數據安全建設“六步走”,打造完備數據安全體系
當前,全球數字化轉型正在以爆發性速度快速發展,數據作為數字化的核心已經成為新時代的核心生產要素之一。9月1日《數據安全法》正式施行,如何做數據安全建設成為當前各行業負責人最為關心、關注的問題。經過多年項目經驗,并基于經驗進行凝練,天融信提出數據安全保障體系“六步走”建設思路,旨在為客戶數據安全建設提供體系化思路及參考。
構建數據安全保障體系需要厘清如下思路。首先,需要明確《數據安全法》和《網絡安全法》、《個人信息保護法》以及“等保2.0”之間的關系。這幾者是關聯關系,即在保證網絡安全的前提下,覆蓋數據安全及個人信息安全,在行業領域建設相關安全體系時,特別涉及到關鍵信息基礎設施時,必須要遵從“等保2.0”相關規范。在關聯性基礎之上,建設單位需要結合具體場景、行業特性、數據屬性量等,綜合判斷自身業務特點應該參照哪一部或哪幾部法律法規。其次,數據安全保障體系建設需要明確“技術”與“管理”并重思路,把“技術”作為“管理”的延續,即基于數據全生命周期構建數據安全指標,借助豐富的數據安全監測手段以及快速響應機制等,通過技術手段的不斷進步逐一落實數據安全管理目標。
數據安全保障體系六步走,共分為數據安全治理評估、數據安全組織結構建設、數據安全管理制度建設、數據安全技術保護體系建設、數據安全運營管控建設、數據安全監管建設。
01 數據安全治理評估
區別于合規要求的網絡安全建設,數據安全保障體系應建立在事實依據的基礎上,才能對自身業務最核心的數據安全風險采取技防監測、控制手段解決,所以第一步,即開展數據風險發現過程-數據安全治理評估。
通過數據安全治理專家團隊,從業務視角出發,對業務應用的現狀、使用情況進行調研、分析,確定業務的關聯關系、訪問的關鍵路徑、數據的流向及演變過程,結合對基礎安全管控措施的分析,找出主要業務所面臨的管理、技術及運營風險。其次,集合多個業務系統的調研結果,找出系統間的共性問題,為制定業務的數據安全管理規范提供第一手的參考依據。針對業務各系統及數據資產全面開展評估梳理工作,形成《數據資產清單》,明確相關平臺各系統的輸入輸出,數據所在位置及其處理、共享、交換等使用過程中數據重要度等內容。
基于業務場景梳理數據操作過程中的主體(人、用戶、賬號)、客體(數據)、過程(操作的時域、地域、權限、結果等)屬性;以角色控制為視角,明確被審計用戶(賬號)的類型、角色,包括應用程序所有者(業務賬號)、應用程序終端用戶(業務終端)、數據管理賬戶(數據庫管理員)等;建立符合業務最小夠用的安全策略模型。
02 數據安全組織結構建設
數據安全管理是一項需要多方聯動型的復合型工作,在開展組織架構建設時,需要考慮組織層面實體的管理團隊及執行團隊,同時也要考慮虛擬的聯動小組,所有部門均需要參與安全建設當中。同時,需要根據部門職責建立不同的數據安全角色以滿足數據安全建設的需求。
03 數據安全管理制度建設
前期的數據安全組織結構體系建設為后續數據安全建設提供了角色支撐,接下來需要從管理制度手段上進行梳理。數據安全保障體系的規范一般從業務數據安全需求、數據安全風險控制需要及法律法規合規性要求等幾個方面進行梳理,最終確定數據安全防護的目標、管理策略及具體的標準、規范、程序等。
一般情況下,數據安全管理規體系文件可分為四個層面:
- 一級文件是由決策層確定管理要求、目標及基本原則;
- 二級文件是由管理層根據一級管理要求制定通用的管理辦法、制度及標準。二級文件作為上層的管理要求,應具備科學性、合理性、完善性及普遍的適用性;
- 三級文件一般由管理層、執行層根據二級管理辦法確定各業務、各環節的具體操作指南、規范;
- 四級文件屬于輔助文件,一般包括操作程序、工作計劃、資產清單、過程記錄等過程性文檔。四級文件是對上層管理要求的細化解讀,用于指導具體業務場景的具體工作。
例如,數據安全分級指南的建設過程屬于數據安全管理制度建設中最為基礎的一環,首先要從行業中找到參考的數據分類分級指南(若沒有,可采用國標等相關具備參考價值的指南),其次結合自身業務實際情況,對業務數據進行管理層面的分類分級流程,最后基于自身的業務場景,形成自身的數據安全分級指南。
04 數據安全技術保護體系建設
不同安全級別的數據,可參照數據生命周期的原則進行數據安全應用執行。具體保護要求及措施,可參照國家相關法律、法規、標準及自身的數據安全相關管理制度、規范、標準執行。
05 數據安全運營管控建設
數據安全保障體系因其業務的持續性,需要進行長期性服務,建立完善的數據安全運營團隊是必然選擇。數據安全運營主要包括以下內容:
- 數據安全運維:主要是數據安全措施的使用、運維,駐場或定期對數據安全產品的使用情況進行分析,并結合管理要求,持續進行管控措施策略和配置的優化,并定期輸出數據安全運維報告和策略優化建議等;
- 應急預案與演練:按照相關要求,制定數據安全事件應急預案。并按照制定的應急規劃,按照安全事件的危害程度、影響范圍等對安全事件建分級,定期進行應急預案演練;
- 監測預警:圍繞數據安全目標,依據相關安全標準,建立數據安全監測預警和安全事件通報制度,收集分析數據安全信息,對安全風險及時上報,包括按需發布數據安全監測預警信息等;
- 應急處置:相關方按照應急預案,在發生安全事件時,采取應急處置措施,向主管部門上報重大安全事件,定期對應急預案和處置流程優化完善;
- 災難恢復:在數據安全事件發生后,根據安全事件的影響和優先級,采取合適的恢復措施,確保信息系統業務流程按照規劃目標恢復。
06 數據安全監管
移動互聯網時代下,數據承載的價值越來越高,數據面臨巨大的威脅,監管部門出臺相關法律法規,對數據從業者提出了相關要求,也明確了監管機構的責任。公安機關作為監管單位,將依法履職盡責,對數據處理者履行數據風險監測與風險評估等數據安全保護義務、遵守國家核心數據管理制度、向境外提供重要數據、配合公安機關開展數據調取、向外國司法或者執法機構提供數據等行為依法開展監督管理。
天融信作為國內數據安全領域的先導者,從率先提出“以數據為中心的安全技術架構”,到“以數據安全治理為基礎、數據安全生命周期為核心、數據安全防護為手段、數據安全運營為支撐”的方法論,致力于持續為客戶的數據安全提供全面、專業的安全能力,目前在運營商、金融、政府、能源、衛生、海關等行業領域得到廣泛應用與認證。同時,天融信也是注冊數據安全治理專業人員認證(CISP-DSG)的獨家運營機構,持續為國家培養和輸出數據安全專業人才。
