建设数据安全体系的思路是什么?

VSole2022-08-19 17:45:57

“数据安全不是简单的工具堆叠,而是自上而下贯穿整个组织架构的完整链条。”

8月19日,“第八届中国行业互联网大会暨CIO班17周年年会”在北京隆重启幕。

作为中国CIO领域极具影响力的互联网行业盛会,本次大会以“走向全面数字化”为主题。众多知名专家学者、各届CIO班学员、知名企业CIO等数百位嘉宾参与本次盛会,聚焦行业数字化转型实践,探寻数字化转型发展新趋势。

深信服数据安全首席专家宋博韬出席大会并在分论坛以“数字化转型背景下的数据安全治理”作了分享。

宋博韬认为,数字化转型过程中,数字化冲击无处不在,数字化重塑不可避免,加速释放数据价值的同时带来更多风险和责任。数据安全问题持续得到全球关注,众多国家已将数据安全纳入国家安全观。随着国家立法工作有序推进,我国相继颁布并施行了《网络安全法》《数据安全法》《个人信息保护法》,将数据安全保护提升至国家层面的新高度。

然而,一方面,伴随数据自身价值的增加,获取数据有利可图,数据“内泄外窃/越权使用”的驱动力愈发凸显;另一方面,数据现状不清晰、数据权责不明确、制度策略不完备、防护理念不匹配,导致数据安全保护工作开展得并不理想,数据安全事件仍然频发。

“要做好数据安全建设,首先要转变理念”,宋博韬认为,“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”

“数据安全不是简单的工具堆叠,而是自上而下贯穿整个组织架构的完整链条。”

宋博韬介绍,在长期的探索和实践中,深信服形成了一套数据安全治理体系建设思路——以数据为中心,融合技术、管理和运营,构建覆盖“云、网、端”的动态安全防护体系。

具体而言,包括组织战略、数据探查、安全评估、安全保障、数据管控、持续改善6个过程。

1.组织战略

识别组织数据安全治理的驱动力,定义数据安全愿景和目标,兼顾安全设计原则,制定组织的数据安全战略,确保采取合理和适当的措施,以有效的方式保障数据安全;

建立由专业人员组成的数据安全统一团队,推动数据安全保障工作持续、稳定、有序开展;

建立定制化的数据安全合规库,有效为数据安全保障工作提供合规指引。

2.数据探查

识别、了解数据安全保护对象,洞悉数据种类、数量、分布、流转、权限、责任现状,摸清底数、明确权责;

建立数据分类分级标准,为数据的精细化管控和保护提供依据,针对不同的数据安全保护对象实现差异化保护,促进安全资源的精准投放和优化配置;

建立数据登记机制,确保新增数据增量清,历史数据底数清,实现数据资产的动态管理。

3.安全评估

面向数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动,通过关联、融合多源信息,在刻画、还原数据处理活动完整链路的基础上,快速发现数据处理活动存在的安全隐患和合规问题,指明数据安全治理实践重点方向,定期开展数据安全评估,形成数据安全评估报告。

4.安全保障

建立健全全流程数据安全制度,落实数据安全保护责任,保障数据资产安全;

基于业务现状、合规要求、风险容忍度、数据现状和防护现状,制定、优化数据安全策略,盘活现有资源,高效指导数据安全保护。

5.数据管控

面向数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动,按需构建数据安全支撑能力,为数据安全保驾护航;

以数据为中心的数据安全态势感知能力,深度关联数据、行为、场景、介质,从数据资产、数据访问两种视角出发,对异常状态、异常行为进行监测预警,及时、全面发现安全隐患,快速、有效协同联动响应。

6.持续改善

建立数据安全应急处置机制,发生数据安全事件,依法启动应急预案,协调资源消除安全隐患,防止危害扩大,根据有关规定发布警示信息;

数据安全治理的各个过程,同步开展数据安全教育培训,营造数据安全氛围,助力数据安全保障工作落地;

建立明确的测评认证机制,并周期性开展测评认证工作,迭代优化数据安全治理体系,持续提高数据安全保障能力。

数据安全建设不能一蹴而就,需要分步建设、持续迭代。对此,宋博韬也说到:“深信服数据安全建设思路形成了洞悉现状——合理防护——巩固成效——持续迭代的良性循环体系,可以为数据安全建设提供参考。”

