基于數(shù)據(jù)分類分級的數(shù)據(jù)安全保護實踐探索

對數(shù)據(jù)進行風(fēng)險識別,精準(zhǔn)把脈。從基礎(chǔ)環(huán)境風(fēng)險、合規(guī)風(fēng)險、數(shù)據(jù)安全現(xiàn)有能力評估等維度進行數(shù)據(jù)風(fēng)險識別。對現(xiàn)有數(shù)據(jù)資產(chǎn)風(fēng)險有了清晰的認知,才能更好地給出風(fēng)險處置建議及安全保障體系建設(shè)規(guī)劃指導(dǎo)。

本文來自微信公眾號“數(shù)字經(jīng)濟雜志”,作者/聞云霞。

基于數(shù)據(jù)分類分級的數(shù)據(jù)安全保護現(xiàn)狀分析

國家在數(shù)據(jù)安全保護方面的政策中提及的比較突出的一項就是要對數(shù)據(jù)實行分類分級保護,加強對重要數(shù)據(jù)的保護,對核心數(shù)據(jù)要實行更加嚴格的管理制度。數(shù)據(jù)分類分級工作的重要性已經(jīng)成為共識,各行業(yè)組織機構(gòu)紛紛出臺數(shù)據(jù)分類分級工作的指導(dǎo)性文件。

在政務(wù)行業(yè),貴州、上海、浙江、四川等省市都出臺了適合本地的政務(wù)數(shù)據(jù)分類分級指南,力求通過對政務(wù)數(shù)據(jù)的分類分級工作,夯實數(shù)據(jù)安全保障基礎(chǔ),促進政務(wù)數(shù)據(jù)共享和開放,讓數(shù)據(jù)在安全可控的環(huán)境下進行流通,更好地服務(wù)公眾,造福人民。

在金融、醫(yī)療行業(yè)也出臺了相關(guān)的行業(yè)分類分級標(biāo)準(zhǔn),在主管部門已有指導(dǎo)文件的基礎(chǔ)上,下級機構(gòu)深入細化,制定符合本地實際的數(shù)據(jù)分類分級規(guī)范。

在電信運營商、鐵路、電力、教育、電網(wǎng)、人社、醫(yī)保等行業(yè)也都積極出臺指引性文件,指導(dǎo)本行業(yè)實施分類分級工作。

在以數(shù)據(jù)分類分級為基礎(chǔ)的數(shù)據(jù)安全保護實踐過程中,依然面臨不少挑戰(zhàn)。最突出的一點就是以數(shù)據(jù)分類分級為基礎(chǔ)的數(shù)據(jù)安全體系建設(shè)滯后。數(shù)據(jù)分類分級工作與數(shù)據(jù)安全保護工作脫節(jié),以數(shù)據(jù)分類分級為基礎(chǔ)的數(shù)據(jù)安全體系建設(shè)普遍滯后或不健全,沒有形成整體的數(shù)據(jù)安全體系規(guī)劃頂層設(shè)計,數(shù)據(jù)全生命周期安全管控措施缺失,缺少動態(tài)可監(jiān)測的運營保障機制,沒有形成有效的閉環(huán)機制。

基于數(shù)據(jù)分類分級的數(shù)據(jù)安全保護實踐路徑

數(shù)據(jù)安全保護需要多方位探索,綜合化、體系化地構(gòu)建數(shù)據(jù)防護體系。通過多行業(yè)不同類型客戶的相關(guān)實施經(jīng)驗,總結(jié)得出組織在利用數(shù)據(jù)分類分級成果建立有效的數(shù)據(jù)安全體系過程中,可以從以下幾方面(如圖1)入手建立切實有效的數(shù)據(jù)防護體系。

(一)數(shù)據(jù)安全咨詢體系

在對數(shù)據(jù)做安全保護措施前,應(yīng)該要知道目前有哪些數(shù)據(jù),以及這些數(shù)據(jù)在使用過程中會遇到哪些安全風(fēng)險,做到“知風(fēng)險”與“行安全”的辯證統(tǒng)一。

首先,要摸清家底,對數(shù)據(jù)進行分類分級。厘清數(shù)據(jù)現(xiàn)狀,形成有序清晰的數(shù)據(jù)資源列表,能夠全面直觀地知道組織有哪些數(shù)據(jù)、數(shù)據(jù)在哪里、數(shù)據(jù)體量、主要負責(zé)部門/負責(zé)人、數(shù)據(jù)使用情況等內(nèi)容,為數(shù)據(jù)分類分級打好基礎(chǔ)。

通過數(shù)據(jù)的業(yè)務(wù)屬性和安全屬性認知數(shù)據(jù)的價值和風(fēng)險,對數(shù)據(jù)進行分類和定級,這是數(shù)據(jù)安全保護的前提,基于分類分級的成果,才能更準(zhǔn)確地對不同類型、不同安全等級的數(shù)據(jù)設(shè)置不同的安全保護策略。

其次,對數(shù)據(jù)進行風(fēng)險識別,精準(zhǔn)把脈。從基礎(chǔ)環(huán)境風(fēng)險、合規(guī)風(fēng)險、數(shù)據(jù)安全現(xiàn)有能力評估等維度進行數(shù)據(jù)風(fēng)險識別。對現(xiàn)有數(shù)據(jù)資產(chǎn)風(fēng)險有了清晰的認知,才能更好地給出風(fēng)險處置建議及安全保障體系建設(shè)規(guī)劃指導(dǎo)。

