相對于傳統以安全技術能力建設為主要目標的數據安全管理平臺方案,安華金和數據安全運營管控平臺(DSP)將管理體系以及運營體系提升到與技術能力建設同等的高度。換言之,如果想要構建一套綜合性的數據安全平臺,那么參與到相關數據安全建設中的角色也必然會是多樣的;除傳統意義上利用技術工具來執行操作的數據使用人員之外,數據安全的管理方和運營監管方也要具備相應的手段來完成自身角色所承擔的任務,實現“管理、技術、運營”三個體系相輔相成,共同將整體解決方案真正落地。
數據安全為什么需要“運營”
在安華金和看來,開展數據安全運營體系建設,應以實現“可持續化的數據安全運營能力”為目標——將數據安全管理體系建設與數據安全技術體系建設二者以有效運營的方式持續推行并使用下去。因此,區別于傳統以“技術建設”為主的數據安全平臺類產品與解決方案,“運營”在DSP中占據了相當大的比重!那么問題的關鍵就在于,為什么在已將大量安全技術能力交付給客戶之后,還要投入如此多的精力去做“運營”呢?
結合上面提到的兩大數據安全體系建設可以發現,落實管理體系的規范和流程,以及發揮技術體系的安全監測與防護能力,是在解決關于數據安全措施“有和無”的問題;但除此之外,仍需要完善且常態化的運營能力來解決“能用和好用”的問題,唯有這樣才能讓管理體系建設真正落實到日常數據安全工作中,同時讓技術體系建設充分發揮其能力和效用。
通過持續優化數據安全策略、推動數據安全規范要求與業務相結合,并針對已發生數據安全事件的處理方式及后續風險提出整改措施等,實現“從制度指導與策略制定,到事件識別與風險處置,再回歸到優化改進制度及策略”的運營閉環。
在安全能力建設的前期,“安全管控”無疑是建設的重點;而伴隨安全管控手段的逐步完善,如何將安全管控日常化,以及如何在持續使用中完善并優化安全管控的措施和策略,從而令前期對安全能力建設的投入發揮更大的能效價值,則成為后續建設的重點。安華金和通過構建數據安全運營管控平臺,致力將數據安全運營提升到一個全新的高度,即通過“運營”讓安全監測與安全管控更具目的性,即讓客戶不止于“能用”,還要讓客戶感到“好用”,并“持續地用起來”。
數據安全該如何“運營”
根據運營工作的內容,可將運營體系劃分為“日常運營和運營監管”兩個方面,分別指向日常運營的執行者與運營結果的監管方這兩類角色。
1、日常運營
圍繞日常數據安全工作進行的相關操作需求,通過數據安全運營管控平臺,實現“集中化、規范化、流程化”的日常化數據安全運營目的。
須知,完成數據安全的“管理、運營及落實執行”是一個龐大且復雜的過程。在監管方明確工作任務的方向和重點后,執行者需要通過怎樣的業務流程、技術手段和安全策略將具體工作落實下去,是日常運營工作的主要困難。安華金和數據安全運營管控平臺通過“日常運營工作臺、待辦事項工作臺”等界面呈現方式將日常運營工作規范化、流程化、指標化;以清晰的業務流引導人員需要做什么,以及先做什么、后做什么;以清晰的數字統計來引導人員需要做哪些具體工作,以及怎么去做,從而切實解決了相關工作落實執行難的問題,在提高工作效率的同時,也極大降低了人工成本投入。
以數據安全建設的第一步——“摸清家底”(發現/管理數據資產)為例,DSP在日常運營工作臺中提供數據資產錄入的快捷入口:
· 通過創建“資產主動發現”任務來識別網內的“沉默數據資產”;
· 通過開啟“自動發現資產”引擎來識別網絡通信流量中的“活躍數據資產”;
· 通過線下批量導入、API對接等方式,完成對“已知數據資產”的錄入。
通過數字統計的方式來引導哪些資產需要核實,或哪些資產尚未被責任人和責任部門認領;根據責任人名下資產有哪些從未或近期未做過全面的數據安全狀態評估,來引導資產責任人完成數據資產的綜合安全評估,實現資產常態化的定級和安全狀況摸底。
通過以上工作臺的引導,讓負責“日常運營”的執行者清楚知曉針對資產的發現和管理都需要做哪些事情,又有哪些相應的手段和措施,以及怎樣在工作界面快速進入到業務流程中完成操作等等。
2、運營監管
建立運營監測中心,通過可視化的運營監管功能界面設計,從資產、數據、業務、合規、事件、處置、風險等多維度進行監管,幫助管理者全面掌握數據安全運營狀況,為指導和完善數據安全防護能力提供專業、準確的參考依據和信息化支撐手段。
通過針對數據資產的運營,全面展示數據資產類型、等級與涉敏數據的分布情況,清晰呈現數據資產的安全綜合評估狀態、使用情況、訪問源、認領負責人及歸屬部門等信息,從而幫助監管方掌握數據資產的整體管理狀況。
通過針對數據安全合規的運營,了解安全標準實施、合規項符合度稽核、策略與資產關聯等方面的實際情況,持續跟蹤規范標準對應措施的落實效果;通過針對數據安全策略的稽核,可以跟蹤策略的實際落實,掌握資產合規程度、數據安全措施和策略的應用情況。
通過對已經產生的數據安全事件的運營,了解不同數據安全事件的類型分布,識別頻發的數據安全事件來源,為相關數據安全建設提供目標性的參考;根據數據安全事件發生的趨勢,對相關建設成效進行直觀呈現;根據所發生的安全事件在數據資產中的對應分布狀況,鎖定安全事件高發的數據資產,界定出需要予以重點關注的數據資產范圍;根據數據安全事件的狀態稽核,通過量化指標幫助監管方了解數據資產負責人對安全事件的處置數量和進度。
通過對數據安全風險的運營,可視化展示數據安全風險類型的分布情況,直觀指出數據安全建設薄弱或缺失的環節,為完善數據安全工作提供準確性的指導;根據數據安全風險趨勢,可以讓監管方直觀了解安全建設的效果是在持續提升,還是不斷惡化。
通過“數據資產、安全策略合規、安全事件、安全風險”四大視角的運營手段,量化每個維度的數據安全管控建設指標,明確哪里做得好、好到什么程度,以及哪里做得有所欠缺、需要如何改進和優化等,從而不斷豐富和提升數據安全建設的完整性和成熟度。
以數據資產管理的運營監管為例,DSP可提供“數據資產和業務資源”兩種數據地圖視角,通過可視化圖表直觀呈現數據資產的構成及分布狀態、數據資產的登記/認領備案及安全狀態、涉敏資產的分布狀態、涉敏數據的等級及類型分布狀態、資產使用方的狀態等:
作為中國數據安全治理理念的提出者和踐行者,安華金和基于多年來對大量行業客戶在數據使用場景及安全防護需求方面的深入調研分析與實踐經驗積累,推出以“可實用、可持續”為設計初衷,“一站式、體系化”的數據安全運營管控平臺——可集合包括數據資產梳理、數據庫防火墻、數據庫審計、數據脫敏、數據庫運維管理、數據庫加密等在內的各類數據安全產品優勢于一身,通過可視化的信息呈現與工作引導,真正實現“統一部署、統一監控、統一管理、統一運營”的數據安全日常化、可持續的運營管控目標,是當前乃至未來很長一段時期內開展數據安全治理工作的優選方案,讓數據使用更安全!
產品咨詢:4000 258 365 
