作為數(shù)據(jù)安全建設(shè)的方法論�����,《數(shù)據(jù)安全治理白皮書(shū)》2.0經(jīng)全面升級(jí)更新后重磅發(fā)布����。該白皮書(shū)由中國(guó)網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理委員會(huì)(簡(jiǎn)稱數(shù)據(jù)安全治理委員會(huì))起草編著,系統(tǒng)探討國(guó)內(nèi)外數(shù)據(jù)安全情勢(shì)與市場(chǎng)趨勢(shì)����、相關(guān)標(biāo)準(zhǔn)與框架,并匯集了多個(gè)行業(yè)標(biāo)桿數(shù)據(jù)安全治理實(shí)踐����,可以為政府與企業(yè)進(jìn)行數(shù)據(jù)安全建設(shè)提供整體思考與規(guī)劃�����,為數(shù)據(jù)安全建設(shè)的設(shè)計(jì)與實(shí)施者提供具有參考價(jià)值的數(shù)據(jù)安全治理整體方案及案例實(shí)踐���。
《數(shù)據(jù)安全治理白皮書(shū)》2.0版本修訂說(shuō)明
《數(shù)據(jù)安全治理白皮書(shū)》2.0版本中��,針對(duì)以下內(nèi)容進(jìn)行修訂完善:
1��、增加數(shù)據(jù)庫(kù)防勒索技術(shù)�,針對(duì)數(shù)據(jù)庫(kù)勒索手段進(jìn)行分析,同時(shí)提出防勒索技術(shù)�����;
2�����、增加個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告相關(guān)解讀����;
3�����、國(guó)內(nèi)外數(shù)據(jù)安全事件概要更新至2019年��;
4���、增加數(shù)據(jù)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)列表說(shuō)明;
5�����、數(shù)據(jù)安全治理外部所要遵循的策略中增加個(gè)人信息安全管理規(guī)范��、銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引�����;
6����、附錄C數(shù)據(jù)安全治理實(shí)踐增加教育部數(shù)據(jù)安全治理實(shí)踐、市政務(wù)云數(shù)據(jù)治理實(shí)踐���、國(guó)家電網(wǎng)數(shù)據(jù)安全治理實(shí)踐三個(gè)新的行業(yè)實(shí)踐��;
7、附錄D國(guó)內(nèi)外重要數(shù)據(jù)安全事件例舉增加萬(wàn)豪集團(tuán)5億用戶數(shù)據(jù)或外泄和Oracle Rushql勒索病毒事件;
8�、增加數(shù)據(jù)透明加密保護(hù)技術(shù)�;
9�、增加數(shù)據(jù)庫(kù)防勒索技術(shù);
10��、全文內(nèi)容文字和段落結(jié)構(gòu)的優(yōu)化�����。
《數(shù)據(jù)安全治理白皮書(shū)》2.0精簡(jiǎn)版
1、數(shù)據(jù)安全建設(shè)需要系統(tǒng)化建設(shè)思路
1.1���、數(shù)據(jù)安全成為安全的核心問(wèn)題
回看過(guò)去二十余年�����,政府與企業(yè)的信息化程度不斷加深�,IT系統(tǒng)的復(fù)雜度與開(kāi)放度隨之提升�����;伴隨云計(jì)算、大數(shù)據(jù)��、人工智能等新興技術(shù)的飛速發(fā)展����,數(shù)據(jù)作為支撐這些前沿技術(shù)存在與發(fā)展的生產(chǎn)資料,已經(jīng)成為組織的核心資產(chǎn)�����,受到前所未有的重視與保護(hù)��。數(shù)據(jù)的安全問(wèn)題將引發(fā)企業(yè)和社會(huì)決策的安全問(wèn)題�����。數(shù)據(jù)的安全問(wèn)題��,已成為企業(yè)資產(chǎn)安全性���、個(gè)人隱私安全性�、國(guó)家和社會(huì)安全的核心問(wèn)題����。
1.2�����、數(shù)據(jù)泄露路徑多元化
過(guò)去幾年間���,大型數(shù)據(jù)泄露事件層出不窮,就數(shù)據(jù)泄露事件分析來(lái)看�����,既有黑客的攻擊��,更有內(nèi)部工作人員的信息販賣��、離職員工的信息泄露�����、第三方外包人員的交易行為����、數(shù)據(jù)共享第三方的數(shù)據(jù)泄露�����、開(kāi)發(fā)測(cè)試人員的違規(guī)等。
這些復(fù)雜的泄露途徑無(wú)一不在證明:傳統(tǒng)網(wǎng)絡(luò)安全中以抵御攻擊為中心�����、以黑客為防御對(duì)象的策略和安全體系構(gòu)建存在重大的安全缺陷�����,傳統(tǒng)網(wǎng)絡(luò)安全為中心需要向以數(shù)據(jù)為中心的安全策略轉(zhuǎn)變����。
