數(shù)據(jù)安全治理推動數(shù)據(jù)價值保護
數(shù)據(jù)價值屬性日益突顯
伴隨全球互聯(lián)網(wǎng)的廣泛應用與持續(xù)發(fā)展�����,云計算����、大數(shù)據(jù)、物聯(lián)網(wǎng)���、工業(yè)互聯(lián)網(wǎng)��、人工智能等新興領域與前沿技術快速崛起�,極大推動了各類數(shù)據(jù)資源的開放�����、利用���,而信息技術與經(jīng)濟社會的交匯融合也進一步催生了數(shù)據(jù)體量及其價值的迅猛增長��。
2020年4月9日���,《中共中央國務院關于構(gòu)建更加完善的要素市場化配置體制機制的意見》對外公布,作為中央第一份關于要素市場化配置的文件�����,明確了要素市場制度建設的方向和重點改革任務�����。自此,數(shù)據(jù)被作為一種新型的生產(chǎn)要素寫入政府文件之中��,與土地�����、勞動力���、資本���、技術等傳統(tǒng)要素并列?�!兑庖姟访鞔_指出���,要加快培育數(shù)據(jù)要素市場��,推進政府數(shù)據(jù)開放共享�����,提升社會數(shù)據(jù)資源價值��,并加強數(shù)據(jù)資源整合與安全保護等工作�。
2020年7月3日,《中華人民共和國數(shù)據(jù)安全法(草案)》對外發(fā)布并公開征求意見�。其中,《草案》在“數(shù)據(jù)安全與發(fā)展”章節(jié)�����,提出國家應建立�、健全數(shù)據(jù)交易管理制度��,旨在為數(shù)據(jù)交易奠定法律基石��、提供發(fā)展的催化劑��,明確走以數(shù)據(jù)驅(qū)動的數(shù)字經(jīng)濟��,以數(shù)據(jù)作為市場要素帶動數(shù)據(jù)市場的發(fā)展�,更好發(fā)揮數(shù)據(jù)的價值。
如何推進數(shù)據(jù)價值保護
在數(shù)據(jù)驅(qū)動下�,全新的產(chǎn)業(yè)、模式不斷涌現(xiàn)�����,數(shù)據(jù)這座巨大的“礦藏”已顯示出前所未有的影響力和發(fā)展?jié)摿ΑEc此同時�����,數(shù)據(jù)的高價值屬性也讓內(nèi)外部環(huán)境日益復雜化�,并使得“數(shù)據(jù)安全”逐步邁向網(wǎng)絡安全的主戰(zhàn)場。
盤點近些年我國的數(shù)據(jù)安全事件���,從某營銷服務提供商因“核心運維人員刪庫”導致市值蒸發(fā)超30億港元����,并賠付商家1.5億元��;到某商業(yè)銀行因“違規(guī)泄露藝人信息”導致信用受損�����、支行行長撤職...究其原因�,是數(shù)據(jù)安全面臨的“內(nèi)憂外患”。這其中既有受害方數(shù)據(jù)安全意識薄弱的主觀因素���,更多來自于未將數(shù)據(jù)安全管理形成日?����;ぷ?����,缺乏對數(shù)據(jù)安全產(chǎn)品�����、技術的有效應用與體系化治理��,以及對數(shù)據(jù)安全建設及相關工作的監(jiān)控力與執(zhí)行力不足等客觀問題���。
保障數(shù)據(jù)的安全流動與價值提升,是現(xiàn)階段企業(yè)數(shù)據(jù)安全建設的主要目標���。然而�,以抵御攻擊為中心����、以黑客為主要防御對象的安全策略與體系構(gòu)建已不能滿足以上需求與目標的達成;換言之�����,政府、企業(yè)乃至個人用戶���,需要將過去以網(wǎng)絡為中心的安全防護思路�����,朝向以數(shù)據(jù)為中心的安全策略及方向轉(zhuǎn)變����。
近年來�,數(shù)據(jù)安全相關法律法規(guī)與政策標準的陸續(xù)發(fā)布,不僅體現(xiàn)出國家對數(shù)據(jù)安全監(jiān)管的日益嚴格��,也說明了數(shù)據(jù)安全防護已不再是對安全產(chǎn)品的簡單堆砌與功能疊加�����,而是從制度化����、日常化的角度切入�,通過建立組織、明確人員來嚴格落地實施相關工作�����,在數(shù)據(jù)分級分類的基礎之上,對數(shù)據(jù)的全生命周期進行科學的管控��。為了實現(xiàn)以上目標��,就需要一套完整����、體系化的數(shù)據(jù)安全治理解決方案,而其中關鍵的一環(huán)���,即數(shù)據(jù)安全治理“服務”。
服務��,數(shù)據(jù)安全治理的關鍵一環(huán)
國家法律法規(guī)及行業(yè)標準規(guī)范等的發(fā)布����,是開展數(shù)據(jù)安全治理的行事準則。然而����,當企業(yè)在此背景下開展數(shù)據(jù)安全建設工作時,仍會遇到以下三個“實際問題”:
第一���,數(shù)據(jù)安全建設具體要做什么���?
