大数跨境
首页
>
数安智库|数据安全治理体系建设的思路与方法
>
0
0

数安智库|数据安全治理体系建设的思路与方法

数安智库|数据安全治理体系建设的思路与方法 亿赛通
2022-08-11
1
导读:数据安全治理工作开展背景近年来,《网络安全法》《数据安全法》《个人信息保护法》等法律接连发布,“等保2.0”

数据安全治理工作开展背景

近年来,《网络安全法》《数据安全法》《个人信息保护法》等法律接连发布,“等保2.0”、《个人信息安全规范》、《数据安全治理能力评估方法》等标准持续落地,数据安全作为“总体国家安全观”的重要组成部分,成为国家合规监管的重点。同时,数据安全作为数据要素价值化的前提和基础,是各行业健康平稳发展的刚需。Risk Based Security(RBS)《Data Breach Report: 2021 Year End》数据显示,2021 年全球公开披露的数据泄露事件 4145 起,共导致超 220 亿条数据泄露。在合规建设、业务发展、风险控制等多重需求的推动下,数据安全已经成为关系国家、企业生存发展的重中之重。

随着云计算、5G、物联网、人工智能等创新技术的发展,数据向云、网、端等应用场景不断延伸,数据跨网络边界、业务部门的流转成为常态,单点的安全防护手段缺乏协调联动能力,安全策略全面性弱、一致性差、管控效率低,难以发挥贯穿数据处理全流程的整体防护能力。在国家《“十四五”数字经济发展规划》的不断推进下,为实现大规模的数据共享和业务协同,数据安全必须与业务进行体系化融合,实现全场景、全流程、全链路的安全保障,通过统一的管控平台,推进产品、技术和管理的协同治理,形成数据安全综合治理体系。

数据安全治理体系建设思路与方法

数据安全治理是基于数据安全合规要求、用户的业务发展需要和风险承受能力等多重因素,以“数据安全管理和技术能力”为依托,实现业务与安全融合发展的安全建设机制。整个体系以“身份”和“数据”为中心,从决策层到技术层,从管理制度到技术支撑,通过构建自上而下、全流程、可闭环的完整链条,确保数据资产可视、数据威胁可管、数据风险可控、数据血缘可溯。数据安全治理工作通常围绕以下四个方面进行能力建设:
1.构建数据安全统一规划和统筹管理的能力

依据数据安全相关法律法规、标准规范等国家和行业合规要求,结合用户企业的数据安全现状,规划、建设包含数据安全指导方针、数据安全组织体系、数据安全制度体系、数据安全策略体系、数据安全运营体系、数据安全能力体系的数据安全治理总体框架。具体工作可综合考量安全基础、安全预算等因素分阶段进行:

第一阶段包含安全战略方针、组织架构建设、制度流程设计、安全能力规划、建设实施路线等工作,建立切合自身安全需求和发展需要的数据安全管理和制度体系;

第二阶段包含合规基线建立、全量数据梳理、敏感资产盘点、分类分级策略制定和实施、数据风险评估等,进行数据安全方针和策略的落地;

第三阶段包含量化评价指标的建立,并结合评价结果及时完善前期的治理工作,使得数据安全管理制度高效融入业务卡点,保障部署的安全策略持续有效运行。

与此同时,通过定向的培训课程,培养全体人员的安全意识,并以提升安全团队成员的专业能力为重点,进一步赋能数据安全治理体系的高效实施。

2.构建数据资产可量化、可归类、可评估、可追溯的能力

数据相比土地、资本等传统生产要素,具有规模难量化、类别级别难确定、风险难评估、流向难追溯等特点。解决这些难点,对于后续的数据安全治理工作至关重要。可以通过:

  • 调研和工具的方式,详细梳理数据资产脉络,形成数据资产总量和分布视图,实现数据资产的可量化;
  • 根据现有分类分级标准要求和行业实践经验沉淀,结合数据的动态和多维度特性,采用“点”“面”结合的分类法,通过预制分类分级规则和平台自动识别,形成分类分级清单,并通过动态校验,持续完善分类分级规则,提升结果的准确度,实现数据资产类别、级别的可确定;

