數(shù)據(jù)安全從1.0已經(jīng)走到3.0時代了�����,1.0時代以庫為中心;2.0時代以數(shù)據(jù)為中心��;3.0時代有一個重大的改變���,以體系為中心�����,將領(lǐng)頭者��、組織����,執(zhí)法機(jī)構(gòu)���,防護(hù)措施有體系地安排起來���。
針對數(shù)據(jù)安全治理,國家已經(jīng)開始行動�。先后發(fā)布《網(wǎng)絡(luò)安全法》、《個人數(shù)據(jù)保護(hù)法》等10余項法律法規(guī)。
其中��,安華金和參與了國標(biāo)《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》的制定���。此標(biāo)準(zhǔn)主要針對政務(wù)數(shù)據(jù)的共享交換安全及對政務(wù)大數(shù)據(jù)平臺的數(shù)據(jù)安全的技術(shù)要求���。另外,在政務(wù)數(shù)據(jù)分類分級方面�,安華金和也開始進(jìn)行相關(guān)研究,政務(wù)數(shù)據(jù)基本上分為九個等級����,運營商等多家企業(yè)單位已經(jīng)做了相關(guān)的指引��。
數(shù)據(jù)安全整體的治理體系和思路
數(shù)據(jù)安全治理體系分為四個階段和三個技術(shù)路線��。
四個階段包括:組織建立���、能力評估���、制度設(shè)計、技術(shù)設(shè)計��,這四個階段需要一步步落實;三個技術(shù)路線作為整體技術(shù)的支撐���,會穿插在四個階段進(jìn)行循環(huán)往復(fù)交錯���。
1、組織建立
數(shù)據(jù)安全體系建立過程中���,需要有高層領(lǐng)導(dǎo)參與配合���,保障組織順利建設(shè)。
很多單位在數(shù)據(jù)安全治理過程中都設(shè)置了監(jiān)督層�,包括監(jiān)督部門、財務(wù)部門�����、設(shè)計部門��,對各業(yè)務(wù)部門績效進(jìn)行評估����。有了這些部門的參與,數(shù)據(jù)安全體系就可以逐漸推進(jìn)下去����。
舉個例子�,很多銀行單位設(shè)立數(shù)據(jù)安全治理處����,并且高層領(lǐng)導(dǎo)參與其中,規(guī)定相應(yīng)的目標(biāo)和范圍��。下屬不同部門才可以進(jìn)行工作協(xié)同實現(xiàn)目標(biāo)����。
2、能力評估
組織建立完成��,需要基于自身業(yè)務(wù)情況�����,對數(shù)據(jù)安全能力進(jìn)行評估�。在數(shù)據(jù)安全能力評估的過程中�, 第一,要有業(yè)務(wù)專家去深入?yún)⑴c整個過程��;第二���,摸清數(shù)據(jù)所存放的位置����,數(shù)據(jù)的數(shù)量,數(shù)據(jù)的類別�����、級別���;包括人員類型�、權(quán)限設(shè)置�����,都要重點評估出來���。然后結(jié)合相關(guān)國家的標(biāo)準(zhǔn)評估出差距���,這個差距才是指導(dǎo)后續(xù)設(shè)計的準(zhǔn)則。在評估過程中要注意的一點是���,一定要基于業(yè)務(wù)流程進(jìn)行梳理�。
3、制度設(shè)計
一定要基于業(yè)務(wù)設(shè)計數(shù)據(jù)安全的制度��,因為設(shè)立制度是為了更好的把數(shù)據(jù)安全落實到業(yè)務(wù)領(lǐng)域��,而不是阻撓業(yè)務(wù)發(fā)展和共享����。制度的設(shè)計要遵循以下兩方面原則:一是要遵循行業(yè)和國家內(nèi)部的相關(guān)標(biāo)準(zhǔn)體系和法規(guī);二是要結(jié)合管理����、技術(shù)、業(yè)務(wù)流程等做一個總體的綱領(lǐng)和規(guī)范����。
4、技術(shù)設(shè)計
經(jīng)過長時間的積累��,了解全業(yè)務(wù)��,進(jìn)而得出技術(shù)模型�,最后引入技術(shù)工具����。技術(shù)工具并不是最重要的���,但是又非常重要。應(yīng)著重導(dǎo)入流程思路業(yè)務(wù)風(fēng)險���,做成長期的頂層規(guī)劃��。