第二���,數(shù)據(jù)安全建設具體從哪開始?
第三����,數(shù)據(jù)安全建設具體該怎么做?
數(shù)據(jù)安全治理服務���,是數(shù)據(jù)安全建設中一種靈活的解決方式——企業(yè)可基于安全咨詢專家對自身所屬行業(yè)的數(shù)據(jù)安全治理實踐經(jīng)驗與相關法律標準的深入解析與建議���,選擇具有針對性的數(shù)據(jù)安全產(chǎn)品,構(gòu)建更加適合的組織�、制度,并通過符合相關法律標準的流程體系�����,持續(xù)完善企業(yè)的數(shù)據(jù)安全防護與建設工作���。換言之��,數(shù)據(jù)安全治理服務能為企業(yè)在數(shù)據(jù)安全建設的各個環(huán)節(jié)提供幫助���,比如:幫助企業(yè)理清資產(chǎn)���、明確風險、搭建數(shù)據(jù)安全治理體系��、提升數(shù)據(jù)安全保障能力等�����。
數(shù)據(jù)安全治理服務主要包括數(shù)據(jù)安全評估��、數(shù)據(jù)分類分級��、數(shù)據(jù)安全治理體系建設����、數(shù)據(jù)安全培訓:
數(shù)據(jù)安全評估服務
數(shù)據(jù)安全評估服務適用于對自身數(shù)據(jù)安全狀況不了解��,期望通過評估查找不足的企業(yè)�����;或希望通過數(shù)據(jù)安全評估推動自身數(shù)據(jù)安全工作持續(xù)完善、改進的企業(yè)��。
安華金和數(shù)據(jù)安全評估服務通過工具掃描結(jié)合人工查驗的方式:對數(shù)據(jù)庫本身的安全狀況進行評估�,評估內(nèi)容包括資產(chǎn)價值評估、脆弱性評估和威脅性評估���;此外���,通過全面梳理企業(yè)的制度文件和技術措施,對企業(yè)的數(shù)據(jù)安全情況進行評估��,評估內(nèi)容包括但不限于數(shù)據(jù)安全制度建設及落實執(zhí)行情況�����、數(shù)據(jù)分類分級情況�����、數(shù)據(jù)安全事件應急響應水平�����,以及重要數(shù)據(jù)安全保障措施配備情況等。
最終形成《數(shù)據(jù)安全評估報告》��,詳細描述企業(yè)在數(shù)據(jù)安全工作方面所取得的成果和不足�����,并針對不足之處提供整改建議�。
數(shù)據(jù)分類分級服務
數(shù)據(jù)分類分級服務適用于對自身數(shù)據(jù)資產(chǎn)底賬狀況不了解,資產(chǎn)管理責任不清晰�,尚未劃分數(shù)據(jù)類別和級別,也不知道該如何進行數(shù)據(jù)分類分級����,以及如何保障重要數(shù)據(jù)安全的企業(yè)。
安華金和數(shù)據(jù)分類分級服務�����,可通過全面梳理企業(yè)的業(yè)務范圍�����,對業(yè)務進行細分�;同時�����,通過整理數(shù)據(jù)資產(chǎn),對數(shù)據(jù)的類別進行細分:
綜合考慮不同數(shù)據(jù)的使用目的�����、敏感程度和屬性等���,進一步明確數(shù)據(jù)分類標準�����,從而為業(yè)務和數(shù)據(jù)建立“由總到分”的邏輯架構(gòu)��。
在數(shù)據(jù)分類的基礎上�����,結(jié)合每一類數(shù)據(jù)的重要性�����、敏感程度�����,及其發(fā)生泄露����、丟失、損壞等會造成的危害影響等����,制定數(shù)據(jù)分級策略,對分類后的數(shù)據(jù)進行定級�����。
最后�,在數(shù)據(jù)分類分級基礎上,明確重要數(shù)據(jù)的范圍和類型���,并形成《數(shù)據(jù)分類分級規(guī)范指南》����、《數(shù)據(jù)庫資產(chǎn)清單》��、《數(shù)據(jù)分類分級清單》等指導性文件����。
數(shù)據(jù)安全治理體系建設服務