  • 针对数据收集、存储、使用、公开等境内处理活动以及数据出境风险,围绕数据本身,运用人员访谈、配置检查、旁路验证等手段,从合规对标情况、管理脆弱性、CIA威胁识别、已有安全措施等多个角度综合考量,形成数据安全风险评估报告,实现数据安全风险的可评估;

  • 通过网络嗅探、细粒度授权管控、用户行为分析等技术,结合数据防泄漏、运维审计、数据脱敏等产品能力,梳理数据从采集、传输、共享到销毁的流向,形成数据流转视图,实现数据资产的可追溯;
3.构建全场景的数据安全防护能力
数据在与业务融合的过程中,不再局限于文件和数据库的静态使用,而是随着业务发展的需要打破存储空间、系统、应用、网络的边界,走向泛化。在“以边界为核心”的安全框架基础上,建立“以数字身份和数据资产”为核心的新型防护体系,从静态的数据存储和访问安全保障,转向跨系统、跨平台甚至跨行业、跨地域的全场景数据流通保护。具体做法包括:

  • 通过驱动级智能加密、数据防泄漏、数据脱敏、数字水印、安全网关、数据库审计等技术和产品的融合,实现数据在生产、测试、应用、运维等场景下的安全保障;

  • 以数据资产为中心,利用隐私计算技术,实现数据“拥有权”和“使用权”的分离,确保“数据可用不可见”,实现数据在开放共享过程中的安全使用和流通需求;

  • 以数字身份为中心,搭建零信任访问控制系统,通过统一身份、动态鉴权、持续评估,实现跨网融合场景下访问行为的细粒度管控等。

4.构建一体化的数据安全运营管控能力

传统的数据安全以单点建设为主,围绕数据处理活动,进行分段式保护,在数据流通连续性需求空前高涨的背景下,一旦存在某个薄弱环节,容易导致整体保障工作功亏一篑。通过搭建运营管控平台,集成覆盖数据识别、防护、监测、响应、恢复(IPDRR)各阶段的安全能力模块,向上为组织制度统一贯彻提供能力支撑,向下作为统一调度中心,联动各项安全能力,实现子系统数据的统一汇聚和统筹管理。具体做法包括:

  • 以敏感数据为中心,基于分类分级结果,监控全平台数据的流动轨迹,分析业务流向与数据安全的关联关系,绘制数据流转路径,为风险感知和泄露溯源提供信息支撑;
  • 以数字身份为中心,基于海量数据挖掘和日志分析结果,构建数字身份画像,并通过标签化管理,形成用户行为基线,为异常行为预判提供理论依据;
  • 基于构建的数据流转路径和用户行为基线,通过SOA配置编写剧本固化分析场景、处置场景及处置手段,实现智能告警和安全事件自动编排等。

  总结  

数据安全治理是随着业务数据化和数据资产化,为适应数据安全保障需求而不断更新的产物,其最终落脚点在于“兼顾发展与安全”,实现数据资产在安全保障下的自由流通。基于数据安全治理体系建设框架,从全局层面整合资源,通过管理和技术手段的结合,形成符合企业现实需要,逐步落地、持续深化的数据安全保障机制。
  • 管理层面,进行组织制度建设、安全策略制定、安全意识能力提升等工作,明确数据安全治理的工作方向,夯实安全规范的落地基础,保障管理制度和安全策略的高效运行;
  • 技术层面,在数据梳理、分类分级、风险评估、防护策略等工作统筹落实的基础上,执行敏感数据流转的动态监控、综合分析、智能响应,建立及时高效、可持续优化的安全防护和运营体系。

最终随着实践经验的积累,以及创新技术和应用的成熟,持续加强安全与业务的深层融合,最大化实现“安全保发展”的战略目标。

【声明】内容源于网络
0
0
亿赛通
关注亿赛通官方微信,抢先知晓数据安全、网络安全及监管安全行业的最新动态。
内容 404
粉丝 0
亿赛通 关注亿赛通官方微信,抢先知晓数据安全、网络安全及监管安全行业的最新动态。
总阅读145
粉丝0
内容404