山石網科數據安全治理解決方案


背景

2020年4月,中共中央辦公廳、國務院辦公廳發布《關于構建更加完善的要素市場化配置體制機制的意見》,明確表示數據成為重要生產要素。數據成為國家基礎性戰略資源、重要生產要素,對于推動經濟高質量發展,助力國家經濟體系現代化具有重要作用。

法律層面,隨著《數據安全法》以及《個人信息保護法》的正式頒布及施行,企業對數據安全合規需求愈來愈強烈,企業數據安全體系建設、數據安全治理、數據安全保障的重要性不斷提升。

業務層面,企業數字化轉型依托數據共享交換實現信息資源集約化、服務化和標準化供給,為現代化水平、產業升級和創新提供支撐,相互獨立的業務將打破網絡和安全的邊界,走向融合。同時數據應用場景日益多元,整體業務環境更加開放,一方面需要防范內部人員和服務提供方被數據的價值吸引而惡意獲取、處理和泄露數據,另一方面,需要防范外部訪問人員惡意的數據竊取和數據破壞行為。

基于以上,傳統的基于邊界的圍欄式安全不能完全滿足數據流動中的安全防護需求,企業亟需構建新的數據安全防護體系。

方案概覽

作為數字世界的安全領航者,山石網科緊貼用戶側業務應用場景,以數據安全制度規范體系、數據安全運營管理體系、數據安全技術防護體系形成三維互鎖格局,同時借助數據安全應急響應體系、數據安全監督審計體系進行有力支撐,為企業構筑以數據為中心的可持續安全治理解決方案。

1、自上而下的數據安全治理

無論是數據安全法還是關基條例,都要求數據安全治理要有專門的組織和人員負責,并定崗定責。在數據安全治理的過程中,成立專門的數據安全治理機構是首要條件。該組織結合企業的戰略方針,制定符合自身的數據安全治理的政策,并落實和監督政策有效執行。

一般數據安全治理委員會會分為四個層面:決策層、管理層、執行層以及監督層。該機構一般由數據的利益相關者和專家構成,這個機構通常是一個虛擬的機構,但也可根據數據治理的戰略形成一個固定組織。

2、制度規范體系建設

當數據安全治理委員會建立后,結合法律法規的合規要求,以及企業自身的數據安全治理愿景,首先確定公司的數據安全治理成熟度目標。在成熟度目標確定后,根據企業自身業務特點,可以參考DSMM(數據安全成熟度模型)選定適合于本企業的安全過程域(Process Area)。針對選定的安全過程域中相關的規章制度基本實踐(Basic Practice),可以得出企業自身在數據安全治理過程中的規章制度現狀,以及差距分析。通過補齊、創建新制度,形成符合公司數據治理愿景的完整規章制度。

一般而言制度流程需要分層,層與層之間、同一層不同模塊之間需要有關聯邏輯,在內容上不能重復或矛盾。

3、技術防護體系建設

通過規章制度體系建設,可以確定公司數據安全戰略如何在企業落地。根據規章制度制定過程中對于安全過程域選擇,可以確定在關鍵安全過程域中的技術需求。數據安全治理永遠不是從零開始的,企業或多或少的都已經完成了一些安全方面的建設,通過對數據安全治理的技術需求的確認,分析企業現有安全建設的基礎技術能力,結合數據全生命周期以及通用安全需求,有針對性的進行技術能力補齊。

4、運營管理體系建設

基于已經完成的規章制度體系建設,以及技術能力體系建設,根據企業數據安全治理戰略選定的安全過程域,確定在組織建設以及人員能力建設方面的具體需求。

數據安全能力建設是一個系統工作,在開展組織架構的建設時,需要考慮組織層面的實體管理團隊以及具體的執行團隊,同時也要考慮虛擬的聯動小組,其中相關業務部門、IT部門、研發部門、HR、法務等部門都需要參與到數據安全的建設中。因為數據治理是一個自上而下的過程,數據安全管理委員會是最先建立的機構,其目的是明確數據安全的政策、落實和監督等工作,以確保數據安全能力建設的有效執行。通過完整體系建設的演進,基于選定的安全過程域,對組織建設提出了更加準確的要求,對整個數據安全治理組織進行補全。

同時,數據安全治理也不只是一個單純的技術類工作,更多的需要復合型工作能力,對于相關人員的能力也提出的更高的要求。數據安全人員能力主要包括了四個維度,數據安全管理能力、數據安全運營能力、數據安全技術能力和數據安全合規能力。

數據安全的人員能力建設會根據數據安全治理體系中的角色,有針對性的進行構建。對于不同角色的能力要求有側重也有交叉。通過組織建設和人員能力的針對性構建,形成企業的安全運營能力,以保證企業數據安全治理目標的達成。同時數據安全運營能力也能反過來保障企業的規章制度落地,以及技術能力的有效使用。

5、應急響應體系建設

隨著數據安全的三個核心體系建設完成,企業可以通過建設數據安全態勢感知與預警平臺,并與上級網絡安全信息共享平臺對接,構建應急預警平臺。針對數據安全事件落實重大事件報告制度和突發數據安全事件應急響應制度,建立健全安全應急預案、應急處置工作指南和處置流程圖。常態化開展數據安全攻防演練、應急演練、全員安全培訓,組建專家隊伍和支撐力量,提升全天侯、全場景、常態化、實戰化的網絡安全應急處置水平。

6、監督審計體系建設

企業需要針對數據全生命周期的各階段的安全管理情況進行監控與審計,以保證數據安全治理可以有效、持續地產生價值。在監督審查體系中可以著重于以下幾個方向,預警通報、安全監測和綜合評價。

預警通報

通過迭代升級監測預警的技術平臺,不斷提升隱患時間發現的水平,提高數據安全態勢感知能力。建立健全預警、通報、處置、整改、反饋閉環的工作機制,使得數據安全管理運營能力得到可持續的提高。

定期的數據安全審計和綜合評估

定期開展數據安全專項審計工作,對規章制度體系,技術防范體系,以及數據安全運營體系的實際運轉情況進行檢查;同時要配合主管、監管部門開展重要數據處理活動審計工作,通過開放安全相關數據訪問、提供技術支持等手段,對組織運作、技術系統、算法原理、數據處理等進行安全匯報,根據檢查情況對企業的數據安全治理情況進行綜合評估,確保數據安全運營的有效性和可持續提升性。

山石網科立足于安全行業和實際需求兩端,創見性的提煉了一套基于“一維到多維 混沌到有序”的數據安全治理體系方法論,目的是將復雜問題結構化,結構化的問題簡單化。對正在發愁如何開展部署數據安全治理的企業和組織,提供了一套完整的數據安全認知理論和關鍵落地路徑。