数据安全治理推动数据价值保护
数据价值属性日益突显
伴随全球互联网的广泛应用与持续发展,云计算、大数据、物联网、工业互联网、人工智能等新兴领域与前沿技术快速崛起,极大推动了各类数据资源的开放、利用,而信息技术与经济社会的交汇融合也进一步催生了数据体量及其价值的迅猛增长。
2020年4月9日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》对外公布,作为中央第一份关于要素市场化配置的文件,明确了要素市场制度建设的方向和重点改革任务。自此,数据被作为一种新型的生产要素写入政府文件之中,与土地、劳动力、资本、技术等传统要素并列。《意见》明确指出,要加快培育数据要素市场,推进政府数据开放共享,提升社会数据资源价值,并加强数据资源整合与安全保护等工作。
2020年7月3日,《中华人民共和国数据安全法(草案)》对外发布并公开征求意见。其中,《草案》在“数据安全与发展”章节,提出国家应建立、健全数据交易管理制度,旨在为数据交易奠定法律基石、提供发展的催化剂,明确走以数据驱动的数字经济,以数据作为市场要素带动数据市场的发展,更好发挥数据的价值。
如何推进数据价值保护
在数据驱动下,全新的产业、模式不断涌现,数据这座巨大的“矿藏”已显示出前所未有的影响力和发展潜力。与此同时,数据的高价值属性也让内外部环境日益复杂化,并使得“数据安全”逐步迈向网络安全的主战场。
盘点近些年我国的数据安全事件,从某营销服务提供商因“核心运维人员删库”导致市值蒸发超30亿港元,并赔付商家1.5亿元;到某商业银行因“违规泄露艺人信息”导致信用受损、支行行长撤职...究其原因,是数据安全面临的“内忧外患”。这其中既有受害方数据安全意识薄弱的主观因素,更多来自于未将数据安全管理形成日常化工作,缺乏对数据安全产品、技术的有效应用与体系化治理,以及对数据安全建设及相关工作的监控力与执行力不足等客观问题。
保障数据的安全流动与价值提升,是现阶段企业数据安全建设的主要目标。然而,以抵御攻击为中心、以黑客为主要防御对象的安全策略与体系构建已不能满足以上需求与目标的达成;换言之,政府、企业乃至个人用户,需要将过去以网络为中心的安全防护思路,朝向以数据为中心的安全策略及方向转变。
近年来,数据安全相关法律法规与政策标准的陆续发布,不仅体现出国家对数据安全监管的日益严格,也说明了数据安全防护已不再是对安全产品的简单堆砌与功能叠加,而是从制度化、日常化的角度切入,通过建立组织、明确人员来严格落地实施相关工作,在数据分级分类的基础之上,对数据的全生命周期进行科学的管控。为了实现以上目标,就需要一套完整、体系化的数据安全治理解决方案,而其中关键的一环,即数据安全治理“服务”。
服务,数据安全治理的关键一环
国家法律法规及行业标准规范等的发布,是开展数据安全治理的行事准则。然而,当企业在此背景下开展数据安全建设工作时,仍会遇到以下三个“实际问题”:
第一,数据安全建设具体要做什么?
第二,数据安全建设具体从哪开始?
第三,数据安全建设具体该怎么做?
数据安全治理服务,是数据安全建设中一种灵活的解决方式——企业可基于安全咨询专家对自身所属行业的数据安全治理实践经验与相关法律标准的深入解析与建议,选择具有针对性的数据安全产品,构建更加适合的组织、制度,并通过符合相关法律标准的流程体系,持续完善企业的数据安全防护与建设工作。换言之,数据安全治理服务能为企业在数据安全建设的各个环节提供帮助,比如:帮助企业理清资产、明确风险、搭建数据安全治理体系、提升数据安全保障能力等。
数据安全治理服务主要包括数据安全评估、数据分类分级、数据安全治理体系建设、数据安全培训:
数据安全评估服务适用于对自身数据安全状况不了解,期望通过评估查找不足的企业;或希望通过数据安全评估推动自身数据安全工作持续完善、改进的企业。
安华金和数据安全评估服务通过工具扫描结合人工查验的方式:对数据库本身的安全状况进行评估,评估内容包括资产价值评估、脆弱性评估和威胁性评估;此外,通过全面梳理企业的制度文件和技术措施,对企业的数据安全情况进行评估,评估内容包括但不限于数据安全制度建设及落实执行情况、数据分类分级情况、数据安全事件应急响应水平,以及重要数据安全保障措施配备情况等。
最终形成《数据安全评估报告》,详细描述企业在数据安全工作方面所取得的成果和不足,并针对不足之处提供整改建议。
数据分类分级服务适用于对自身数据资产底账状况不了解,资产管理责任不清晰,尚未划分数据类别和级别,也不知道该如何进行数据分类分级,以及如何保障重要数据安全的企业。
安华金和数据分类分级服务,可通过全面梳理企业的业务范围,对业务进行细分;同时,通过整理数据资产,对数据的类别进行细分:
综合考虑不同数据的使用目的、敏感程度和属性等,进一步明确数据分类标准,从而为业务和数据建立“由总到分”的逻辑架构。
在数据分类的基础上,结合每一类数据的重要性、敏感程度,及其发生泄露、丢失、损坏等会造成的危害影响等,制定数据分级策略,对分类后的数据进行定级。
最后,在数据分类分级基础上,明确重要数据的范围和类型,并形成《数据分类分级规范指南》、《数据库资产清单》、《数据分类分级清单》等指导性文件。
数据安全治理体系建设服务
