隨着國家數據安全相關要求及標準不斷豐富,如何保障數據安全已成爲近幾年各個組織不斷關注的焦點,數據安全重要性已不言而喻,目前很多組織是以網絡爲中心的安全建設,雖具有數據安全防護手段,但多爲單點方式,現有建設方式已不能滿足現今數據安全需求。組織應體系化建立數據安全防護手段,從管理、運維、技術三個維度,實現數據的可管、可控、可視。
數據安全流程應是管理指導運維、運維使用技術,管理是數據安全體系的指引和基礎,所以本文主要介紹數據安全管理體系的建設。
文章從內部梳理及安全建設兩部分進行考慮。內部梳理包括對組織內部管理體系、運維內容、業務流程、防護手段等進行全面梳理;安全建設是在現狀梳理及組織對安全建設目標基礎上,結合外界合規、規範形成的建設內容。
本篇文章的編寫意義也是自我的考慮和梳理,後期會隨着自身知識容量的不斷豐富進行再次修改。
一、內部梳理
內部梳理是管理體系是否可落地的基礎條件,脫離現狀的管理體系是無意義、無價值的,所以對組織內部的梳理範圍及梳理深度對管理體系建設影響非常巨大。
梳理包含兩個階段,第一是摸查、第二是梳理。
摸查:
針對內部摸查可從管理、技術、業務、運維、數據安全戰略目標四個層面進行。前三個層面是內部現在、第四個層面是規劃目標。
管理體系梳理包括:現有管理制度、管理規章、管理規範、應急響應等。
技術體系梳理包括:現有安全防護技術、現有業務系統使用技術、現有數據庫技術等;
業務體系梳理包括:現有業務系統間調用關係、現有數據流向、業務資產等;
運維體系包括:現有運維體系、現有運維流程、現有運維人員構成、組織內部資產等。
數據安全戰略目標包括:期望實現的數據安全目標,包括管理、技術、運維。
摸查時需要注意數據安全管理體系的應用級別,因爲不同層級的部門關注數據安全管理內容不一致。
信息中心更多關注點主要在如何防護、如何應急響應、人員崗位及責任;組織戰略層更多關注主要在信息中心基礎上關注組織架構(業務與安全職能部門之間關係)、人員管理培訓(人員安全能力)等。
梳理:
以數據生命週期爲基礎對調研內容進行切分,然後再進行全面梳理整合。具體關鍵點如下:
1.理清業務及數據流向;
2.在數據生命週期的基礎上對調研內容進行整合。包括:管理、技術、運維,形成目前現狀。
3.在數據生命週期的基礎上對環境目前存在的風險進行梳理,理清薄弱點。
4.在數據生命週期的基礎上拆解組織安全戰略目標,形成安全建設目標。
通過以上四步是對摸查內容的加工,可直觀瞭解目前數據安全現狀、薄弱點以及建設目標。指導下一步的數據安全管理的建設。
二、安全管理建設
數據安全管理體系建設需滿足4個方面且缺一不可,即需要了安全現狀、需要了解客戶建設目標、需要了解法律法規和行業規範、需要具有豐富的數據安全經驗。通過第一步的梳理,可解決第一、二點問題。後兩點需要組織自身或者建設單位具有多年的技術沉澱。
數據安全管理建設應充分考慮合規性及可落地性,避免出現“空中樓閣”現象。
- 合規性:應遵守國家相關法律要求及行業標準規範;
- 可落地性:應避免出現管理、運維、技術“三張皮”現象,從而影響組織內部安全規範、運維效率、防護能力。
數據安全管理體系建設思路可從廣度與深度兩個維度作爲切入點。廣度可參考外界相關法律法規及標準規範,深度是在外界相關標準上,結合自身的安全需求及行業最佳實踐進行點狀強化。爲了加強數據管理體系可落地性,在對數據資產分類分級後,需要將不同類別、不同級別數據資產的安全要求融入至管理體系中。
數據安全管理建設內容:
數據安全管理可分爲4層架構。每一層是上一層支撐。第一層爲組織內部數據安全戰略目標。第二層是內部安全制度該制度需要內外結合。第三次是制度下的具體規範和指南,第四層是數據安全落地運維過程中產生的表單。
1.戰略。組織安全戰略導向。具體建設內容包括:管理規範、管理指南等。
2.制度。組織安全體系建設導向(合規爲基礎)。具體建設內容包括:管理制度、崗位職責、應急響應等。
3.各種規範。組織安全規範導向(合規爲基礎)。具體建設內容包括:如分類分級、運維、審計、防護等。
4.落地表格。組織安全執行導向。具體建設內包括:機房出入記錄表、安全審計記錄表、安全防護記錄表、數據使用變更申請表等。
數據安全管理體系並不是摒棄組織內部建設以網絡爲中心的安全管理規範,而是在此基礎上融合數據安全管理要求,形成全面的管理規範。
數據安全建設流程:
1.在數據生命週期的基礎上對結合國家法律法規、行業標準、業務最佳實踐、風險內容進行全面整合,並與梳理時的薄弱點進行對比分析與內容完善,形成強化點。
2.在數據生命週期的基礎上將目前現狀與強化點進行融合,形成最終要建設內容。
3.持續性對管理體系進行修正、完善等操作。
數據安全管理建設需要充分梳理內部安全情況,確定安全管理建設目標(需考慮實際性),否則很難形成有效的管理體系。