建设数据安全体系的思路是什么?
“数据安全不是简单的工具堆叠,而是自上而下贯穿整个组织架构的完整链条。”
8月19日,“第八届中国行业互联网大会暨CIO班17周年年会”在北京隆重启幕。
作为中国CIO领域极具影响力的互联网行业盛会,本次大会以“走向全面数字化”为主题。众多知名专家学者、各届CIO班学员、知名企业CIO等数百位嘉宾参与本次盛会,聚焦行业数字化转型实践,探寻数字化转型发展新趋势。
深信服数据安全首席专家宋博韬出席大会并在分论坛以“数字化转型背景下的数据安全治理”作了分享。
宋博韬认为,数字化转型过程中,数字化冲击无处不在,数字化重塑不可避免,加速释放数据价值的同时带来更多风险和责任。数据安全问题持续得到全球关注,众多国家已将数据安全纳入国家安全观。随着国家立法工作有序推进,我国相继颁布并施行了《网络安全法》《数据安全法》《个人信息保护法》,将数据安全保护提升至国家层面的新高度。
然而,一方面,伴随数据自身价值的增加,获取数据有利可图,数据“内泄外窃/越权使用”的驱动力愈发凸显;另一方面,数据现状不清晰、数据权责不明确、制度策略不完备、防护理念不匹配,导致数据安全保护工作开展得并不理想,数据安全事件仍然频发。
“要做好数据安全建设,首先要转变理念”,宋博韬认为,“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”
“数据安全不是简单的工具堆叠,而是自上而下贯穿整个组织架构的完整链条。”
宋博韬介绍,在长期的探索和实践中,深信服形成了一套数据安全治理体系建设思路——以数据为中心,融合技术、管理和运营,构建覆盖“云、网、端”的动态安全防护体系。
具体而言,包括组织战略、数据探查、安全评估、安全保障、数据管控、持续改善6个过程。
1.组织战略
识别组织数据安全治理的驱动力,定义数据安全愿景和目标,兼顾安全设计原则,制定组织的数据安全战略,确保采取合理和适当的措施,以有效的方式保障数据安全;
建立由专业人员组成的数据安全统一团队,推动数据安全保障工作持续、稳定、有序开展;
建立定制化的数据安全合规库,有效为数据安全保障工作提供合规指引。
2.数据探查
识别、了解数据安全保护对象,洞悉数据种类、数量、分布、流转、权限、责任现状,摸清底数、明确权责;
建立数据分类分级标准,为数据的精细化管控和保护提供依据,针对不同的数据安全保护对象实现差异化保护,促进安全资源的精准投放和优化配置;
建立数据登记机制,确保新增数据增量清,历史数据底数清,实现数据资产的动态管理。
3.安全评估
面向数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动,通过关联、融合多源信息,在刻画、还原数据处理活动完整链路的基础上,快速发现数据处理活动存在的安全隐患和合规问题,指明数据安全治理实践重点方向,定期开展数据安全评估,形成数据安全评估报告。
4.安全保障
建立健全全流程数据安全制度,落实数据安全保护责任,保障数据资产安全;
基于业务现状、合规要求、风险容忍度、数据现状和防护现状,制定、优化数据安全策略,盘活现有资源,高效指导数据安全保护。
5.数据管控
面向数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动,按需构建数据安全支撑能力,为数据安全保驾护航;
以数据为中心的数据安全态势感知能力,深度关联数据、行为、场景、介质,从数据资产、数据访问两种视角出发,对异常状态、异常行为进行监测预警,及时、全面发现安全隐患,快速、有效协同联动响应。
6.持续改善
建立数据安全应急处置机制,发生数据安全事件,依法启动应急预案,协调资源消除安全隐患,防止危害扩大,根据有关规定发布警示信息;
数据安全治理的各个过程,同步开展数据安全教育培训,营造数据安全氛围,助力数据安全保障工作落地;
建立明确的测评认证机制,并周期性开展测评认证工作,迭代优化数据安全治理体系,持续提高数据安全保障能力。
数据安全建设不能一蹴而就,需要分步建设、持续迭代。对此,宋博韬也说到:“深信服数据安全建设思路形成了洞悉现状——合理防护——巩固成效——持续迭代的良性循环体系,可以为数据安全建设提供参考。”
最后,宋博韬指出,深信服数据安全治理体系的核心优势是“以简御繁”,上述全量过程适用于从0-1建设数据安全体系的组织,在实践中,组织可以匹配自身的数据安全愿景和资源基础,灵活裁剪过程,确定数据安全治理落地模式。
例如,对于事件驱动的组织来说,可以采取“急用先行”的原则,优先做好安全保障和数据管控;对于已有一定网络安全建设基础的组织单位而言,则应优先“补齐短板”,做好安全评估、安全保障和数据管控;最后按需开展持续演进的体系化建设。
