全模型
• 關(guān)聯(lián)性分析
• 數(shù)據(jù)安全事件溯源分析
• 頻率分析

3.安全監(jiān)測

• 告警策略
• 可視化
• 應(yīng)急響應(yīng)

4.審計

• 完整性
• 可用性
• 可控性
• 保密性
• 溯源性
• 合法合規(guī)