數(shù)據(jù)安全從1.0已經(jīng)走到3.0時(shí)代了,1.0時(shí)代以庫(kù)為中心���;2.0時(shí)代以數(shù)據(jù)為中心���;3.0時(shí)代有一個(gè)重大的改變,以體系為中心�����,將領(lǐng)頭者����、組織,執(zhí)法機(jī)構(gòu)�,防護(hù)措施有體系地安排起來(lái)。
針對(duì)數(shù)據(jù)安全治理�,國(guó)家已經(jīng)開(kāi)始行動(dòng)。先后發(fā)布《網(wǎng)絡(luò)安全法》�����、《個(gè)人數(shù)據(jù)保護(hù)法》等10余項(xiàng)法律法規(guī)���。
其中����,安華金和參與了國(guó)標(biāo)《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》的制定。此標(biāo)準(zhǔn)主要針對(duì)政務(wù)數(shù)據(jù)的共享交換安全及對(duì)政務(wù)大數(shù)據(jù)平臺(tái)的數(shù)據(jù)安全的技術(shù)要求�����。另外����,在政務(wù)數(shù)據(jù)分類(lèi)分級(jí)方面,安華金和也開(kāi)始進(jìn)行相關(guān)研究���,政務(wù)數(shù)據(jù)基本上分為九個(gè)等級(jí)���,運(yùn)營(yíng)商等多家企業(yè)單位已經(jīng)做了相關(guān)的指引。
數(shù)據(jù)安全整體的治理體系和思路
數(shù)據(jù)安全治理體系分為四個(gè)階段和三個(gè)技術(shù)路線���。
四個(gè)階段包括:組織建立���、能力評(píng)估、制度設(shè)計(jì)���、技術(shù)設(shè)計(jì),這四個(gè)階段需要一步步落實(shí);三個(gè)技術(shù)路線作為整體技術(shù)的支撐���,會(huì)穿插在四個(gè)階段進(jìn)行循環(huán)往復(fù)交錯(cuò)���。
1、組織建立
數(shù)據(jù)安全體系建立過(guò)程中��,需要有高層領(lǐng)導(dǎo)參與配合�,保障組織順利建設(shè)。
很多單位在數(shù)據(jù)安全治理過(guò)程中都設(shè)置了監(jiān)督層����,包括監(jiān)督部門(mén)、財(cái)務(wù)部門(mén)��、設(shè)計(jì)部門(mén)�����,對(duì)各業(yè)務(wù)部門(mén)績(jī)效進(jìn)行評(píng)估��。有了這些部門(mén)的參與����,數(shù)據(jù)安全體系就可以逐漸推進(jìn)下去���。
舉個(gè)例子,很多銀行單位設(shè)立數(shù)據(jù)安全治理處�����,并且高層領(lǐng)導(dǎo)參與其中���,規(guī)定相應(yīng)的目標(biāo)和范圍�����。下屬不同部門(mén)才可以進(jìn)行工作協(xié)同實(shí)現(xiàn)目標(biāo)�。
2�����、能力評(píng)估
組織建立完成����,需要基于自身業(yè)務(wù)情況,對(duì)數(shù)據(jù)安全能力進(jìn)行評(píng)估��。在數(shù)據(jù)安全能力評(píng)估的過(guò)程中�����, 第一���,要有業(yè)務(wù)專(zhuān)家去深入?yún)⑴c整個(gè)過(guò)程����;第二����,摸清數(shù)據(jù)所存放的位置,數(shù)據(jù)的數(shù)量�����,數(shù)據(jù)的類(lèi)別��、級(jí)別��;包括人員類(lèi)型��、權(quán)限設(shè)置�,都要重點(diǎn)評(píng)估出來(lái)。然后結(jié)合相關(guān)國(guó)家的標(biāo)準(zhǔn)評(píng)估出差距����,這個(gè)差距才是指導(dǎo)后續(xù)設(shè)計(jì)的準(zhǔn)則��。在評(píng)估過(guò)程中要注意的一點(diǎn)是�,一定要基于業(yè)務(wù)流程進(jìn)行梳理�����。
3���、制度設(shè)計(jì)
一定要基于業(yè)務(wù)設(shè)計(jì)數(shù)據(jù)安全的制度����,因?yàn)樵O(shè)立制度是為了更好的把數(shù)據(jù)安全落實(shí)到業(yè)務(wù)領(lǐng)域��,而不是阻撓業(yè)務(wù)發(fā)展和共享�����。制度的設(shè)計(jì)要遵循以下兩方面原則:一是要遵循行業(yè)和國(guó)家內(nèi)部的相關(guān)標(biāo)準(zhǔn)體系和法規(guī)���;二是要結(jié)合管理�、技術(shù)、業(yè)務(wù)流程等做一個(gè)總體的綱領(lǐng)和規(guī)范�����。
4��、技術(shù)設(shè)計(jì)
經(jīng)過(guò)長(zhǎng)時(shí)間的積累�����,了解全業(yè)務(wù)����,進(jìn)而得出技術(shù)模型�����,最后引入技術(shù)工具����。技術(shù)工具并不是最重要的,但是又非常重要���。應(yīng)著重導(dǎo)入流程思路業(yè)務(wù)風(fēng)險(xiǎn)�,做成長(zhǎng)期的頂層規(guī)劃�。
