景亮:DSI数安智库专家,数据安全专家;具备中国信息安全评测中心颁发的数据安全治理认证CISP-DSG、攻防及渗透测试认证CISP-PTE、CSA颁发的认证数据安全专家CDSP、ISACA协会颁发的国际注册隐私保护工程师认证CDPSE、ISO27001 Foundation认证、ISO27701-隐私保护认证等多项数据安全相关认证;同时具备数据治理工程师CDGA认证。先后参与信通院组织的数据安全治理能力评估方法、数据安全服务能力分级要求,数据分类分级工具等标准的编写工作。
随着《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》于2021年下半年颁布实施,数据安全成为数据资产管理和开发利用过程中最为核心的问题。随着数据安全的范围扩大到安全和隐私两个层面,在更为严格的法律法规监管要求及企业数据合规要求驱使下,数据安全管理面临更高难度挑战。
数据安全已成为企业安全体系建设的重点内容,很多企业都在思考数据安全建设如何进行、数据安全治理如何起步、数据安全技术如何抉择。但是数据安全建设的要点,都绕不过一个关键的基础问题:数据分类分级。数据分类分级是所有数据安全建设的基础,只有在合理的数据分类分级基础上,才能有的放矢地制定有效的数据安全管控策略,数据安全的管控措施才能真正起到作用。因此,围绕数据分类分级建设企业的数据安全底座必然成为企业未来数据安全建设的明确方向。
数据成为新的生产要素之后,带来的将是更大范围的数据流动和交换,数据的流动和交换将更显著地体现出数据的价值。每个行业都在基于大数据进行挖掘分析、数据赋能,数字化转型更成为了大中型企业智能化运营的必由之路。数据中心、大数据局、数字化处、数字部门等机构的相继成立,都反映出对数据的管理和开发利用已经成为保障业务运行和驱动业务发展的重要手段,也昭示着以数据资产管理运营为核心的新模式即将开启。
企业数据资产的运营管理需要对数据资产进行分类分级,数据安全管控也需要围绕数据分类分级开展,因此数据分类分级管理成为企业数据管理乃至数字化转型过程中非常重要的一环。当前很多数据中台或者数据资产管理类工具在数据分类分级方面都有不错的表现,但是从数据安全的角度来看,这些软件产品的有效性均存在不足之处。
如何从数据资产安全运营管理的角度来提升企业数据安全管理能力?建议是在企业清晰准确的数据资产清单基础上,建立以数据安全为目标的分类分级管理体系,同时将数据安全运营所必须的数据安全权责管理和数据访问权限管理结合起来,形成企业数据安全防护策略的统一标准和接口,把这些标准和接口作为数据资产安全运营管理的基础架构,输出给企业的业务系统和安全管理产品。通过数据资产安全运营管理中心可以帮助数据安全运营者解决数字资产管理、数据安全管理、数据权责管理、数据安全策略制定等问题,同时又能把数据安全能力作为公司统一的标准进行输出,赋能给需要进行权限查询的业务系统、安全软件、安全网关、数据库防火墙、终端管控软件等。此中心作为企业数据安全的底座,就像主数据对于企业数据治理的存在一样,成为企业数据安全管理的主要的输出标准。
建设企业数据安全底座的最大价值在于,建立了以数据资产安全为核心的平台,将数据安全最关键的安全管理信息汇总并统一管理,可以关联企业的数据资产,连接所有的业务平台,对所有的业务系统提供统一的数据资产安全管理基准信息。
通过对数据资产安全属性以及用户账户访问权限的关联,可以准确识别企业所有数据资产中任意一条数据的安全属性,企业就具备了数据安全底座的标准输出能力和赋能能力,从而为数字化转型过程中的数据安全进行全方位赋能。
企业数据安全底座的功能主要包括资产管理、权限管理、权责认定、分类分级、安全策略、安全赋能。
数据安全治理关键是以数据资产为对象的安全管控,因此数据资产管理是进行治理的前提。通过数据资产管理工具对企业的结构化、半结构化以及非结构化的资产进行盘点,形成数据资产目录。
数据安全治理涉及安全专家、业务人员、数据管理人员等多种岗位的共同参与。
* 如何能让不同的参与人员专注于自己的职责,同时又不影响整体工作开展?
* 如何在问题发生时快速、准确的找到相关负责人并解决问题?
随着数据安全治理管控的数据资产范围不断扩大、管控力度加深,以上问题严重影响安全治理的进度和效果。通过大量的实践经验来看,建立权责体系是解决这一问题的有效手段。通过工具快速建立人员、管控事项、管理职责的关系,同时支持权责关系的变更、预警等运营维护,保证关系的持续有效。
分类分级是数据安全治理的重要基础,在企业实践经验中通常以人工标记的方式为主。但是人工标记的方式一方面会因为不同人的理解不同造成同一个资产标记等级不一样;另一方面随着企业的资产不断增加,人工标记的效率无法满足业务使用。因此要采用系统工具自动化进行分类分级。分类分级工具作为数据安全管理的工具,不能成为威胁数据安全的漏洞。所以在分类定级的过程中应该采用数据资产元数据和样例数据定级的模式,尽量减少分类分级工具访问原始数据存储库。
在实践中,一种比较好的模式是分类分级工具根据数据资产目录信息进行分类定级,在定级过程中对无法自动定级的数据资产结合权责关系人工定级。通过任务、模型驱动流程化的方式推动多方角色协同,共同完成分类分级、敏感数据资产的识别。
随着数据应用的场景日益增加,管理数据的使用权限成为数据安全治理的关键。在数据安全治理过程中需要基于数据资产的分类分级结果进行统一数据权限管理。保证管理人员可以给使用者进行数据授权,数据使用者可以申请数据的使用权限。
对于数据资产,不同生命周期阶段需要不同的数据管控策略,同一阶段不同使用场景的管控策略也不相同。企业在管理过程中通常是采用不同的安全防护工具单独管理。这种管理方式往往造成管控力度不统一,同一个数据链路中有的环节过于严格有的没有防护。因此,安全策略管理中,需要充分利用分类定级的结果,以数据安全等级为基础进行管控,建立统一的数据管控标准,为各个环节的安全工具提供目标资产的策略标准。
企业的业务系统及相关业务流程和数据安全管控的软件和产品在进行数据安全管控时都需要基于用户账户对数据资产的访问权限和分类分级的管控要求进行识别。因此企业有必要建立统一的基于数据资产和用户账户权限的数据安全标准。只有为企业建立统一的识别标准和接口,才能实现企业数据安全的统一管理和数据安全管控的最大价值,才能帮助企业做到精细化的数据安全管控。有了这个基础的数据安全标准和统一数据安全接口,企业的全部业务系统和安全软件都可以具备精确的识别能力,从而实现精细化的数据安全管控效果。因此通过对企业业务系统及流程和安全软件的安全赋能,可以极大提高企业的数据安全管控能力,从根本上解决企业数据安全管控过程中的落地难得问题,解决企业安全软件使用效力达不到要求的问题。
企业建设数据安全底座后,数据资产安全管理运营中心可以真正成为企业数据资产管理的核心平台,让企业可以把握数据资产管理、把握企业数据分类分级管理、把握基于数据资产的访问权限管理、把握企业数据资产的认责管理、把握数据安全策略的统一输出、把握安全赋能管理,形成围绕企业重要核心数据资产的统一化标准化的安全管理体系,提升企业数据资产管理水平和安全管理能力,提升企业业务系统的应用价值。
声明:本文仅代表作者个人观点,不代表本公众号及其运营单位意见或立场。