最后,宋博韬指出,深信服数据安全治理体系的核心优势是“以简御繁”,上述全量过程适用于从0-1建设数据安全体系的组织,在实践中,组织可以匹配自身的数据安全愿景和资源基础,灵活裁剪过程,确定数据安全治理落地模式。

例如,对于事件驱动的组织来说,可以采取“急用先行”的原则,优先做好安全保障和数据管控;对于已有一定网络安全建设基础的组织单位而言,则应优先“补齐短板”,做好安全评估、安全保障和数据管控;最后按需开展持续演进的体系化建设。

信息安全数据安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
本次年会由公安部网络安全保卫局指导,中国计算机学会主办,计算机安全专业委员会承办。网络安全作为网络强国、数字中国的底座,将在未来的发展中承担托底的重担,是我国现代化产业体系中不可或缺的部分。为办好本次大会,充分发挥专委会在服务国家网络安全战略发展需要,促进学术成果交流,提升学术研究水平的作用,本次会议的主题为“夯实网络安全防线,构建中国式现代化网络强国”。
信查查通过多年在网络安全行业的耕耘,成为了众多单位、电信、银行、电商、高等院校、医院、企业等单位的长期合作伙伴。从个人层面来看,网安问题会带来私人信息泄露,进而威胁生命、财产安全。从政企层面来看,关键数据资产的泄露可能招致国家网络信息系统被攻击的危险,尤其是针对关键性基础设施的网络攻击会导致重大国家安全事故。
构建安全数据底座,护航数字经济发展。数据已成为数字经济时代最为活跃的新型生产要素。
本指南依据《信息安全技术 数据安全能力成熟度模型》(简称DSMM)制定,以数据为核心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具体实施指南,为组织数据安全能力建设提供参考。
指引制定背景随着近年来相关法律法规与行业标准相继出台,数据安全体系建设的监管要求日趋严格。基本原则在过程域划分原则上,指引中的数据存储阶段涵盖了数据删除和数据销毁两个环节,进行了部分环节的合并与调整。同时指引还针对数据安全管理部门、合规风控部门、业务管理部门、信息技术部门和内部审计部门明确了各部门的数据安全管理职责的责任划分,建立了数据安全工作分工协作的机制。
遇到的考验与挑战数据安全治理咨询现状数据安全治理指的是数据安全分类分级、个人数据风险评估等与数据安全相关的咨询服务。为解决客户的数据安全分类分级及数据风险评估,明朝万达提供了一整套的底层基础能力,支撑对客户的数据安全分类分级和数据风险评估的数据安全领域的咨询团队、专用工具集、方法论和经验沉淀、数据安全产品及研发团队和驻场人员。
数据时代,数据自身安全以及数据保护的安全成为关注的重点,工业化互联网数据安全成为工业互联网发展的重要基础,随着《数据安全法》的正式颁布,数据在安全体系中占据了核心地位。其中,数据信息安全强调保护数据资产不受意外或未经授权的访问、更改或破坏,确保其可用性、完整性和机密性。流入控制系统的信息必须受到充分保护,同时还要保护物理过程的安全性和弹性。
数据安全问题涉及公众利益、社会稳定与国家安全,亟需规范安全管理,加强安全防护。而数据安全标准是开展数据安全管理、规范行业数据安全要求、指导企业提升数据安全能力的重要抓手。
近年来,国内外数据泄露事件频发,大量企业的商业利益、声誉受损。数据安全法律法规相继颁布,监管力度不断升级,企业逐渐意识到数据安全治理的重要性与紧迫性。通过对2021年开展的企业数据安全治理能力评估现状进行整理,总结企业数据安全治理工作在组织建设、人才培养、技术工具等方面的现状与趋势,提供能力提升思路,以供业界参考。
作为我国数据安全领域的基础性法律、 国家安全领域的重要法律,《数据安全法》的出台体现了当前数字经济发展对安全的关键需求,为我国数据安全的发展之路提供了指引。
VSole
网络安全专家