建設數據安全體系的思路是什么?
“數據安全不是簡單的工具堆疊,而是自上而下貫穿整個組織架構的完整鏈條。”
8月19日,“第八屆中國行業互聯網大會暨CIO班17周年年會”在北京隆重啟幕。
作為中國CIO領域極具影響力的互聯網行業盛會,本次大會以“走向全面數字化”為主題。眾多知名專家學者、各屆CIO班學員、知名企業CIO等數百位嘉賓參與本次盛會,聚焦行業數字化轉型實踐,探尋數字化轉型發展新趨勢。
深信服數據安全首席專家宋博韜出席大會并在分論壇以“數字化轉型背景下的數據安全治理”作了分享。
宋博韜認為,數字化轉型過程中,數字化沖擊無處不在,數字化重塑不可避免,加速釋放數據價值的同時帶來更多風險和責任。數據安全問題持續得到全球關注,眾多國家已將數據安全納入國家安全觀。隨著國家立法工作有序推進,我國相繼頒布并施行了《網絡安全法》《數據安全法》《個人信息保護法》,將數據安全保護提升至國家層面的新高度。
然而,一方面,伴隨數據自身價值的增加,獲取數據有利可圖,數據“內泄外竊/越權使用”的驅動力愈發凸顯;另一方面,數據現狀不清晰、數據權責不明確、制度策略不完備、防護理念不匹配,導致數據安全保護工作開展得并不理想,數據安全事件仍然頻發。
“要做好數據安全建設,首先要轉變理念”,宋博韜認為,“維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。”
“數據安全不是簡單的工具堆疊,而是自上而下貫穿整個組織架構的完整鏈條。”
宋博韜介紹,在長期的探索和實踐中,深信服形成了一套數據安全治理體系建設思路——以數據為中心,融合技術、管理和運營,構建覆蓋“云、網、端”的動態安全防護體系。
具體而言,包括組織戰略、數據探查、安全評估、安全保障、數據管控、持續改善6個過程。
1.組織戰略
識別組織數據安全治理的驅動力,定義數據安全愿景和目標,兼顧安全設計原則,制定組織的數據安全戰略,確保采取合理和適當的措施,以有效的方式保障數據安全;
建立由專業人員組成的數據安全統一團隊,推動數據安全保障工作持續、穩定、有序開展;
建立定制化的數據安全合規庫,有效為數據安全保障工作提供合規指引。
2.數據探查
識別、了解數據安全保護對象,洞悉數據種類、數量、分布、流轉、權限、責任現狀,摸清底數、明確權責;
建立數據分類分級標準,為數據的精細化管控和保護提供依據,針對不同的數據安全保護對象實現差異化保護,促進安全資源的精準投放和優化配置;
建立數據登記機制,確保新增數據增量清,歷史數據底數清,實現數據資產的動態管理。
3.安全評估
面向數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等數據處理活動,通過關聯、融合多源信息,在刻畫、還原數據處理活動完整鏈路的基礎上,快速發現數據處理活動存在的安全隱患和合規問題,指明數據安全治理實踐重點方向,定期開展數據安全評估,形成數據安全評估報告。
4.安全保障
建立健全全流程數據安全制度,落實數據安全保護責任,保障數據資產安全;
基于業務現狀、合規要求、風險容忍度、數據現狀和防護現狀,制定、優化數據安全策略,盤活現有資源,高效指導數據安全保護。
5.數據管控
面向數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等數據處理活動,按需構建數據安全支撐能力,為數據安全保駕護航;
以數據為中心的數據安全態勢感知能力,深度關聯數據、行為、場景、介質,從數據資產、數據訪問兩種視角出發,對異常狀態、異常行為進行監測預警,及時、全面發現安全隱患,快速、有效協同聯動響應。
6.持續改善
建立數據安全應急處置機制,發生數據安全事件,依法啟動應急預案,協調資源消除安全隱患,防止危害擴大,根據有關規定發布警示信息;
數據安全治理的各個過程,同步開展數據安全教育培訓,營造數據安全氛圍,助力數據安全保障工作落地;
建立明確的測評認證機制,并周期性開展測評認證工作,迭代優化數據安全治理體系,持續提高數據安全保障能力。
數據安全建設不能一蹴而就,需要分步建設、持續迭代。對此,宋博韜也說到:“深信服數據安全建設思路形成了洞悉現狀——合理防護——鞏固成效——持續迭代的良性循環體系,可以為數據安全建設提供參考。”
最后,宋博韜指出,深信服數據安全治理體系的核心優勢是“以簡御繁”,上述全量過程適用于從0-1建設數據安全體系的組織,在實踐中,組織可以匹配自身的數據安全愿景和資源基礎,靈活裁剪過程,確定數據安全治理落地模式。
例如,對于事件驅動的組織來說,可以采取“急用先行”的原則,優先做好安全保障和數據管控;對于已有一定網絡安全建設基礎的組織單位而言,則應優先“補齊短板”,做好安全評估、安全保障和數據管控;最后按需開展持續演進的體系化建設。
