亿赛通“分·放·管·服”数据安全建设理念V2.0版
正式发布
2020年,
亿赛通在业内首次推出
“分·放·管·服”数据安全建设理念V1.0版,
在理念的指导下,
我司细分五大产品属性、
六十款+精细化产品。
如今,
“分·放·管·服”数据安全建设理念V2.0版,
正式发布,
即将开启亿赛通数据安全体系开发新纪元~
理念V2.0版从基于分、放、管、服四个层面的理解,过度到以“数据和人”为对象的两大革新、四步双闭环体系。
“分·放·管·服”数据安全建设理念V2.0版以“数据和人”为对象构建的数据治理、防护、流转、运营的双闭环体系,帮助企业形成扎实可靠的综合数据安全能力,为企业数据资产从产生价值到保值、增值的建立重要保障。
1
闭环一
从业务源头落实对数据分类分级、对人分权分责,制定和实施不同的策略,通过放管结合,构建动态的、主动的、智慧的、可运营的数据安全服务于业务的体系,形成“分放管服”的正反馈闭环。
2
闭环二
从制度层和技术层同时入手,制度主建指导数据安全体系建设,做到有规可依,技术主战保障制度实施,做到有规必依,违规必纠;通过技术不断发现风险补制度漏洞,优化制度,通过制度对技术创新提要求,形成制度和技术的循环优化闭环。
分的意义
分是把人和数据分开,制定不同的制度,应用不同的技术。对于数据要进行分类分级,识别数据属性、所有权,依法并依据企业实际业务归类,根据敏感或重要程度分级,逐渐形成重要数据资产化,重要信息敏感化,然后根据类和级定策略进行保护。对人要区分对象,分清职责和权限,权责对等,并减少特权账户,根据职责和权限匹配业务策略,匹配数据策略,确保权责和数据重要程度匹配,和业务的重要性匹配,有利于保障业务在保证数据安全的情况下畅通运行。
放的意义
放要建立在“分”的基础上,在做好数据分类分级、账户分权分责之后制定“放”的策略,并且配备有识别机制根据策略选择放行。有规则和标准以及事后管理的,一般数据和合规行为可以放行,但要配备事后审计,问题溯源。“放”是相对的,要与“管”结合来做。
管的意义
管是用行政工具和技术工具管确保对象(数据和人)在约定的范围内按制度运作。“管”的技术工具有很多种,比如DLP、加密、合规审查工具、脱敏、隔离交换、血缘分析工具等等,管理工具和业务场景及业务重要性匹配非常重要,“管”最大的问题是适度,管控强度和业务重要性需要进行适配,一般数据进行放行和弱管控,重要数据强管控,合法合规行为弱管控,合法合规行为滥用强管控。
放管结合
放和管是动态结合的,面对复杂的业务场景、多种类大批量的数据以及频繁变化的接触数据的人,需要及时调整放和管的策略,通过放管结合化被动为主动。
服的意义
服指的是数据安全制度体系和技术手段都是为企业业务服务的,业务数据是核心,确定数据的所有权、使用权和经营权,让数据能够合理合法的被使用和交易,确保数据信息不泄露、数据资产不流失,让数据在保证安全的情况被使用和交易,想更好的为业务本身服务,需要搭建数据安全运营管理平台,建立数据识别能力、防护能力、监测处置能力,搭配安全策略,形成综合运营能力。