[安华金和]案例解析 | 中国电信国际数据安全治理实践

中国电信国际有限公司（以下简称“国际公司”）是中国电信集团公司为拓展海外业务而组建的国际业务公司。随着全球经济数字化转型，数据逐渐成为继土地、劳动力、资本之外的第四大关键生产要素。与此同时，作为企业三大资产——固定资产、财务资产和数字资产，数据安全已成为网络安全的一个重要核心。国际公司伴随业务的快速拓展，数据量持续不断增长，因此开始着手准备针对数据安全防护的体系化建设工作。

面临挑战

1、数据安全威胁对现有传统防范思路的挑战

传统安全防护手段大多是将网络设备、服务器、主机、操作系统或数据库及相关应用程序本身视为保护对象，可将其视为“静态”的防护。然而，对数据价值的挖掘和利用却是“动态”的，比如数据需要随时跨部门、跨区域、跨应用进行传输和运转，而在这一过程中，包括业务信息或个人信息等重要敏感数据一旦泄露，则将为企业及其用户带来难以估量的经济损失或名誉损害。因此，传统防护思路是否可以应对现阶段的数据安全防护需求，成为国际公司面临的一大挑战。

2、来自外部法律法规和监管合规的压力

当前，我国已发布或正在积极推进包括等保2.0、《网络安全法》、《数据安全法》、《个人信息保护法》（草案）在内的一系列重量级法律法规，数据安全已迈入“有法可依、有法必依”的全新时期。在此背景下，国际公司作为运营商企业，除了遵循相关法律法规的约束和要求之外，也要符合行业监管机构的合规管理，比如：《2020 省级基础电信企业网络与信息安全工作考核要点与评价标准》、《IT 安全能力建设规范 _5. 数据安全能力分册》、《电信网和互联网大数据平台安全防护要求》等。

常见问题

1. 对数据安全防护未形成完善、清晰的工作思路；

2. 对数据资产的识别与数据分类分级缺乏专业性的支撑与解读；

3. 对数据资产重要性的了解也不够深入；

4. 数据全生命周期安全管理制度与实际业务场景的结合落地困难；

5. 管理制度未能根据不同业务、不同专业切实执行；

6. 缺乏数据安全业务保护评估，无法有效识别数据安全关键薄弱环节；

7. 数据安全防护手段缺失，对数据安全防护能力的补足缺乏依据，存在采用无针对性的安全策略进行防护建设等问题。

为解决以上问题，国际公司亟需一套完整、体系化、全覆盖的数据安全治理思路与方法论，以有效落实数据安全防范的相关具体措施。

解决思路

设计思路

针对国际公司的现状与具体需求，安华金和基于“数据安全管理体系+数据安全技术体系+数据安全运营体系”三者组合，形成落实国际公司数据安全治理体系的方法论：

（1）数据安全管理体系——确定数据安全治理的对象、管理者并建立管理制度，做到“有制可依”；

（2）数据安全技术体系——确定制度落实的操作流程，明确管理者的手段和工具，做到“有规可行”；

（3）数据安全运营体系——基于自动化的数据安全运营管控平台，由数据安全治理服务保障团队提供支撑，做到“风险必查、行为可溯”。

体系规划

将数据安全治理工作划分为三个阶段：

第一阶段是数据安全基础防护阶段，应首先对数据安全治理体系基本的治理组织机构、治理对象、治理基本要求和策略进行总体调研与把控；然后进行整体性的数据安全风险评估，提早发现业务/个人数据在流转中可能出现的风险问题；最终提供符合国际公司现状及需求的数据安全治理整体规划和方案；

第二阶段是策略优化及能力提升建设阶段，建立符合国际公司数据安全需求的管理制度并形成操作规范，持续梳理、完善数据安全防护策略的落实流程，同时补足相应的数据安全防护产品及工具；

第三阶段是形成数据安全运营管控阶段，配备自动化的数据安全管控平台，由一线专业数据安全工程师与二线数据安全咨询顾问提供支撑，帮助国际公司实现对数据高效、稳定、可持续、可落地的日常运营、监管及相关保障工作。

实践步骤

路线概览

基于国际公司在数据安全防护思路方面的问题，以及体系化防御手段的不足，安华金和决定首先从基础数据防护建设展开工作：

（1）现状调研——明确数据安全治理的业务范围；

（2）数据资产梳理——明确安全治理对象、对象分布范围及承载数据的数据库权限情况；

（3）数据分类分级——明确数据安全治理对象的类别和等级，识别重要敏感数据，区别防控策略的基础；

（4）数据安全评估——发现数据安全治理业务范围和对象的风险场景，从而建设规划的基础；

（5）规划方案蓝图——针对国际公司现状、数据安全治理对象及业务范围，及在流转中所产生的数据安全风险，基于管理、技术、运营三方面进行方案蓝图设计。

2、业务数据资源调研摸底

鉴于国际公司的主要困难在于不清楚自身数据资产的具体分布及其所处状况，安华金和咨询顾问采用“工具+人工”的方式，利用数据资产梳理工具为其进行数据资产识别，对“数据库账号、权限、表和字段”等进行了有效梳理，并形成数据资产清单，从而明确了国际公司数据资产的分布情况。

3、数据安全风险评估

数据安全评估工作围绕与敏感信息相关的业务流程进行，厘清各流程中数据的流转及使用情况，重点评估在信息流转与使用过程中能够直接或间接接触到相关数据的情况；再结合对敏感信息保护的实际需求，针对项目范围内的数据库进行漏洞扫描，包括：弱口令、缺省配置、配置缺陷、漏洞等；同时，依据我国及国际重要数据安全监管要求，设计符合国际公司的评估矩阵，并采用人员访谈、文档查阅、系统查验、技术测评等方式，实现准确查找文档、配置相应策略、评估潜在风险、提出整改建议，并最终形成评估报告。

4、安全保障体系规划

依据评估报告中存在的风险，结合国际公司现状，为其规划未来数据安全建设蓝图，涵盖数据安全的“管理、技术、运营”三大体系建设：

（1）数据安全管理体系——通过建立四级文档的形式，明确数据安全方针、组织架构、制度要求、流程规范、记录表单等；

（2）数据安全技术体系——通过规划数据资产识别梳理、数据全生命周期安全防护能力，发挥“事前明确诊断、事中有效控制、事后分析溯源”的数据安全技术能力；

（3）数据安全运营体系——通过规划数据安全监管平台，实现数据资产管理、数据安全策略管理、数据安全事件监测与数据安全风险运营能力。

价值作用

1. 强化了国际公司对于自身数据的安全管理；

2. 建立了符合国际公司的数据安全治理体系；

3. 通过建立数据安全治理体系，提升了国际公司的数据安全保障能力；

4. 满足国家相关法律法规及行业监管的要求。

上一篇：「安华金和」架构篇 | 透过《数据安全法》看数据安全治理

下一篇：国有银行数据库审计项目部署思路-数据库审计案例