数据安全治理体系建设贯穿于企业数据安全工作的各个环节,围绕重要敏感数据随业务流转的过程及其整个生命周期,对可能存在的风险问题进行数据安全策略规划与配置。比如:通过对数据资产的准确梳理,摸清企业数据底账;通过全面的数据安全评估,帮助企业发现自身存在的数据安全风险场景;通过数据分类分级服务,确定重要敏感数据的类别和级别;对企业整体的数据安全治理进行规划建设。
安华金和数据安全治理建设分为三大体系,即数据安全管理体系,数据安全技术体系和数据安全运营体系:
数据安全管理体系建设,可帮助企业建立合理的数据安全组织架构,明确相关部门及人员职责,并制定数据分类分级规范、数据安全权限管理制度、数据安全操作规范、数据安全自查制度等实用、可落地的数据安全制度、流程。
数据安全技术体系建设,可针对不同的数据安全风险问题,建立基于“事前检查、事中防范、事后审计”理念的数据安全技术管控策略。
数据安全运营体系建设,可基于管理制度及规范,有效执行数据安全管控策略,并进一步提升日常风险监测水平、应急处置能力等。
数据安全培训服务
数据安全培训服务主要面向希望提高内部人员数据安全意识及数据安全相关技能的企业。员工由于缺少足够的数据安全防范意识,往往因贪图便利或误操作而违反企业推行的数据安全规章制度,甚至被黑客等不法分子所利用。
为此,数据安全培训服务专门设计了数据安全法律法规标准解读培训和数据安全意识培训等内容,旨在通过线上/线下课程讲解代表性案例与数据安全知识,分享在日常数据安全工作中的经验和技巧,以增加员工对相关政策法规的理解,清楚相应的数据安全责任义务,从而提高数据安全意识、减少日常工作失误等。
服务价值体现
1、某政府部门数据分类分级
某政务行政审批服务局响应国家数据共享政策,打破传统的数据孤岛,建立数据共享平台。该平台中汇集了全市政府单位的基础库信息,形成政务数据的基础数据仓库,如人口库、法人库、宏观经济库、空间地理信息库等;并在基础库之上,建立主题库和应用库,从而面向各需求部门提供主题库和应用库中的相关数据。
针对该局庞大的数据量,安华金和数据安全咨询服务团队通过数据资产梳理形成数据资产地图,帮助该局全面掌握其数据资产情况,同时准确知晓重要数据库的访问及风险状况。通过数据安全治理服务,该局厘清了自身数据资产,掌握了敏感数据的分布,并在数据分类基础之上,确定了数据的定级要素,包括影响对象、影响范围、影响程度等,并将数据等级从高到低划分为“4-3-2-1”四个级别。最终,形成了标准的《数据分类分级规范》及其落地执行清单,针对需要共享的重要数据进行脱敏,为该局数据的安全共享打下了坚实基础。
2、某运营商数据合规性评估
某运营商响应《工业和信息化部办公厅关于做好2020年电信和互联网行业网络数据安全管理工作的通知》要求,开展数据安全合规性评估。
安华金和数据安全咨询服务团队根据该运营商方面需求,对照《2020年电信和互联网企业网络数据安全合规性评估要点》信息,进行了企业整体数据安全水平评估、重点业务数据安全合规性评估,以及对核心数据处理平台系统的安全合规性评估,并形成报告。
评估内容包括:基础性评估(重点围绕机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训十个方面)、数据生命周期评估(重点围绕数据采集、传输、存储、使用、开放共享、销毁六个环节)、技术能力评估(重点围绕数据识别、安全审计、防泄露、接口安全管理、个人信息保护五个方面)。综上,在满足监管方面要求的同时,更为该运营商进一步开展数据安全整改工作提供了有力的参考依据。
3、某烟草数据安全治理体系建设
某烟草公司销售重心下移后,更多的消费者数据被纳入其烟草生态圈中。与此同时,因新系统的上线与旧系统的下线,加之新老员工的更迭交替,致使部分数据资产的责任方变得模糊不清,一些未登记、未使用过的数据资产陆续出现,令该烟草公司的数据安全风险与日俱增。
安华金和数据安全咨询服务团队对该烟草公司进行了深入的数据资产调研工作,对相关数据资产的应用及保护情况进行了整体、细致的调研分析。通过对客户数据资产进行摸底,基于实际情况制定出《数据分类分级标准指南》,并形成了《数据分类分级清单》。依据数据资产的安全现状和不同类别、级别数据的使用场景,建立数据安全防护管理要求与技术要求;重点针对不同类别和安全级别的数据,围绕数据的合规性、保密性、完整性、可用性,及其全生命周期提出安全防护要求,为该客户开展数据安全防护工作提供参考,为促进数据资产的增值提供新思路,为数据安全建设与应用实践工作奠定基础。
安华金和早在2016年便于国内首次提出“数据安全治理”这一概念,并通过多年持续实践,将对数据安全3.0时代的理论研究成果与“核心技术研发、产品功能设计、服务模式优化”三者进行了融合发展,帮助不同行业、不同规模、不同需求的用户,开展具有针对性的数据安全治理工作。
为进一步推动数据安全治理项目落地,并对产品技术应用形成有益补充,安华金和率先推行“服务产品化”,专门组建“安全咨询部”,提供专业、领先的数据安全治理“服务”。通过客观、深入的分析研究,对客户数据安全治理工作在产品功能配置、方案规划设计与技术服务支持等方面提供参考建议,将各个治理环节串联接合并持续优化提升,帮助政府、企业真正落实好数据安全治理相关建设工作。