大数跨境
首页
>
数安智库|强监管时代下的数据安全治理
>
0
0

数安智库|强监管时代下的数据安全治理

数安智库|强监管时代下的数据安全治理 数智安全行动计划
2022-08-17
4

数安智库 专家简介

许琛超:DSI数安智库专家,中国电信翼支付信息安全高级经理,持有CISSP、CISP、CISA、DPO、PMP、软考信息系统项目管理师/信息安全工程师/网络工程师等国内外专业认证,国家高级信息安全师,中国电信数据安全专家,诸子云网络安全专家联盟特聘专家,全国信息安全标准化技术委员会数据安全标准编制组成员、中国通信标准化协会数据安全标准编制组成员,在企业数据安全治理及体系管理方面具有丰富经验。

数据安全治理背景



随着时代的发展,数据已经成为我国经济发展及转型升级过程中的重要生产要素之一。近年来,国内外数据泄露事件频发,各国对数据安全的认知均已从传统的个人隐私保护上升到维护国家安全的高度。我国也陆续出台了一系列法律法规,如《网络安全法》、《数据安全法》、《个人信息保护法》及一系列配套的规范和标准,旨在规范和监管企业数据处理过程,保证个人信息及重要数据的合规使用和安全。

面对强监管时代下的数据安全合规要求及形势挑战,众多企业均已着手开展或计划开展数据安全治理工作。但在开展治理的过程中,大家也遇到了一系列的问题,如缺乏治理方法,未建设体系化思维,缺少数据安全人才等等。

数据安全治理方案


如何开展有效的、适合企业自身需求的数据安全治理成为各家企业所关心的主要问题。下文将结合笔者的实践探索,给出关于数据安全治理的七步建议。


1.确定治理目标
不同企业开展数据安全治理的目标各不相同,有些是为了达到合规的基本要求,有些需在合规的基础上建成体系化的管控,还有的企业希望达到数据安全全方位的“可知、可管、可控”。基于这些不同目的,开展数据安全治理的第一步就是要确定企业的目标是什么,才能明确后续的资源投入,建设方案及运营模式。
2.组织机构建设
在开展数据安全治理前,必须先获得企业管理层的支持,该支持是治理成功与否的决定性要素。数据安全治理中,会涉及大量企业整体整改、跨部门的沟通协作、资源投入,并非是一个团队靠一己之力可以完成的。因此,高层足够的支持将会使得治理工作的开展更为顺利,所需资源更有保障。获得支持后,就可成立数据安全治理组织,这个组织可以是实际组织,也可以是虚拟组织,由安全、数据、法律、业务等多领域人员协同开展数据安全治理。企业还需设置企业数据安全负责人,明确各相关方的职责分工,落实数据安全的责任制,并补充对应的人才以开展相关工作。

3.资产梳理及分类分级
开展数据安全治理,极为重要的一步是必须先摸清数据资产在哪里,有哪些数据,“摸清家底”是管控防护的前提。要开展数据资产梳理,企业应全面排查数据资产的存储位置、流动、使用情况,并根据分类分级标准对数据进行打标,实现不同级别数据的差异化管控。如果企业的数据量太大,借助人工梳理将会变得非常困难,此时可借助自动化的工具帮助资产识别及分类分级打标。

4.管理体系建设
在开展管理体系建设前,企业应先梳理适用的法律法规及标准,开展差距分析及风险评估。根据企业实际情况,建立数据安全管理的制度体系、管控流程和策略,从数据全生命周期及数据资产分布流向进行差距和风险分析,结合行业的最佳实践做法,采取针对性措施进行管控。数据安全制度规范可与已有的信息安全体系制度进行融合,这将成为企业数据安全管理体系运作的基线和评价标准,为数据安全工作的开展及技术能力的建设提供依据。

5.技术能力建设
数据安全的技术能力建设应形成体系化,企业往往已经建设数据防泄漏、数据加密、数据库审计等单点能力,但缺乏成体系的建设方案。数据安全技术体系应在能力建设前做好整体架构规划,梳理不同原子能力间的关系和覆盖面,以基础安全能力为基石,依托网络、主机、终端等数据载体的防护能力,从建设数据识别、分类分级、风险监测、数据防泄漏、加密脱敏等数据安全原子能力开始,到建设统一的数据安全态势感知平台,实现数据安全全局的策略配置、风险监测及态势分析,使得数据安全的防护更加智能化。除此之外,随着区块链、隐私计算等新兴技术的发展,这些技术也可帮助企业在数据共享场景中实现数据的“可用不可见”,更好的保护敏感数据,防止数据泄露的发生。

6.细分专项治理
在数据安全治理过程中,有些重点领域需要花费较大的资源和投入,如APP个人信息保护、加密改造、账号权限等,此时开展细分专项治理是一个不错的选择。通过不同专项计划、目标,明确投入的资源、责任人,完成的里程碑和时间节点,进一步攻坚数据安全治理的痛点和难点。

7.常态化运营
在管理体系和技术能力建设完成后,企业应开展常态化数据安全运营,包括管理运营和技术运营。管理运营从数据安全培训、数据安全动态评估、数据安全审计、监督考核、应急响应等方面展开,技术运营则需依托平台能力持续开展风险监测,研判分析处置。通过数据接口、数据库及应用系统操作风险监测、日志分析、4A、水印技术等能力联动,依托数据安全态势感知平台将多维度信息聚合分析,实现数据安全事件溯源,态势可见可控的目标。

 总 结 


数据安全治理相较于传统的信息安全治理,更加侧重以数据为中心,覆盖数据采集、传输、存储、使用、共享、销毁的全生命周期,并实现数据资产及风险的“可知、可管、可控”。数据安全的整体架构离不开传统网络安全、主机安全、终端安全的防护,数据安全治理也并非安全的从0到1,企业已有的信息安全基础将为数据安全治理提供有力的基础保障,企业可以在此基础上,根据数据安全特点,进行上层数据安全特有的体系搭建及完善,形成多体系的融合治理。数据安全治理是一个长期持续的过程,在一轮治理后通过常态化的运营去完善升级,不断提升企业数据安全治理能力,保障业务的健康发展。

声明:本文仅代表作者个人观点,不代表本公众号及其运营单位意见或立场。


【声明】内容源于网络
0
0
数智安全行动计划
围绕数据安全与人工智能安全相关工作,从政策解读、标准建设、评估测试、咨询服务、人才培训等方面搭建数智安全交流平台,构建数智安全专业社群。
内容 342
粉丝 0
数智安全行动计划 围绕数据安全与人工智能安全相关工作,从政策解读、标准建设、评估测试、咨询服务、人才培训等方面搭建数智安全交流平台,构建数智安全专业社群。
总阅读706
粉丝0
内容342