(二)數(shù)據(jù)安全管理體系

數(shù)據(jù)安全保護措施不僅體現(xiàn)在安全技術(shù)能力建設(shè)的硬實力上,也包括建立自上而下的管理體系這種軟實力。對數(shù)據(jù)做好分類分級工作后,要圍繞數(shù)據(jù)生命周期(采集、傳輸、存儲、處理、交換、銷毀)形成以融合型組織、制度為基礎(chǔ)的保障體系。

從數(shù)據(jù)管理制度、技術(shù)制度、安全檢查制度等維度出發(fā),綜合考慮不同安全等級的數(shù)據(jù)在不同的生命周期過程中應(yīng)具備的安全管理能力。如設(shè)立數(shù)據(jù)管理員或數(shù)據(jù)保護官(DPO)角色,負責(zé)數(shù)據(jù)安全的日常管理和監(jiān)督;制定數(shù)據(jù)安全事件應(yīng)急響應(yīng)計劃,以便在發(fā)生數(shù)據(jù)泄露或其他安全事件時迅速應(yīng)對。對于安全等級較低的數(shù)據(jù),可以實施基本的數(shù)據(jù)安全管理措施,保障數(shù)據(jù)的可用性、完整性;對于安全等級較高的數(shù)據(jù),可以實施較嚴格的管理措施,且數(shù)據(jù)只能由被授權(quán)的人員訪問,對外共享的數(shù)據(jù)需滿足相關(guān)要求。保障數(shù)據(jù)的可用性、完整性和保密性。

(三)數(shù)據(jù)安全保障體系

數(shù)據(jù)安全保障體系包含技術(shù)保障和運營保障兩方面。

在數(shù)據(jù)分類分級實施成果及“知風(fēng)險”的基礎(chǔ)上,建立全方位的數(shù)據(jù)安全技術(shù)能力?;跀?shù)據(jù)分類分級結(jié)果,以聯(lián)動策略為牽引,建立以風(fēng)險管理為導(dǎo)向的全域、動態(tài)的安全聯(lián)動防御機制。

以數(shù)據(jù)分類分級為基礎(chǔ),基于分類分級的結(jié)果,通過與數(shù)據(jù)安全管理平臺等形成聯(lián)動策略,數(shù)據(jù)安全常態(tài)化監(jiān)測和智能風(fēng)險預(yù)警,全面提升數(shù)據(jù)安全防護能力,構(gòu)建圍繞數(shù)據(jù)全生命周期各環(huán)節(jié)的安全技術(shù)防護體系,從而實現(xiàn)企業(yè)數(shù)據(jù)安全全域統(tǒng)管、全局可控。形成從終端域、網(wǎng)絡(luò)域、運維域、業(yè)務(wù)域、數(shù)據(jù)域、管理域的全域數(shù)據(jù)安全技術(shù)保障(如圖2)。

同時,建立安全長效的運營體系是強化安全保護的基礎(chǔ)。通過數(shù)據(jù)安全運營,保障數(shù)據(jù)安全能力的持續(xù)更新,可以根據(jù)新的威脅、技術(shù)和業(yè)務(wù)需求不斷更新數(shù)據(jù)分類分級和安全保護策略。

包括但不限于數(shù)據(jù)資產(chǎn)的常態(tài)化梳理和分類分級;數(shù)據(jù)安全風(fēng)險的常態(tài)化分析預(yù)警;關(guān)注數(shù)據(jù)安全事件場景造成的風(fēng)險,完善現(xiàn)有安全應(yīng)急預(yù)案;定期對組織的數(shù)據(jù)安全管理體系和數(shù)據(jù)安全控制措施進行審計;關(guān)注數(shù)據(jù)安全領(lǐng)域的最新動態(tài)和技術(shù)發(fā)展,不斷優(yōu)化和完善數(shù)據(jù)安全保護措施;探索新興技術(shù)(如人工智能、區(qū)塊鏈)在數(shù)據(jù)安全中的應(yīng)用等。

數(shù)據(jù)安全文化建設(shè)及安全方面的培訓(xùn)也是不可忽視的內(nèi)容。組織要在業(yè)務(wù)發(fā)展、數(shù)據(jù)利用的過程中建立數(shù)據(jù)安全文化,鼓勵員工提高數(shù)據(jù)安全保護意識、積極參與數(shù)據(jù)保護。要對不同的崗位、不同級別的人員制定數(shù)據(jù)安全培訓(xùn)計劃,定期開展數(shù)據(jù)安全培訓(xùn)。從安全培訓(xùn)計劃、安全培訓(xùn)教材管理、安全培訓(xùn)實施、安全培訓(xùn)考核、安全培訓(xùn)歸檔等維度建立培訓(xùn)體系。

結(jié)語

數(shù)據(jù)安全保護工作需要具有全局的視角,多方、綜合、差異化地對數(shù)據(jù)進行保護。從發(fā)現(xiàn)問題、制定計劃(現(xiàn)狀分析)→需求分析、解決問題(安全體系建設(shè))→檢查驗證、評估效果(成效評估)→固定成績、問題總結(jié)(優(yōu)化完善)的路徑形成有效的數(shù)據(jù)保護體系。在實踐的過程中,要從組織自身實際發(fā)展?fàn)顩r和需求出發(fā),逐步建立和完善安全保護體系建設(shè),要具備可動態(tài)、敏捷調(diào)整的能力,保障安全體系的有效性。

保護并不是限制,要以保護促發(fā)展,在安全可靠的環(huán)境下推動數(shù)字經(jīng)濟的發(fā)展,讓數(shù)據(jù)創(chuàng)造更多的經(jīng)濟效益和社會效益。

(聞云霞 杭州美創(chuàng)科技股份有限公司 數(shù)據(jù)安全治理咨詢專家顧問)

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論