三個技術(shù)路線包括摸底�����、管控和稽核��。摸底就是要摸下自家數(shù)據(jù)資產(chǎn)的家底:目前有多少數(shù)據(jù)���,什么應(yīng)用在訪問哪些數(shù)據(jù),哪些人用什么方式在對數(shù)據(jù)進(jìn)行管理����,這些人又擁有什么樣的權(quán)限;在進(jìn)行了全面的摸底后����,要根據(jù)摸底情況按照數(shù)據(jù)的不同類別、級別對數(shù)據(jù)進(jìn)行不同級別的管控手段��;最后要對數(shù)據(jù)管理進(jìn)行稽核,一方面是要對數(shù)據(jù)的訪問和使用情況進(jìn)行實時和全面的記錄���,一方面要為數(shù)據(jù)安全�、制度與管理手段提供依據(jù)和指導(dǎo)����。
數(shù)據(jù)安全治理應(yīng)用實踐
在政務(wù)大數(shù)據(jù)共享交換、大數(shù)據(jù)應(yīng)用展示���、大數(shù)據(jù)挖掘����、個人隱私信息���、數(shù)據(jù)跨境等場景中數(shù)據(jù)安全治理都有極高的應(yīng)用價值�����。
以某政務(wù)大數(shù)據(jù)共享交換平臺安全治理為例
關(guān)注點:
資產(chǎn)摸底祛僵尸��;分類分級促共享��;數(shù)據(jù)審批收權(quán)利�;行為訪問識風(fēng)險��;
安全需求:
1���、政務(wù)大數(shù)據(jù)百億條數(shù)據(jù)交換需求���;
2. 第三方云平臺搭建云基礎(chǔ)平臺,缺乏體系化數(shù)據(jù)安全解決方案��;
3. 數(shù)據(jù)安全不保障����,系統(tǒng)難上線。
解決方案
1����、確定范圍:確定評估對象是誰;核心系統(tǒng)有哪些���;評估數(shù)據(jù)范圍包括什么��;核心數(shù)據(jù)流有幾個環(huán)節(jié)��;
2���、資產(chǎn)梳理:數(shù)據(jù)資產(chǎn)底賬梳理前����,該單位并不清楚實際擁有多少數(shù)據(jù)庫���。對現(xiàn)有資產(chǎn)進(jìn)行梳理�����,得知目前共285個數(shù)據(jù)庫��。其中有85個庫缺乏管理�����;70個高熱度庫中95%包含隱私和重要數(shù)據(jù)��;
3�����、安全梳理:針對平臺對數(shù)據(jù)資產(chǎn)進(jìn)行風(fēng)險掃描�����,通過15天大數(shù)據(jù)平臺抽樣結(jié)果顯示�����,發(fā)現(xiàn)高危漏洞15個����,數(shù)據(jù)庫違規(guī)操作310次���;
4��、制度設(shè)計:此次制度設(shè)計由副省級領(lǐng)導(dǎo)牽頭做的總綱領(lǐng)���,直接提出虛擬組織的情況,部門的分工���,績效的范圍及目標(biāo)情況���;
5、安全設(shè)計:通過歸集���、存儲��、接口����、使用、交互�、銷毀六個環(huán)節(jié)結(jié)合不同的業(yè)務(wù)層次,全面梳理促進(jìn)共享��,做到全站式的監(jiān)控�;
治理價值:
政務(wù)數(shù)據(jù)全面梳理:針對政務(wù)云平臺,同步規(guī)劃����、同步建設(shè)。摸清建設(shè)過程中數(shù)據(jù)安全風(fēng)險問題���;
促進(jìn)政務(wù)數(shù)據(jù)交換共享:摸清各委辦局?jǐn)?shù)據(jù)底賬����,并進(jìn)行分類分級��,促進(jìn)數(shù)據(jù)共享交換�;
保障政務(wù)數(shù)據(jù)安全有效使用:針對數(shù)據(jù)歸集�、清洗��、分發(fā)�、共享開發(fā)等環(huán)節(jié)進(jìn)行不同層次的防護(hù)。
全周期監(jiān)控政務(wù)數(shù)據(jù)流轉(zhuǎn)問題:從數(shù)據(jù)進(jìn)入到流動到流出��,全棧審計不留死角�。
錯過前兩天的直播���?
看文章又覺得不過癮���?
還想要更具體的內(nèi)容方案?
掃描下方二維碼獲取PPT
產(chǎn)品咨詢:4000 258 365 
