为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
山石网科数据安全治理解决方案
背景
2020年4月,中共中央办公厅、国务院办公厅发布《关于构建更加完善的要素市场化配置体制机制的意见》,明确表示数据成为重要生产要素。数据成为国家基础性战略资源、重要生产要素,对于推动经济高质量发展,助力国家经济体系现代化具有重要作用。
法律层面,随着《数据安全法》以及《个人信息保护法》的正式颁布及施行,企业对数据安全合规需求愈来愈强烈,企业数据安全体系建设、数据安全治理、数据安全保障的重要性不断提升。
业务层面,企业数字化转型依托数据共享交换实现信息资源集约化、服务化和标准化供给,为现代化水平、产业升级和创新提供支撑,相互独立的业务将打破网络和安全的边界,走向融合。同时数据应用场景日益多元,整体业务环境更加开放,一方面需要防范内部人员和服务提供方被数据的价值吸引而恶意获取、处理和泄露数据,另一方面,需要防范外部访问人员恶意的数据窃取和数据破坏行为。
基于以上,传统的基于边界的围栏式安全不能完全满足数据流动中的安全防护需求,企业亟需构建新的数据安全防护体系。
方案概览
作为数字世界的安全领航者,山石网科紧贴用户侧业务应用场景,以数据安全制度规范体系、数据安全运营管理体系、数据安全技术防护体系形成三维互锁格局,同时借助数据安全应急响应体系、数据安全监督审计体系进行有力支撑,为企业构筑以数据为中心的可持续安全治理解决方案。
1、自上而下的数据安全治理
无论是数据安全法还是关基条例,都要求数据安全治理要有专门的组织和人员负责,并定岗定责。在数据安全治理的过程中,成立专门的数据安全治理机构是首要条件。该组织结合企业的战略方针,制定符合自身的数据安全治理的政策,并落实和监督政策有效执行。
一般数据安全治理委员会会分为四个层面:决策层、管理层、执行层以及监督层。该机构一般由数据的利益相关者和专家构成,这个机构通常是一个虚拟的机构,但也可根据数据治理的战略形成一个固定组织。
2、制度规范体系建设
当数据安全治理委员会建立后,结合法律法规的合规要求,以及企业自身的数据安全治理愿景,首先确定公司的数据安全治理成熟度目标。在成熟度目标确定后,根据企业自身业务特点,可以参考DSMM(数据安全成熟度模型)选定适合于本企业的安全过程域(Process Area)。针对选定的安全过程域中相关的规章制度基本实践(Basic Practice),可以得出企业自身在数据安全治理过程中的规章制度现状,以及差距分析。通过补齐、创建新制度,形成符合公司数据治理愿景的完整规章制度。
一般而言制度流程需要分层,层与层之间、同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。
3、技术防护体系建设
通过规章制度体系建设,可以确定公司数据安全战略如何在企业落地。根据规章制度制定过程中对于安全过程域选择,可以确定在关键安全过程域中的技术需求。数据安全治理永远不是从零开始的,企业或多或少的都已经完成了一些安全方面的建设,通过对数据安全治理的技术需求的确认,分析企业现有安全建设的基础技术能力,结合数据全生命周期以及通用安全需求,有针对性的进行技术能力补齐。
4、运营管理体系建设
基于已经完成的规章制度体系建设,以及技术能力体系建设,根据企业数据安全治理战略选定的安全过程域,确定在组织建设以及人员能力建设方面的具体需求。
数据安全能力建设是一个系统工作,在开展组织架构的建设时,需要考虑组织层面的实体管理团队以及具体的执行团队,同时也要考虑虚拟的联动小组,其中相关业务部门、IT部门、研发部门、HR、法务等部门都需要参与到数据安全的建设中。因为数据治理是一个自上而下的过程,数据安全管理委员会是最先建立的机构,其目的是明确数据安全的政策、落实和监督等工作,以确保数据安全能力建设的有效执行。通过完整体系建设的演进,基于选定的安全过程域,对组织建设提出了更加准确的要求,对整个数据安全治理组织进行补全。
同时,数据安全治理也不只是一个单纯的技术类工作,更多的需要复合型工作能力,对于相关人员的能力也提出的更高的要求。数据安全人员能力主要包括了四个维度,数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。
数据安全的人员能力建设会根据数据安全治理体系中的角色,有针对性的进行构建。对于不同角色的能力要求有侧重也有交叉。通过组织建设和人员能力的针对性构建,形成企业的安全运营能力,以保证企业数据安全治理目标的达成。同时数据安全运营能力也能反过来保障企业的规章制度落地,以及技术能力的有效使用。
5、应急响应体系建设
随着数据安全的三个核心体系建设完成,企业可以通过建设数据安全态势感知与预警平台,并与上级网络安全信息共享平台对接,构建应急预警平台。针对数据安全事件落实重大事件报告制度和突发数据安全事件应急响应制度,建立健全安全应急预案、应急处置工作指南和处置流程图。常态化开展数据安全攻防演练、应急演练、全员安全培训,组建专家队伍和支撑力量,提升全天侯、全场景、常态化、实战化的网络安全应急处置水平。
6、监督审计体系建设
企业需要针对数据全生命周期的各阶段的安全管理情况进行监控与审计,以保证数据安全治理可以有效、持续地产生价值。在监督审查体系中可以着重于以下几个方向,预警通报、安全监测和综合评价。
预警通报
通过迭代升级监测预警的技术平台,不断提升隐患时间发现的水平,提高数据安全态势感知能力。建立健全预警、通报、处置、整改、反馈闭环的工作机制,使得数据安全管理运营能力得到可持续的提高。
定期的数据安全审计和综合评估
定期开展数据安全专项审计工作,对规章制度体系,技术防范体系,以及数据安全运营体系的实际运转情况进行检查;同时要配合主管、监管部门开展重要数据处理活动审计工作,通过开放安全相关数据访问、提供技术支持等手段,对组织运作、技术系统、算法原理、数据处理等进行安全汇报,根据检查情况对企业的数据安全治理情况进行综合评估,确保数据安全运营的有效性和可持续提升性。
山石网科立足于安全行业和实际需求两端,创见性的提炼了一套基于“一维到多维 混沌到有序”的数据安全治理体系方法论,目的是将复杂问题结构化,结构化的问题简单化。对正在发愁如何开展部署数据安全治理的企业和组织,提供了一套完整的数据安全认知理论和关键落地路径。