數(shù)據(jù)安全治理體系建設貫穿于企業(yè)數(shù)據(jù)安全工作的各個環(huán)節(jié)�,圍繞重要敏感數(shù)據(jù)隨業(yè)務流轉(zhuǎn)的過程及其整個生命周期�����,對可能存在的風險問題進行數(shù)據(jù)安全策略規(guī)劃與配置��。比如:通過對數(shù)據(jù)資產(chǎn)的準確梳理�����,摸清企業(yè)數(shù)據(jù)底賬�;通過全面的數(shù)據(jù)安全評估�,幫助企業(yè)發(fā)現(xiàn)自身存在的數(shù)據(jù)安全風險場景;通過數(shù)據(jù)分類分級服務�,確定重要敏感數(shù)據(jù)的類別和級別;對企業(yè)整體的數(shù)據(jù)安全治理進行規(guī)劃建設��。
安華金和數(shù)據(jù)安全治理建設分為三大體系���,即數(shù)據(jù)安全管理體系�����,數(shù)據(jù)安全技術體系和數(shù)據(jù)安全運營體系:
數(shù)據(jù)安全管理體系建設����,可幫助企業(yè)建立合理的數(shù)據(jù)安全組織架構(gòu),明確相關部門及人員職責���,并制定數(shù)據(jù)分類分級規(guī)范����、數(shù)據(jù)安全權限管理制度��、數(shù)據(jù)安全操作規(guī)范�����、數(shù)據(jù)安全自查制度等實用�、可落地的數(shù)據(jù)安全制度、流程�。
數(shù)據(jù)安全技術體系建設,可針對不同的數(shù)據(jù)安全風險問題����,建立基于“事前檢查、事中防范�、事后審計”理念的數(shù)據(jù)安全技術管控策略。
數(shù)據(jù)安全運營體系建設����,可基于管理制度及規(guī)范����,有效執(zhí)行數(shù)據(jù)安全管控策略�,并進一步提升日常風險監(jiān)測水平����、應急處置能力等。
數(shù)據(jù)安全培訓服務
數(shù)據(jù)安全培訓服務主要面向希望提高內(nèi)部人員數(shù)據(jù)安全意識及數(shù)據(jù)安全相關技能的企業(yè)�。員工由于缺少足夠的數(shù)據(jù)安全防范意識,往往因貪圖便利或誤操作而違反企業(yè)推行的數(shù)據(jù)安全規(guī)章制度�,甚至被黑客等不法分子所利用。
為此����,數(shù)據(jù)安全培訓服務專門設計了數(shù)據(jù)安全法律法規(guī)標準解讀培訓和數(shù)據(jù)安全意識培訓等內(nèi)容,旨在通過線上/線下課程講解代表性案例與數(shù)據(jù)安全知識�,分享在日常數(shù)據(jù)安全工作中的經(jīng)驗和技巧,以增加員工對相關政策法規(guī)的理解�,清楚相應的數(shù)據(jù)安全責任義務,從而提高數(shù)據(jù)安全意識��、減少日常工作失誤等��。
服務價值體現(xiàn)
1、某政府部門數(shù)據(jù)分類分級
某政務行政審批服務局響應國家數(shù)據(jù)共享政策����,打破傳統(tǒng)的數(shù)據(jù)孤島,建立數(shù)據(jù)共享平臺����。該平臺中匯集了全市政府單位的基礎庫信息,形成政務數(shù)據(jù)的基礎數(shù)據(jù)倉庫��,如人口庫�、法人庫、宏觀經(jīng)濟庫���、空間地理信息庫等�����;并在基礎庫之上����,建立主題庫和應用庫��,從而面向各需求部門提供主題庫和應用庫中的相關數(shù)據(jù)。
針對該局龐大的數(shù)據(jù)量�,安華金和數(shù)據(jù)安全咨詢服務團隊通過數(shù)據(jù)資產(chǎn)梳理形成數(shù)據(jù)資產(chǎn)地圖,幫助該局全面掌握其數(shù)據(jù)資產(chǎn)情況����,同時準確知曉重要數(shù)據(jù)庫的訪問及風險狀況。通過數(shù)據(jù)安全治理服務�����,該局厘清了自身數(shù)據(jù)資產(chǎn)�����,掌握了敏感數(shù)據(jù)的分布����,并在數(shù)據(jù)分類基礎之上�����,確定了數(shù)據(jù)的定級要素�����,包括影響對象、影響范圍��、影響程度等�����,并將數(shù)據(jù)等級從高到低劃分為“4-3-2-1”四個級別�����。最終����,形成了標準的《數(shù)據(jù)分類分級規(guī)范》及其落地執(zhí)行清單,針對需要共享的重要數(shù)據(jù)進行脫敏��,為該局數(shù)據(jù)的安全共享打下了堅實基礎��。
2���、某運營商數(shù)據(jù)合規(guī)性評估
某運營商響應《工業(yè)和信息化部辦公廳關于做好2020年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡數(shù)據(jù)安全管理工作的通知》要求��,開展數(shù)據(jù)安全合規(guī)性評估�����。