1.3、數(shù)據(jù)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)大爆發(fā)
安全事件層出不窮����,企業(yè)資產(chǎn)和國(guó)家安全面臨挑戰(zhàn),個(gè)人隱私大范圍泄露�,在數(shù)據(jù)高度發(fā)展的時(shí)代,這些都為社會(huì)的安定�、個(gè)體自由與安全帶來(lái)了巨大挑戰(zhàn)。因此各國(guó)都相繼出臺(tái)了大量的法規(guī)�����,對(duì)個(gè)人、企業(yè)和國(guó)家重要數(shù)據(jù)進(jìn)行保護(hù)����。
1.4、數(shù)據(jù)安全建設(shè)需要有系統(tǒng)化思維和建設(shè)框架
隨著數(shù)據(jù)安全的重要度提升����,用戶在這個(gè)方向的投資也在增大,據(jù)KVB Research2017年大數(shù)據(jù)安全報(bào)告預(yù)測(cè)顯示��,大數(shù)據(jù)安全上2017年全球投資達(dá)到102億美金���,并且以17%的年復(fù)合增長(zhǎng)率在擴(kuò)大�,到2023年將達(dá)到309億美金�,也就是2000億人民幣。
(KVB Research在big data security上的市場(chǎng)預(yù)測(cè))
而在我國(guó)隨著網(wǎng)絡(luò)安全法的出臺(tái)�����,數(shù)據(jù)資產(chǎn)價(jià)值得到確認(rèn)�,政府機(jī)構(gòu)和企業(yè)在這個(gè)方向的投資也在加大��,以數(shù)據(jù)審計(jì)��、脫敏和加密為目標(biāo)的數(shù)據(jù)安全投資正在成為采購(gòu)的熱點(diǎn)。
數(shù)據(jù)安全治理的思路將數(shù)據(jù)安全技術(shù)與數(shù)據(jù)安全管理融合在一起�,綜合業(yè)務(wù)、安全�、網(wǎng)絡(luò)等多部門(mén)多角色的訴求,總結(jié)歸納為系統(tǒng)化的思路和方法��。
2�、數(shù)據(jù)安全治理基本理念
關(guān)于數(shù)據(jù)安全治理原則與框架,國(guó)際研究機(jī)構(gòu)Gartner對(duì)此進(jìn)行專屬領(lǐng)域的研究��,大型企業(yè)Microsoft從數(shù)據(jù)隱私合規(guī)角度也曾向市場(chǎng)提出隱私�����、保密和合規(guī)性的數(shù)據(jù)治理方案��。從國(guó)際視角對(duì)此理解的基礎(chǔ)上��,我們?cè)谥袊?guó)提出了數(shù)據(jù)安全治理理念與技術(shù)路線��,填補(bǔ)了該理念在中國(guó)的空白�����,更有效推動(dòng)實(shí)現(xiàn)該理念在國(guó)內(nèi)的執(zhí)行落地���。
2.1���、數(shù)據(jù)安全治理概述
數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論��,核心內(nèi)容包括:
(1)滿足數(shù)據(jù)安全保護(hù)(Protection)��、合規(guī)性(Compliance)�、敏感數(shù)據(jù)管理(Sensitive)三個(gè)需求目標(biāo)��;
(2)核心理念包括:分級(jí)分類(Classfiying)���、角色授權(quán)(Privilege)���、場(chǎng)景化安全(Scene);
(3)數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建����、資產(chǎn)梳理、策略制定�����、過(guò)程控制���、行為稽核和持續(xù)改善�;
(4)核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)�����、數(shù)據(jù)安全使用的策略和流程(Policy & Process)����、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。
2.2����、數(shù)據(jù)安全治理建設(shè)與演進(jìn)模型
為了有效地實(shí)踐數(shù)據(jù)安全治理過(guò)程,我們需要一個(gè)系統(tǒng)化的過(guò)程完成數(shù)據(jù)安全治理的建設(shè)
數(shù)據(jù)安全治理建設(shè)體系
組織構(gòu)建:在數(shù)據(jù)安全治理中��,首要任務(wù)是成立專門(mén)的安全治理團(tuán)隊(duì)�����,保證數(shù)據(jù)安全治理工作能夠長(zhǎng)期持續(xù)的得以執(zhí)行�����;
資產(chǎn)梳理:在隊(duì)伍構(gòu)建后���,重要的是對(duì)企業(yè)中的數(shù)據(jù)資產(chǎn)進(jìn)行盤(pán)點(diǎn)����;
