企业数据安全管理建设

本文分析了数据时代下数据面临的安全威胁,分析了企业进行数据安全管理工作的必要性以及数据安全管理与数据治理、信息安全的关系。深入分析了数据安全管理的需求来源以及合规要求,提供了企业建设数据安全管理体系的方法与思路。

在移动互联网及云计算等技术的推动下,人们可获取并控制的数据日益丰富,我们已经进入了一个创造数据、获取数据、运用数据的“数据时代”。数据在被有效的挖掘、整合后可能产生巨大的价值,2020年4月9日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》对外公布,把数据与土地、劳动力、资本、技术并列为生产要素,凸显了数据这一新型、数字化生产要素的重要性。对于企业来说数据正逐渐成为与人、技术、流程同样重要的第四大核心竞争力。

同时近年来数据泄露和隐私事故越来越普遍,而且代价高昂。RiskBasedSecurity的一项研究发现,2019年数据泄露比2018年同期上升了54%以上。同时,IBM的2019年度数据泄露成本报告发现,数据泄露的平均总成本接近400万美元。高额的成本让企业不得不重视数据安全。

然而数据作为无形资产,诸多企业现有的管理体系难以对数据进行管理和监控,企业常常缺少对数据资产的准确认知,不知道如何开展数据安全管理工作,也缺乏有效的数据安全管控措施。数据安全管理能力的缺失势必会对企业发展与竞争力造成影响,构建有效的数据安全管理体系成为了“数据时代”下每个企业的必修课。

国际上普遍认为数据安全是企业数据治理框架的一部分,《DAMA数据管理知识体系指南》(DMBOK)中指出数据安全管理体系建设是企业数据治理的必要活动之一,企业应当在数据治理框架下开展数据安全管理工作。

企业数据安全管理建设

数据治理的十个领域(来源:《DAMA数据管理知识体系指南(DMBOK)》)

同时数据安全建设与信息系统安全管理体系密不可分,国际标准化组织(ISO)也在ISO/IEC27000系列标准的基础上发布了ISO/IEC27018、27701、以及29100系列标准为企业数据安全管理框架的建设提供了详细指导。

企业数据安全管理建设

信息安全与隐私

数据安全是企业信息安全保护中的建设重点。因此,在进行数据安全建设过程中,需要企业有良好的信息安全保护基础,建立完整的信息安全组织并制定有效的信息安全管理策略。在进行数据安全建设时,通过整体规划,分步建设的方式,使企业在逐步提高数据安全保护水平的同时避免资源的浪费,降低数据保护成本和工作难度。

数据安全建设动机

对于一些企业来说,当前存在一些严重的数据安全问题:

  • 缺少管理层驱动,相关职责不清,数据安全管理无法进行。
  • 数据安全管理无章可依,部门间配合困难,具体工作难以开展。
  • 缺少行之有效的管理体系落实风险管控措施,合规风险、业务风险以及安全风险难以实现有效控制。
  • 数据资产不清,无有效机制梳理数据资产。
  • 个别领域缺失数据安全控制措施,企业整体数据资产仍暴露在内部与外部威胁下。

监管角度下,我国出台的《网络安全法》、《数据安全法》、《个人信息保护法(草案)》以及行业主管部门的相关规定,均要求了企业应当依据法律法规以及相关标准的强制性要求建立健全数据安全管理制度,完善数据安全管理体系。(监管要求情况详见下表)

类型

名称

要求

国家法律

《数据安全法》

第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。

国家法规

《数据安全管理办法》

第六条:网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。

部门规章

《互联网个人信息安全保护指引》

4.1管理制度:应制订个人信息保护的总体方针和安全策略等相关规章制度和文件,其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明。

国家推荐标准

《GB/T35273-2020个人信息安全规范》

11.4开展个人信息安全影响评估:应建立个人信息安全影响评估制度。

金融行业规范

《银行业机构数据治理指引》

第二十四条银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。

金融行业标准

JR/T0171-2020个人金融信息保护技术规范

7.2.1安全制度体系建立与发布:金融业机构应建立个人金融信息保护制度体系,明确工作职责,规范工作流程。制度体系的管理范畴应涵盖本机构、外包服务机构与外部合作机构,并确保相关制度发布并传达给本机构员工及外部合作方。相关制度应至少包括个人金融信息保护管理规定、日常管理及操作流程、外包服务机构与外部合作机构管理、内外部检查及监督机制、应急处理流程和预案。

数据安全监管要求

综合来看,当前一些企业面临的最大问题就是缺少行之有效的安全管理体系来推动与指导数据安全工作的开展。因此,企业应结合自身数据安全管理现状以及国家监管要求,尽快建立各自的数据安全管理体系。

绿盟科技数据安全管理体系建设方案

绿盟科技数据安全管理体系建设方案致力于解决企业数据安全管理体系缺失的问题,帮助企业明确数据安全管理职责,确保管理工作有据可依,数据安全管理措施有序执行。自上而下地推动企业数据安全管理工作的开展。

数据安全管理体系建设方案的本质为咨询服务,基于对企业数据安全目标的充分理解,实际切合企业的业务与管理现状,构建并落实企业数据安全组织架构、制度体系与技术措施。

绿盟科技数据安全管理体系建设方案吸收了DAMA数据管理知识体系指南(DMBOK)中定义的数据安全管理关键活动,结合ISO27000系列标准中关于信息安全管理体系建立的标准流程,采取如下流程进行:

企业数据安全管理建设

数据安全管理体系建设流程

本方案会按照统一的四级文件架构和“简明、易懂、可行”的原则设计并输出数据安全管理制度。制度内容将以如下结构呈现:

企业数据安全管理建设

数据安全管理体系建设成果

虽然不同企业的安全目标,建设现状存在差异,但通过实施数据安全管理体系建设方案,均可获取以下收益:

  • 确保企业数据安全管理合规,可充分响应监管部门的相关检查。
  • 各部门职责明确,数据安全管理工作切实可行。
  • 确保企业业务符合国家关于个人信息保护的相关要求,通过管理机制确保企业合法合理地收集使用用户个人信息。
  • 构建企业数据资产管理机制,充分识别企业数据资产,确保安全合理地利用。

难点与解决思路

目前,大多数企业的数据安全建设工作尚处于起步或初步建设阶段,由于数据资源的结构日益复杂、规模日益庞大等问题,数据安全建设工作也面临一些风险问题及难点。

难点一:领导层重视程度不足,投入关注较少

高级管理层对于数据安全建设的重视程度不足,未能投入充足的资源保障,负责人难以承担和跨部门协调组织内部数据安全管理工作,数据安全仅被作为合规需求予以响应,各部门配合较被动。

思路一:在信息安全管理组织的基础上建立数据安全管理组织,依托原有的组织架构推进数据安全管理工作的实施。提升高级管理层对于数据安全工作的重视,提供充足的资源保障。

思路二:结合企业战略目标,构建整体数据安全治理框架,建立数据安全治理组织架构以及数据全生命周期风险管理机制。确保数据的合规可用和持续可控,切实履行数据安全管理职责,提升数据安全保障能力。

难点二:业务部门配合意愿较低,多部门协作困难

业务部门普遍认为数据安全管理工作责任归属于技术部门,缺乏主动性,缺少必要的业务要素,技术部门缺少业务认识,安全政策无法贴近业务实际,导致政策难以落地。

思路一:开展跨部门的安全需求沟通和高层访谈,理解和明确企业各个应用场景的数据安全需求、工作侧重点和范围,通过高层了解数据安全建设的定位、方针、策略等信息,建立有数据保护意识的企业文化。

难点三:系统建设缺乏统一标准,数据规模大且特征复杂

业务创新加速系统频繁迭代升级,系统间数据流转的情况以及数据资产的梳理未能得到应有的重视,管理工作往往急功近利,忽视基础管理工作的重要性。

思路一:建立安全开发管控机制,构建安全统一的开发标准,贯彻data protection by design and default的思路,确保信息系统与应用服务满足统一的数据保护标准。并利用治理机制和技术措施摸清数据资产的使用情况以及分布,有效实现基于数据类别与级别制定的多层次保护策略。

难点四:关联组织较多,增加数据共享安全风险

组织之间的业务合作促进了数据的共享,但企业的内部安全标准往往未超出其组织的边界,未涵盖供应商和其他外部合作伙伴。致使第三方机构可能造成企业发生数据泄露的风险。

思路一:制定第三方接入管理流程,对第三方进行审查和定期评估。适当要求第三方提供明确的风险管理文件,其中可包括尽职调查、详细的风险评估、合规声明及明确的事件响应要求等。

思路二:建立供应链安全管理机制,针对供应链中存在的威胁及弱点进行安全评估,并制定合理的防范措施,制定和实施供应链安全计划,对相关岗位职责人员进行培训。

难点五:应急预案缺乏操作性,无法落地

应急预案仅停留在纸面上,在实际发生数据泄露事件的情况下不能付诸操作实施,事件处置中“各自为政”,没有要求多部门协同演练,在部门职责的边界区域还有盲区。

思路一:设定应急场景,对预案的每个组成系统和方案进行仔细推演,进行实战化演练。建立演练评估和完善机制,对演练中发现的问题和薄弱环节提出针对性的研究处理方案,并加以完善,始终保持应急工作的敏锐性。

难点六:安全知识储备不足,安全能力仍待提高

数据安全规划建设工作缺乏前瞻性布局,缺乏相关研究且经验不足。

思路一:制定数据安全人才培养系统规划,通过培训,使员工夯实数据安全基础知识,强化数据安全意识,了解数据安全发展形势及前沿技术,拓展思维,全面提升相关人员的工作素质与能力。

思路二:引入外部管理理论和实践经验专家提供咨询服务,通过系统、科学的方法对企业数据安全建设需求进行深入剖析,找出企业短板或存在的问题,利用外部机构自身实践积累的知识共享库,为企业提供深刻而行之有效的管理建议。

企业应积极推动数据安全建设工作,履行网络安全合规义务,从组织、制度、技术等几个方面建立数据安全治理体系,将数据安全融入到企业运行、业务运营和品牌影响力等方面。最终,使数据安全管理成为管理企业文化的一部分。

未来发展

数据安全管理体系建设是很多企业进行数据安全管理工作的第一步也是必不可少的一步,后续数据安全工作的开展都离不开管理体系的支持。对于绿盟科技来说,本方案是绿盟整体数据安全解决方案中重要的一环。协助客户构建良好的数据安全管理框架,能够更加高效地将我司的数据安全能力提供给客户,充分确保我司为客户提供的服务、产品以及平台在合理合适的位置发挥着应有的作用。

当前阶段的数据安全管理体系建设注重于整体架构的搭建,在技术措施与管理流程的落地上仍有提升空间。未来将从以下方向对方案进行提升:

  • 数据安全文化培养;
  • 安全管理与平台能力的深度结合;
  • 管理流程与技术措施的高度自动化;
  • 融入数据治理框架,构建统一架构;
  • 通过安全建设提升企业竞争力;

来源:至顶网网络与安全频道

0赞

好文章,需要你的鼓励

2021

08/30

15:40

分享

点赞

邮件订阅
白皮书