構建企業數據資產保護的安全底座
隨著《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》的正式實施,數據安全已經成為企業數據管理和開發利用過程中最核心的問題之一,其范圍也擴大到安全和隱私兩個層面。在更為嚴格的監管要求及數據安全規范化管理的驅使下,企業數據安全管理工作面臨更高的管理要求及復雜度挑戰。
數據資產管理新模式
高效的企業數據資產運營管理需要對數據資產進行分類分級,數據安全管理管控的基礎也需要圍繞數據分類分級來進行,因此數據分類分級的管理難免成了企業數據管理乃至數字化轉型過程中非常重要的一環。
那如何從數據資產安全運營管理的角度來提升企業數據安全管理的能力呢?我們的建議是在企業清晰準確的數據資產清單的基礎上,建立以數據安全為目標的分類分級管理體系,同時將數據安全運營所必須的數據安全權責管理和數據訪問權限管理結合起來,形成企業數據安全防護策略的統一標準和接口,并把這些標準和接口作為數據資產安全運營管理的基礎架構輸出給企業的業務系統和安全管理軟件。
通過數據資產的安全運營管理中心可以幫助數據安全的運營者滿足數字資產的管理、數據安全的管理、數據權責的管理、數據安全策略的定制需求,同時又能把數據安全的能力作為一個公司統一的標準進行輸出,賦能給需要進行權限查詢的業務系統、安全軟件、安全網關、數據庫防火墻、終端管控軟件等。
建設企業數據安全底座的最大價值在于,建立以數據資產安全為核心的平臺,將數據安全最關鍵的安全管理信息匯總并統一管理后,可以連接所有業務平臺、關聯企業所有數據資產,并對所有的業務系統提供統一的數據資產安全管理基準。
數據安全底座的架構設計
通過對于數據資產安全屬性以及用戶賬戶訪問權限的關聯,可以準確識別企業任何一條數據資產的安全屬性,如此就具備了企業數據安全底座的標準輸出能力和賦能能力。
企業數據安全底座的功能主要包括資產管理、權限管理、權責認定、分類分級、安全策略、安全賦能。
資產管理:
數據安全治理關鍵是以數據資產為基礎的安全管控,因此數據資產管理是進行治理的前提。通過數據資產管理工具自動采集將企業的結構化、半結構化以及非結構化的資產進行盤點,形成數據資產目錄。
權責認定:
數據安全治理涉及安全專家、業務人員、數據管理人員等多種崗位的共同參與,如何能讓不同的參與人員專注于自己的職責、同時又不影響整體工作開展,如何讓多種角色的人員高效、簡單的協同工作,如何在問題發生時快速、準確的找到相關負責人、并解決問題?隨著數據安全治理管控的數據資產范圍不斷擴大、管控力度加深,這些問題嚴重影響安全治理的進度和效果。通過大量的實踐經驗來看,建立權責體系是解決這一問題的有效手段。通過工具快速建立人員、管控事項、管理職責的關系。同時支持權責關系的變更、預警等運營維護保證該關系持續有效。
分類分級:
分類分級是數據安全治理的核心,在企業的經驗中通常人工標記的方式執行。但是人工標記的方式一方面會因為不同人的理解不同造成同一個資產標記等級不一樣。另一方面隨著企業的資產數在不斷增加,人工標記的效率已經無法滿足業務使用。因此在分類分級過程中要采用系統工具自動化的進行分類分級。在實踐中,一種比較好的模式是分類分級工具根據數據資產目錄信息分類定級,在定級過程中對于無法自動定級的數據資產結合權責關系人工定級。通過任務、模型驅動流程化的方式推動多方角色協同,共同完成分類分級、敏感數據資產的識別。
權限管理:
隨著數據應用的場景日益增加,管理數據的使用權限成為數據安全治理的 關鍵。在數據安全治理過程中需要基于數據資產的分類分級結果進行統一數據 權限管理。保證管理人員可以給使用者進行數據授權,數據使用者可以申請數 據的使用權限。
安全策略:
對于數據資產,不同生命周期階段需要不同的數據管控策略,同一階段不同使用場景的管控策略也不相同。企業在管理過程中通常是采用不同的安全防護工具進行單獨管理的管理方式,這容易造成管控力度不統一,同一個數據鏈路中部分環節過于嚴格,部分環節過于松懈。因此,安全策略管理中,需要充分利用分類定級的結果,以數據安全等級為基礎進行管控,建立統一的數據管控標準,為各個環節的安全工具提供目標資產的標準。
安全賦能模塊:
數據安全管控軟件和產品在對企業組織的業務系統及相關業務流程進行管控時,都需要基于用戶賬戶對于數據資產的訪問權限和分類分級的管控要求進行識別,因此企業有必要建立統一的、基于數據資產和用戶賬戶權限的數據安全標準,只有建立統一的識別標準和識別接口,企業的所有的業務系統和安全軟件才可以具備精確的識別能力,從而實現精細化的數據安全管控效果,實現企業數據安全管控的最大價值。因此通過對企業業務系統、業務流程和安全軟件的賦能,可以極大的提高企業的數據安全管控能力,從根本上解決企業數據安全管控過程中的落地難問題,解決企業安全軟件使用效力不及要求的問題。
結語
企業建設數據安全底座后,數據資產安全管理運營中心可以更好地成為企業數據資產管理的核心平臺,讓企業更好的把握企業數據資產管理、企業數據分類分級管理、基于數據資產和訪問權限的管理、企業數據資產的認責管理、數據安全策略的統一輸出、安全賦能管理,形成圍繞企業重要核心數據資產的統一化、標準化安全管理體系,提升數據安全部門的安全管理能力和企業數據資產的管理水平,保障企業業務系統的安全價值。