策略制訂:根據(jù)梳理的情況,要對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類����,要對(duì)人員進(jìn)行角色劃分,要對(duì)角色對(duì)數(shù)據(jù)使用的場(chǎng)景進(jìn)行限定����,要對(duì)這些場(chǎng)景下的安全策略和措施進(jìn)行規(guī)定;
過(guò)程控制:不同的角色團(tuán)隊(duì)����,要在日常的管理、業(yè)務(wù)執(zhí)行和運(yùn)維工作中��,將相關(guān)的流程規(guī)定落地執(zhí)行��,要采用相對(duì)應(yīng)的數(shù)據(jù)安全支撐工具�����,在辦公和運(yùn)維的過(guò)程中將這些工具進(jìn)行融入;
行為稽核:要對(duì)數(shù)據(jù)的訪問(wèn)過(guò)程進(jìn)行審計(jì)��,看在當(dāng)前的安全策略有效執(zhí)行的情況下��,是否還有潛在的安全風(fēng)險(xiǎn)����;
持續(xù)改善:對(duì)當(dāng)前的數(shù)據(jù)資產(chǎn)情況進(jìn)行進(jìn)一步的梳理�����,改組當(dāng)前的數(shù)據(jù)安全組織結(jié)構(gòu)���,修訂當(dāng)前企業(yè)的數(shù)據(jù)安全策略和規(guī)范���,持續(xù)保證安全策略的落地。
3�����、數(shù)據(jù)安全治理的組織建設(shè)
數(shù)據(jù)安全治理首先要成立專門(mén)的數(shù)據(jù)安全治理機(jī)構(gòu)�,以明確數(shù)據(jù)安全治理的政策、落實(shí)和監(jiān)督由誰(shuí)長(zhǎng)期負(fù)責(zé)����,以確保數(shù)據(jù)安全治理的有效落實(shí)���。
某運(yùn)營(yíng)商的數(shù)據(jù)安全治理的相關(guān)組織和角色結(jié)構(gòu)圖
(注:深色是部門(mén),淺色是角色��,結(jié)構(gòu)中覆蓋了業(yè)務(wù)���、安全�、運(yùn)維和企業(yè)的相關(guān)管理支撐部門(mén))
4��、數(shù)據(jù)安全治理規(guī)范制定
在整個(gè)數(shù)據(jù)安全治理的過(guò)程中���,最為重要的是實(shí)現(xiàn)數(shù)據(jù)安全策略和流程的制定��,在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進(jìn)行發(fā)布�����,所有的工作流程和技術(shù)支撐都是圍繞著此規(guī)范來(lái)制定和落實(shí)�。
5�����、數(shù)據(jù)安全治理技術(shù)支撐框架
5.1、數(shù)據(jù)安全治理的技術(shù)挑戰(zhàn)
實(shí)施數(shù)據(jù)安全治理的組織����,一般都具有較為發(fā)達(dá)和完善的信息化水平,數(shù)據(jù)資產(chǎn)龐大�����,涉及的數(shù)據(jù)使用方式多樣化��,數(shù)據(jù)使用角色繁雜��,數(shù)據(jù)共享和分析的需求剛性���,要滿足數(shù)據(jù)有效使用的同時(shí)保證數(shù)據(jù)使用的安全性,需要極強(qiáng)的技術(shù)支撐��。
數(shù)據(jù)安全治理面臨數(shù)據(jù)狀況梳理���、敏感數(shù)據(jù)訪問(wèn)與管控���、數(shù)據(jù)治理稽核三大挑戰(zhàn)。
當(dāng)前數(shù)據(jù)安全治理面臨的挑戰(zhàn)
5.2�����、數(shù)據(jù)安全治理的技術(shù)支撐
5.2.1數(shù)據(jù)資產(chǎn)梳理的技術(shù)支撐
數(shù)據(jù)安全治理,始于數(shù)據(jù)資產(chǎn)梳理��。數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)庫(kù)安全治理的基礎(chǔ)���,通過(guò)對(duì)數(shù)據(jù)資產(chǎn)的梳理���,可以確定敏感數(shù)據(jù)在系統(tǒng)內(nèi)部的分布、確定敏感數(shù)據(jù)是如何被訪問(wèn)的��、確定當(dāng)前的賬號(hào)和授權(quán)的狀況�����。根據(jù)本單位的數(shù)據(jù)價(jià)值和特征�,梳理出本單位的核心數(shù)據(jù)資產(chǎn),對(duì)其分級(jí)分類��,在此基礎(chǔ)之上針對(duì)數(shù)據(jù)的安全管理才能確定更加精細(xì)的措施����。
(1)靜態(tài)梳理技術(shù)
(2)動(dòng)態(tài)梳理技術(shù)
(3)數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)
(4)數(shù)據(jù)資產(chǎn)存儲(chǔ)系統(tǒng)的安全現(xiàn)狀評(píng)估
5.2.2數(shù)據(jù)使用安全控制