安華金和數(shù)據(jù)安全咨詢服務團隊根據(jù)該運營商方面需求�����,對照《2020年電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡數(shù)據(jù)安全合規(guī)性評估要點》信息��,進行了企業(yè)整體數(shù)據(jù)安全水平評估�����、重點業(yè)務數(shù)據(jù)安全合規(guī)性評估�,以及對核心數(shù)據(jù)處理平臺系統(tǒng)的安全合規(guī)性評估,并形成報告�����。
評估內(nèi)容包括:基礎性評估(重點圍繞機構(gòu)人員���、制度保障、分類分級�����、合規(guī)評估�、權限管理、安全審計、合作方管理��、應急響應����、投訴處理、教育培訓十個方面)��、數(shù)據(jù)生命周期評估(重點圍繞數(shù)據(jù)采集���、傳輸�、存儲�、使用、開放共享��、銷毀六個環(huán)節(jié))����、技術能力評估(重點圍繞數(shù)據(jù)識別、安全審計���、防泄露��、接口安全管理��、個人信息保護五個方面)��。綜上���,在滿足監(jiān)管方面要求的同時����,更為該運營商進一步開展數(shù)據(jù)安全整改工作提供了有力的參考依據(jù)����。
3、某煙草數(shù)據(jù)安全治理體系建設
某煙草公司銷售重心下移后����,更多的消費者數(shù)據(jù)被納入其煙草生態(tài)圈中。與此同時����,因新系統(tǒng)的上線與舊系統(tǒng)的下線����,加之新老員工的更迭交替,致使部分數(shù)據(jù)資產(chǎn)的責任方變得模糊不清�,一些未登記�����、未使用過的數(shù)據(jù)資產(chǎn)陸續(xù)出現(xiàn)���,令該煙草公司的數(shù)據(jù)安全風險與日俱增。
安華金和數(shù)據(jù)安全咨詢服務團隊對該煙草公司進行了深入的數(shù)據(jù)資產(chǎn)調(diào)研工作�����,對相關數(shù)據(jù)資產(chǎn)的應用及保護情況進行了整體����、細致的調(diào)研分析。通過對客戶數(shù)據(jù)資產(chǎn)進行摸底����,基于實際情況制定出《數(shù)據(jù)分類分級標準指南》,并形成了《數(shù)據(jù)分類分級清單》���。依據(jù)數(shù)據(jù)資產(chǎn)的安全現(xiàn)狀和不同類別�、級別數(shù)據(jù)的使用場景��,建立數(shù)據(jù)安全防護管理要求與技術要求����;重點針對不同類別和安全級別的數(shù)據(jù)���,圍繞數(shù)據(jù)的合規(guī)性、保密性��、完整性���、可用性�����,及其全生命周期提出安全防護要求�����,為該客戶開展數(shù)據(jù)安全防護工作提供參考��,為促進數(shù)據(jù)資產(chǎn)的增值提供新思路���,為數(shù)據(jù)安全建設與應用實踐工作奠定基礎。
安華金和早在2016年便于國內(nèi)首次提出“數(shù)據(jù)安全治理”這一概念�����,并通過多年持續(xù)實踐�,將對數(shù)據(jù)安全3.0時代的理論研究成果與“核心技術研發(fā)、產(chǎn)品功能設計�、服務模式優(yōu)化”三者進行了融合發(fā)展,幫助不同行業(yè)�、不同規(guī)模、不同需求的用戶���,開展具有針對性的數(shù)據(jù)安全治理工作�����。
為進一步推動數(shù)據(jù)安全治理項目落地�����,并對產(chǎn)品技術應用形成有益補充����,安華金和率先推行“服務產(chǎn)品化”���,專門組建“安全咨詢部”��,提供專業(yè)�、領先的數(shù)據(jù)安全治理“服務”。通過客觀��、深入的分析研究�����,對客戶數(shù)據(jù)安全治理工作在產(chǎn)品功能配置��、方案規(guī)劃設計與技術服務支持等方面提供參考建議����,將各個治理環(huán)節(jié)串聯(lián)接合并持續(xù)優(yōu)化提升,幫助政府�����、企業(yè)真正落實好數(shù)據(jù)安全治理相關建設工作�。
產(chǎn)品咨詢:4000 258 365 
