2023年1月,第二届数据安全治理峰会成功召开,会上发布了第二批“可信数安”评估评测结果,安徽辰图大数据科技有限公司参与并通过了数据安全服务-实施交付专项能力成熟度评估。该评估依据《大数据 数据安全服务能力分级要求》,从组织建设、制度流程、技术工具、人员能力、服务成果五个维度,数据资产梳理、数据分类分级、数据安全防护策略、数据安全流程规范、数据安全技术架构五大方面对数据安全服务供应商的实施交付能力进行全面评估。
近日,我们对话辰图大数据副总经理关中华先生,就数据安全服务相关问题进行了讨论。
首先恭喜贵公司通过数据安全服务-实施交付专项能力成熟度评估,达到了增强级(2级)水平,贵公司是出于什么考虑参与“可信数安”评估评测?
关中华:辰图大数据专注于数据安全咨询和数据安全体系建设,并积累了丰富的数据安全咨询、建设经验。公司已为政府、医疗、运营商等行业成功提供了数据安全服务。结合服务内容特点及客户的实际需要,有针对性的提供数据安全咨询、数据安全体系建设、数据安全运营和数据安全监审等多种服务形式。“可信数安”工作体系是国内首个关注数据安全行业供需发展,面向供需双侧能力要求建立的权威市场化数据安全评估体系。参加“可信数安”评估评测,通过权威认证,能够更好的证明辰图团队的数据安全服务实力。同时,做为数据安全公司,响应国家数据安全市场规范化推进战略,积极参与服务能力评估工作落地,也是我们数据安全公司应尽的义务。这是一种很棒的双赢模式!
关中华:在参与“可信数安”评估评测的过程中,我们通过标准化的方式梳理了自有的数据安全服务能力,并在测评的过程中与评审老师互动交流了对数据安全的理解,这些都大大加深了我们对数安行业的认知。通过与标准进行对比,使我们更加清晰地理解了业界对数据安全标准的要求,并以此为基准,进一步优化完善了辰图数安产品线。
请介绍一下贵公司的数据安全服务内容,其技术架构和产品特点?
关中华:辰图大数据从成立至今,就一直致力于提供数据安全服务,以保障客户在复杂数据场景下的数据安全。在平衡数据安全与使用的目标下,形成体系化的数据安全治理框架,并基于框架设计数据安全服务,方便为客户提供更加专业便捷的数据安全保障。在实施交付方面,云图公司主要提供以下服务和工具:
梳理盘点组织现有的数据资产情况,明确数据资产的归属部门和责任人,明确组织的数据保护目标,帮助组织掌握数据资产现状,奠定数据资产分类分级的基础。
在数据资产梳理的基础上,明确客户的数据分类分级定义,并开展落实数据分类分级工作,以满足数据安全合规管理要求,并以此指导后续的数据安全技术和策略制定。
以合规和风险管理为导向,从业务操作落地层面,围绕数据全生命周期流转,明确数据操作规范,便于人员遵循操作流程规范有序开展工作。
通过数据安全现状分析,发现组织数据安全问题,识别数据安全能力差距,形成改进建议并设计规划数据安全技术体系建设框架,明确数据安全阶段建设目标。从整体规划数据安全技术体系,有利于统筹管控数据安全技术能力,使数据安全能力与组织现有的IT体系保障协作兼容,补足组织数据安全能力短板,多维度发现数据安全风险,应对数据安全风险的能力得到加强。
制定数据安全策略要求,并以此建立数据安全体系技术策略,确保数据安全管理策略在产品层面的落地。
结合公司自有数据安全框架模型和数据安全建设实践,形成了一套易于落地的数据安全协同运营体系建设的工具,用以支撑并保障组织数据安全。
利用数据安全协同运营平台,将数据应用链条中的多角色“以安全为主线”关联起来,以数据为中心,围绕安全开展治理、协作、和运营等基础支撑活动。帮助数据职能部门建立相对完善的“以数据为中心”的安全运行体系,对数据流转进行决策审批监督,并对数据安全风险和法律合规风险进行有效控制,依托平台数据安全运营支撑能力,帮助构建数据安全工作统筹、分析、指导、监督落实、执行改进的闭环工作机制。从而,充分发挥数据多角色间的数据安全协同作用。
通过提供专业化的数据安全治理实施服务及工具,我们希望能以管理更加统一、手段更为开放的方式,为客户建设更加敏捷高效的组织能力。
关中华:安全服务是写在公司基因里的,团队在14年就开始了网络安全服务产品化的转型,我们当时把安全保护对象做了业务条带化细分,最核心那块就是数据,一切都是围绕数据保护的终极目标。所以在18年,我们把数安业务独立拆分了出来,因为它离业务更近,依存于传统安全又与其有极大的差异性,所以这些年我们很多时间是花在理解数据上,我们甚至有团队在做数据治理和应用的工作,目标是为了更好的去定义更为有效的数据安全长期保护模式。所以我们是客户视角,在全流程数据安全防护之上更侧重管理抓手的设计与开发,比如数据角色权责与合规达成率适配能力,数据分类分级标识动作与数据开放权限控制动作联动能力,数据安全指标化及知识可视化能力,安全管理及运营标准化管理能力,数据资源二次分发权属鉴别能力等。公司自主研发的数据安全管理类产品也获得软件著作权、软件产品登记和销售许可证。
为什么业界重视数据安全服务,在提供服务中有哪些难点?
关中华:因为数据与业务系统的高度融入,数据安全建设需要与数据处理的业务场景整合,既能保证数据使用行为不受影响,又能保证必要的安全措施能够得到保障。而传统的信息化安全建设大多以单独产品采购为主,不能满足数据安全特殊的建设需要。由此诞生的数据安全治理体系及其相关服务,是目前业界解决数据安全问题的通用理论与实践方法,能有效保障数据安全。我们数据安全服务的思路,正是以服务结合工具的方式,综合业务、安全、信息技术等多部门多角色的诉求,为客户提供体系化的数据安全保障服务。
数据的跨域、跨职能和动态性特点决定安全保障是一项系统工程,既要整体谋划,更要注重系统性和协同性,因此明确多种维度下数据安全责任主体,建立协同机制,厘清权责划分,加强各部门在数据安全上的协作和互通就成为了重中之重。同时,需要统筹兼顾,使数据安全的目标和责任能够分解,并落实到各部门和单位的内部,而这恰好是数据安全建设工作中最困难的。我们在服务的过程中,其实在不断扮演助溶剂的角色,帮助用户内部去共识数据安全的价值,以使数据安全工作先迈一步再稳步的走下去。
关中华:未来公司将继续在数据安全领域耕耘,加大对数据安全领域的投入,持续深化数据安全服务和产品能力,更多参与数据安全相关行业标准的规划设计,为客户提供更多高质量的数据安全产品和服务。
邮箱:haozhijing@caict.ac.cn
