为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
3·15曝光丨“个人隐私泄露”愈演愈烈,企业如何高效治理数据安全
看山石网科
如何7步搞定
数据安全治理
2022年的“3·15”如期而至。在今年3·15晚会曝光名单中,互联网相关的问题就有7个,浏览网页造成手机号泄露、免费WIFI过度收集用户信息、儿童智能手表成“行走的偷窥器”等再次让“数据安全”、“隐私安全”成为了315的焦点话题。
在数字经济蓬勃发展的今天,数据成为国家基础性战略资源、重要生产要素,也由此滋生了牟取暴利的黑色产业链,个人信息泄露事件有增无减。作为数据处理者,拥有海量消费者信息的企业需要履行数据安全保护义务,接受政府和社会监督,承担社会责任。数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。
企业在数据安全治理过程中面临着各种困难与挑战。
首先,企业数据安全管理制度不完善。数据安全管理要解决的最突出的问题之一就是敏感数据的泄露,但造成数据泄露的原因很多情况下都是由于企业内部人员导致的,对企业员工内控的忽视是造成安全风险的重要原因。因此亟需建立完备、合规、有效的企业数据安全管理制度。
其次,数据权属争议大,管理责任不清。数据资产未认责,数据资产体量大且使用复杂,数据的所有权、使用权、安全责任等无法清晰划分。管理角色的职责边界模糊,数据安全管理角色可能会由研发、运维、安全、运营人员来兼任,没有独立的团队或虚拟团队,导致权责不清,不利于整体提升数据安全防护能力;同时,数据安全技术措施零散。现有的数据安全产品,大多都是单一数据安全功能,如:脱敏,加密,防泄密,其导致了各网络区域各数据安全产品间无法形成有效联动和整合机制,数据安全管控能力分散,无法形成统一数据安全管控体系。
最后,数据活动场景复杂,监管效能难提升。数据全生命周期涉及众多数据技术、数据处理主体,且数据流动范围广,从国家内部的数据流转到跨国界的数据传输,均增大了数据活动场景的复杂性,也提升了数据安全的监管难度。
接下来请看山石网科是如何在七步之内解决以上问题的:
第一步 组织建设
无论是《数据安全法》还是“关基条例”,都要求数据安全治理要有专门的组织和人员负责,并定岗定责。在数据安全治理的过程中,成立专门的数据安全治理机构是首要条件。该组织结合企业的战略方针,制定符合自身的数据安全治理的政策,并落实和监督政策有效执行。
第二步 现状摸底
为了对数据进行综合安全治理,首要任务便是对数据资产现状进行清查摸底。通过多种方式来发现数据所有者、存储位置、整体业务架构等信息。
第三步 数据分级分类
基于现行行业标准与安全实践经验制定合理、有效的数据分类分级规则,对数据资产进行全盘梳理,为实现“核心数据安全优先,其余效率优先”的差异化防护打下基础。
图注:我国部分区域、行业数据分类分级标准
第四步 风险评估+DSMM
结合风险评估和DSMM模型发现数据全生命周期安全管控能力方面的技术与管理的脆弱性及威胁性,从而发现自身数据安全问题和短板,明确数据安全保护需求,为数据安全治理体系的建设指明方向。
图注:DSMM为我国于2020年3月开始实施的GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》中提到的数据安全能力成熟度模型。
第五步 核心能力建设阶段
A 制度体系完善
综合法律法规、业务战略需求及风险现状制定数据安全治理的相关制度及规范,如组织架构建设规划、数据安全业务流程、数据安全制度考核标准等,从而指引技术工具的部署和运营管理建设。
B 技术工具实施
通过态势感知、权限管控、数据脱敏、数据加密、数据泄露防护、数据水印溯源等安全技术手段,加强数据安全监测和风险预警,全面提升数据安全防护能力,筑牢数据安全防线。
C 运营管理建设
三分靠技术,七分靠管理。一个好的运营管理体系可帮助企业实现数据安全治理的最终落地与可持续化运转。建立数据安全治理专业团队,提升数安管理、技术、合规能力,加强员工数据安全意识,实现数据安全运营的可视、可控、可持续。
第六步 监审与应急体系建设
随着数据安全的三个核心体系建设完成,企业需要针对数据全生命周期的各阶段的安全管理情况进行监控与审计,以保证数据安全治理可以有效、持续地产生价值。在监督审查体系中可以着重于以下几个方向,预警通报、安全监测和综合评价。
针对数据安全事件落实重大事件报告制度和突发数据安全事件应急响应制度,建立健全安全应急预案、应急处置工作指南和处置流程图。常态化开展数据安全攻防演练、应急演练、全员安全培训,组建专家队伍和支撑力量,提升全天侯、全场景、常态化、实战化的网络安全应急处置水平。
第七步 持续面向全员的培训
数据安全治理是一项持续的、需要全员参与、全民维护的工程,所以需要提升全民关于数据安全的意识,定期开展相关培训,增强包括数据安全委员会相关人员在内的数据安全知识和能力。
山石网科立足于安全行业和业务需求两端,创见性的提炼了一套基于“一维到多维,混沌到有序”的数据安全治理七步法,目的是将复杂问题结构化,结构化的问题简单化。为正在开展部署数据安全治理的企业和组织提供了一套完整的、科学的、切合自身业务的认知理论和关键落地路径。
作为数字世界的安全领航者,山石网科深刻理解合规要求以及紧贴客户业务场景,通过完整的五大体系构建组织的数据安全治理能力。其中以数据安全制度规范体系、数据安全运营管理体系、数据安全技术防护体系三大体系构建牢固的核心能力,同时通过数据安全应急响应体系、数据安全监督审计体系对整体框架进行支撑,为企业构筑以数据为中心的可持续安全治理解决方案。
