數據安全從1.0已經走到3.0時代了,1.0時代以庫爲中心;2.0時代以數據爲中心;3.0時代有一個重大的改變,以體系爲中心,將領頭者、組織,執法機構,防護措施有體系地安排起來。
針對數據安全治理,國家已經開始行動。先後發佈《網絡安全法》、《個人數據保護法》等10餘項法律法規。
其中,安華金和參與了國標《政務信息共享數據安全技術要求》的制定。此標準主要針對政務數據的共享交換安全及對政務大數據平臺的數據安全的技術要求。另外,在政務數據分類分級方面,安華金和也開始進行相關研究,政務數據基本上分爲九個等級,運營商等多家企業單位已經做了相關的指引。
數據安全整體的治理體系和思路
數據安全治理體系分爲四個階段和三個技術路線。
四個階段包括:組織建立、能力評估、制度設計、技術設計,這四個階段需要一步步落實;三個技術路線作爲整體技術的支撐,會穿插在四個階段進行循環往復交錯。
1、組織建立
數據安全體系建立過程中,需要有高層領導參與配合,保障組織順利建設。
很多單位在數據安全治理過程中都設置了監督層,包括監督部門、財務部門、設計部門,對各業務部門績效進行評估。有了這些部門的參與,數據安全體系就可以逐漸推進下去。
舉個例子,很多銀行單位設立數據安全治理處,並且高層領導參與其中,規定相應的目標和範圍。下屬不同部門纔可以進行工作協同實現目標。
2、能力評估
組織建立完成,需要基於自身業務情況,對數據安全能力進行評估。在數據安全能力評估的過程中, 第一,要有業務專家去深入參與整個過程;第二,摸清數據所存放的位置,數據的數量,數據的類別、級別;包括人員類型、權限設置,都要重點評估出來。然後結合相關國家的標準評估出差距,這個差距纔是指導後續設計的準則。在評估過程中要注意的一點是,一定要基於業務流程進行梳理。
3、制度設計
一定要基於業務設計數據安全的制度,因爲設立制度是爲了更好的把數據安全落實到業務領域,而不是阻撓業務發展和共享。制度的設計要遵循以下兩方面原則:一是要遵循行業和國家內部的相關標準體系和法規;二是要結合管理、技術、業務流程等做一個總體的綱領和規範。
4、技術設計
經過長時間的積累,瞭解全業務,進而得出技術模型,最後引入技術工具。技術工具並不是最重要的,但是又非常重要。應着重導入流程思路業務風險,做成長期的頂層規劃。
三個技術路線包括摸底、管控和稽覈。摸底就是要摸下自家數據資產的家底:目前有多少數據,什麼應用在訪問哪些數據,哪些人用什麼方式在對數據進行管理,這些人又擁有什麼樣的權限;在進行了全面的摸底後,要根據摸底情況按照數據的不同類別、級別對數據進行不同級別的管控手段;最後要對數據管理進行稽覈,一方面是要對數據的訪問和使用情況進行實時和全面的記錄,一方面要爲數據安全、制度與管理手段提供依據和指導。
數據安全治理應用實踐
在政務大數據共享交換、大數據應用展示、大數據挖掘、個人隱私信息、數據跨境等場景中數據安全治理都有極高的應用價值。
以某政務大數據共享交換平臺安全治理爲例
關注點:
資產摸底祛殭屍;分類分級促共享;數據審批收權利;行爲訪問識風險;
安全需求:
1、政務大數據百億條數據交換需求;
2. 第三方雲平臺搭建雲基礎平臺,缺乏體系化數據安全解決方案;
3. 數據安全不保障,系統難上線。
解決方案
1、確定範圍:確定評估對象是誰;核心系統有哪些;評估數據範圍包括什麼;核心數據流有幾個環節;
2、資產梳理:數據資產底賬梳理前,該單位並不清楚實際擁有多少數據庫。對現有資產進行梳理,得知目前共285個數據庫。其中有85個庫缺乏管理;70個高熱度庫中95%包含隱私和重要數據;
3、安全梳理:針對平臺對數據資產進行風險掃描,通過15天大數據平臺抽樣結果顯示,發現高危漏洞15個,數據庫違規操作310次;
4、制度設計:此次制度設計由副省級領導牽頭做的總綱領,直接提出虛擬組織的情況,部門的分工,績效的範圍及目標情況;
5、安全設計:通過歸集、存儲、接口、使用、交互、銷燬六個環節結合不同的業務層次,全面梳理促進共享,做到全站式的監控;
治理價值:
政務數據全面梳理:針對政務雲平臺,同步規劃、同步建設。摸清建設過程中數據安全風險問題;
促進政務數據交換共享:摸清各委辦局數據底賬,並進行分類分級,促進數據共享交換;
保障政務數據安全有效使用:針對數據歸集、清洗、分發、共享開發等環節進行不同層次的防護。
全週期監控政務數據流轉問題:從數據進入到流動到流出,全棧審計不留死角。
錯過前兩天的直播?
看文章又覺得不過癮?
還想要更具體的內容方案?
掃描下方二維碼獲取PPT