三個(gè)技術(shù)路線包括摸底�、管控和稽核�。摸底就是要摸下自家數(shù)據(jù)資產(chǎn)的家底:目前有多少數(shù)據(jù),什么應(yīng)用在訪問(wèn)哪些數(shù)據(jù)��,哪些人用什么方式在對(duì)數(shù)據(jù)進(jìn)行管理����,這些人又擁有什么樣的權(quán)限;在進(jìn)行了全面的摸底后����,要根據(jù)摸底情況按照數(shù)據(jù)的不同類(lèi)別、級(jí)別對(duì)數(shù)據(jù)進(jìn)行不同級(jí)別的管控手段��;最后要對(duì)數(shù)據(jù)管理進(jìn)行稽核�����,一方面是要對(duì)數(shù)據(jù)的訪問(wèn)和使用情況進(jìn)行實(shí)時(shí)和全面的記錄��,一方面要為數(shù)據(jù)安全��、制度與管理手段提供依據(jù)和指導(dǎo)����。
數(shù)據(jù)安全治理應(yīng)用實(shí)踐
在政務(wù)大數(shù)據(jù)共享交換����、大數(shù)據(jù)應(yīng)用展示����、大數(shù)據(jù)挖掘、個(gè)人隱私信息��、數(shù)據(jù)跨境等場(chǎng)景中數(shù)據(jù)安全治理都有極高的應(yīng)用價(jià)值�����。
以某政務(wù)大數(shù)據(jù)共享交換平臺(tái)安全治理為例
關(guān)注點(diǎn):
資產(chǎn)摸底祛僵尸��;分類(lèi)分級(jí)促共享�;數(shù)據(jù)審批收權(quán)利���;行為訪問(wèn)識(shí)風(fēng)險(xiǎn)��;
安全需求:
1���、政務(wù)大數(shù)據(jù)百億條數(shù)據(jù)交換需求;
2. 第三方云平臺(tái)搭建云基礎(chǔ)平臺(tái),缺乏體系化數(shù)據(jù)安全解決方案�;
3. 數(shù)據(jù)安全不保障,系統(tǒng)難上線���。
解決方案
1��、確定范圍:確定評(píng)估對(duì)象是誰(shuí)��;核心系統(tǒng)有哪些����;評(píng)估數(shù)據(jù)范圍包括什么�����;核心數(shù)據(jù)流有幾個(gè)環(huán)節(jié)����;
2、資產(chǎn)梳理:數(shù)據(jù)資產(chǎn)底賬梳理前�,該單位并不清楚實(shí)際擁有多少數(shù)據(jù)庫(kù)。對(duì)現(xiàn)有資產(chǎn)進(jìn)行梳理�����,得知目前共285個(gè)數(shù)據(jù)庫(kù)。其中有85個(gè)庫(kù)缺乏管理�����;70個(gè)高熱度庫(kù)中95%包含隱私和重要數(shù)據(jù)�����;
3���、安全梳理:針對(duì)平臺(tái)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)掃描���,通過(guò)15天大數(shù)據(jù)平臺(tái)抽樣結(jié)果顯示,發(fā)現(xiàn)高危漏洞15個(gè)�,數(shù)據(jù)庫(kù)違規(guī)操作310次�;
4、制度設(shè)計(jì):此次制度設(shè)計(jì)由副省級(jí)領(lǐng)導(dǎo)牽頭做的總綱領(lǐng)����,直接提出虛擬組織的情況,部門(mén)的分工��,績(jī)效的范圍及目標(biāo)情況���;
5�����、安全設(shè)計(jì):通過(guò)歸集�����、存儲(chǔ)����、接口、使用���、交互�����、銷(xiāo)毀六個(gè)環(huán)節(jié)結(jié)合不同的業(yè)務(wù)層次�,全面梳理促進(jìn)共享�����,做到全站式的監(jiān)控����;
治理價(jià)值:
政務(wù)數(shù)據(jù)全面梳理:針對(duì)政務(wù)云平臺(tái)�����,同步規(guī)劃���、同步建設(shè)。摸清建設(shè)過(guò)程中數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題��;
促進(jìn)政務(wù)數(shù)據(jù)交換共享:摸清各委辦局?jǐn)?shù)據(jù)底賬���,并進(jìn)行分類(lèi)分級(jí)�,促進(jìn)數(shù)據(jù)共享交換��;
保障政務(wù)數(shù)據(jù)安全有效使用:針對(duì)數(shù)據(jù)歸集�、清洗、分發(fā)����、共享開(kāi)發(fā)等環(huán)節(jié)進(jìn)行不同層次的防護(hù)��。
全周期監(jiān)控政務(wù)數(shù)據(jù)流轉(zhuǎn)問(wèn)題:從數(shù)據(jù)進(jìn)入到流動(dòng)到流出���,全棧審計(jì)不留死角����。
錯(cuò)過(guò)前兩天的直播?
看文章又覺(jué)得不過(guò)癮�?
還想要更具體的內(nèi)容方案?
掃描下方二維碼獲取PPT
產(chǎn)品咨詢:4000 258 365 