數(shù)據(jù)在使用過(guò)程中,按照數(shù)據(jù)流動(dòng)性以及使用需求劃分��,將會(huì)面臨如下使用場(chǎng)景:
●通過(guò)業(yè)務(wù)系統(tǒng)訪問(wèn)數(shù)據(jù)
●在數(shù)據(jù)庫(kù)運(yùn)維時(shí)調(diào)整數(shù)據(jù)
●開(kāi)發(fā)測(cè)試時(shí)使用數(shù)據(jù)
●BI分析時(shí)使用數(shù)據(jù)
●面向外界分發(fā)數(shù)據(jù)
●內(nèi)部高權(quán)限人員使用數(shù)據(jù)
在數(shù)據(jù)使用的各個(gè)環(huán)節(jié)中,需要通過(guò)技術(shù)手段將各個(gè)場(chǎng)景下的安全風(fēng)險(xiǎn)有效規(guī)避����。
5.2.3數(shù)據(jù)安全審計(jì)與稽核
數(shù)據(jù)的安全審計(jì)和稽核機(jī)制由四個(gè)環(huán)節(jié)組成,分別是行為審計(jì)與分析����、權(quán)限變化監(jiān)控、異常行為分析�、建立安全基線。
6���、數(shù)據(jù)安全治理的發(fā)展展望
Gartner預(yù)測(cè),到2021年,將有超過(guò)30%的企業(yè)開(kāi)始實(shí)施執(zhí)行數(shù)據(jù)安全治理框架�����。到2022年,90%的企業(yè)戰(zhàn)略將明確數(shù)據(jù)作為關(guān)鍵企業(yè)資產(chǎn)�,數(shù)據(jù)分析作為必不可少的能力。30%的CDO(首席數(shù)字官)將與CFO(首席財(cái)務(wù)官)正式對(duì)組織的數(shù)據(jù)資產(chǎn)價(jià)值進(jìn)行評(píng)估�,以改善數(shù)據(jù)的管理和收益。超過(guò)30%的企業(yè)(目前不到5%)將使用其數(shù)據(jù)資產(chǎn)的財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估來(lái)對(duì)IT����、分析�����、安全和隱私的投資選擇進(jìn)行優(yōu)先級(jí)排序���。
數(shù)據(jù)安全治理產(chǎn)業(yè),大體可以分為大型數(shù)據(jù)中心用戶、安全治理咨詢服務(wù)商��、技術(shù)產(chǎn)品 供應(yīng)商�����、技術(shù)方案提供商;當(dāng)前在中國(guó)這樣的產(chǎn)業(yè)鏈環(huán)境正在形成,通過(guò)這些產(chǎn)業(yè)鏈的構(gòu)建,將為數(shù)據(jù)安全治理的落地提供保障����。
數(shù)據(jù)使用帶來(lái)的財(cái)務(wù)影響,Gartner最新通過(guò)信息經(jīng)濟(jì)學(xué)模型來(lái)評(píng)估����,即財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估(FinDRA)模型。信息經(jīng)濟(jì)學(xué)作為一個(gè)重要的工具���,可以使安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者����,首席信息安全官(CISO),首席數(shù)據(jù)官(CDO)和CIO���,根據(jù)收入機(jī)會(huì)評(píng)估每個(gè)數(shù)據(jù)集�����。信息經(jīng)濟(jì)學(xué)模型還允許他們對(duì)管理��、存儲(chǔ)�、分析和保護(hù)數(shù)據(jù)的有形和無(wú)形成本進(jìn)行評(píng)估�。財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估(FinDRA)模型如圖所示:
財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估流程
這意味著需要仔細(xì)評(píng)估不同金融負(fù)債的業(yè)務(wù)風(fēng)險(xiǎn),無(wú)論是數(shù)據(jù)貨幣化產(chǎn)生的短期還是長(zhǎng)期影響�����。該研究將描述如何評(píng)估潛在負(fù)債的規(guī)模并根據(jù)影響確定優(yōu)先級(jí)����。需要注意的是�,財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估是更廣泛的數(shù)字風(fēng)險(xiǎn)評(píng)估視圖的一部分。
7�����、附錄
附件A 詞匯列表
附件B?國(guó)際數(shù)據(jù)安全治理理論
附件C?數(shù)據(jù)安全治理實(shí)踐
附件D?數(shù)據(jù)安全生態(tài)環(huán)境
附件E?數(shù)據(jù)安全成熟度模型
附件F?數(shù)據(jù)安全治理重要相關(guān)技術(shù)
掃描二維碼
獲取白皮書(shū)完整版
產(chǎn)品咨詢:4000 258 365 
