數(shù)據(jù)安全治理推動數(shù)據(jù)價(jià)值保護(hù)
數(shù)據(jù)價(jià)值屬性日益突顯
伴隨全球互聯(lián)網(wǎng)的廣泛應(yīng)用與持續(xù)發(fā)展��,云計(jì)算�、大數(shù)據(jù)、物聯(lián)網(wǎng)�、工業(yè)互聯(lián)網(wǎng)、人工智能等新興領(lǐng)域與前沿技術(shù)快速崛起����,極大推動了各類數(shù)據(jù)資源的開放、利用����,而信息技術(shù)與經(jīng)濟(jì)社會的交匯融合也進(jìn)一步催生了數(shù)據(jù)體量及其價(jià)值的迅猛增長。
2020年4月9日��,《中共中央國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》對外公布�,作為中央第一份關(guān)于要素市場化配置的文件���,明確了要素市場制度建設(shè)的方向和重點(diǎn)改革任務(wù)。自此�,數(shù)據(jù)被作為一種新型的生產(chǎn)要素寫入政府文件之中,與土地�����、勞動力�����、資本����、技術(shù)等傳統(tǒng)要素并列?����!兑庖姟访鞔_指出�����,要加快培育數(shù)據(jù)要素市場����,推進(jìn)政府?dāng)?shù)據(jù)開放共享,提升社會數(shù)據(jù)資源價(jià)值��,并加強(qiáng)數(shù)據(jù)資源整合與安全保護(hù)等工作���。
2020年7月3日����,《中華人民共和國數(shù)據(jù)安全法(草案)》對外發(fā)布并公開征求意見�����。其中�,《草案》在“數(shù)據(jù)安全與發(fā)展”章節(jié),提出國家應(yīng)建立���、健全數(shù)據(jù)交易管理制度���,旨在為數(shù)據(jù)交易奠定法律基石、提供發(fā)展的催化劑�����,明確走以數(shù)據(jù)驅(qū)動的數(shù)字經(jīng)濟(jì),以數(shù)據(jù)作為市場要素帶動數(shù)據(jù)市場的發(fā)展����,更好發(fā)揮數(shù)據(jù)的價(jià)值。
如何推進(jìn)數(shù)據(jù)價(jià)值保護(hù)
在數(shù)據(jù)驅(qū)動下�,全新的產(chǎn)業(yè)、模式不斷涌現(xiàn)�����,數(shù)據(jù)這座巨大的“礦藏”已顯示出前所未有的影響力和發(fā)展?jié)摿?����。與此同時����,數(shù)據(jù)的高價(jià)值屬性也讓內(nèi)外部環(huán)境日益復(fù)雜化,并使得“數(shù)據(jù)安全”逐步邁向網(wǎng)絡(luò)安全的主戰(zhàn)場�。
盤點(diǎn)近些年我國的數(shù)據(jù)安全事件,從某營銷服務(wù)提供商因“核心運(yùn)維人員刪庫”導(dǎo)致市值蒸發(fā)超30億港元�,并賠付商家1.5億元����;到某商業(yè)銀行因“違規(guī)泄露藝人信息”導(dǎo)致信用受損����、支行行長撤職...究其原因�,是數(shù)據(jù)安全面臨的“內(nèi)憂外患”。這其中既有受害方數(shù)據(jù)安全意識薄弱的主觀因素��,更多來自于未將數(shù)據(jù)安全管理形成日?�;ぷ?����,缺乏對數(shù)據(jù)安全產(chǎn)品��、技術(shù)的有效應(yīng)用與體系化治理����,以及對數(shù)據(jù)安全建設(shè)及相關(guān)工作的監(jiān)控力與執(zhí)行力不足等客觀問題。
保障數(shù)據(jù)的安全流動與價(jià)值提升���,是現(xiàn)階段企業(yè)數(shù)據(jù)安全建設(shè)的主要目標(biāo)����。然而�����,以抵御攻擊為中心、以黑客為主要防御對象的安全策略與體系構(gòu)建已不能滿足以上需求與目標(biāo)的達(dá)成����;換言之,政府���、企業(yè)乃至個人用戶����,需要將過去以網(wǎng)絡(luò)為中心的安全防護(hù)思路�����,朝向以數(shù)據(jù)為中心的安全策略及方向轉(zhuǎn)變��。
近年來����,數(shù)據(jù)安全相關(guān)法律法規(guī)與政策標(biāo)準(zhǔn)的陸續(xù)發(fā)布,不僅體現(xiàn)出國家對數(shù)據(jù)安全監(jiān)管的日益嚴(yán)格���,也說明了數(shù)據(jù)安全防護(hù)已不再是對安全產(chǎn)品的簡單堆砌與功能疊加�,而是從制度化��、日?����;慕嵌惹腥?����,通過建立組織��、明確人員來嚴(yán)格落地實(shí)施相關(guān)工作��,在數(shù)據(jù)分級分類的基礎(chǔ)之上���,對數(shù)據(jù)的全生命周期進(jìn)行科學(xué)的管控�����。為了實(shí)現(xiàn)以上目標(biāo)���,就需要一套完整、體系化的數(shù)據(jù)安全治理解決方案,而其中關(guān)鍵的一環(huán)���,即數(shù)據(jù)安全治理“服務(wù)”���。
服務(wù),數(shù)據(jù)安全治理的關(guān)鍵一環(huán)
國家法律法規(guī)及行業(yè)標(biāo)準(zhǔn)規(guī)范等的發(fā)布��,是開展數(shù)據(jù)安全治理的行事準(zhǔn)則�����。然而�����,當(dāng)企業(yè)在此背景下開展數(shù)據(jù)安全建設(shè)工作時���,仍會遇到以下三個“實(shí)際問題”:
第一�����,數(shù)據(jù)安全建設(shè)具體要做什么�����?
第二�����,數(shù)據(jù)安全建設(shè)具體從哪開始��?
第三���,數(shù)據(jù)安全建設(shè)具體該怎么做?
數(shù)據(jù)安全治理服務(wù)��,是數(shù)據(jù)安全建設(shè)中一種靈活的解決方式——企業(yè)可基于安全咨詢專家對自身所屬行業(yè)的數(shù)據(jù)安全治理實(shí)踐經(jīng)驗(yàn)與相關(guān)法律標(biāo)準(zhǔn)的深入解析與建議��,選擇具有針對性的數(shù)據(jù)安全產(chǎn)品����,構(gòu)建更加適合的組織、制度����,并通過符合相關(guān)法律標(biāo)準(zhǔn)的流程體系,持續(xù)完善企業(yè)的數(shù)據(jù)安全防護(hù)與建設(shè)工作����。換言之,數(shù)據(jù)安全治理服務(wù)能為企業(yè)在數(shù)據(jù)安全建設(shè)的各個環(huán)節(jié)提供幫助,比如:幫助企業(yè)理清資產(chǎn)��、明確風(fēng)險(xiǎn)��、搭建數(shù)據(jù)安全治理體系��、提升數(shù)據(jù)安全保障能力等���。
數(shù)據(jù)安全治理服務(wù)主要包括數(shù)據(jù)安全評估��、數(shù)據(jù)分類分級��、數(shù)據(jù)安全治理體系建設(shè)�、數(shù)據(jù)安全培訓(xùn):
數(shù)據(jù)安全評估服務(wù)
數(shù)據(jù)安全評估服務(wù)適用于對自身數(shù)據(jù)安全狀況不了解���,期望通過評估查找不足的企業(yè)�;或希望通過數(shù)據(jù)安全評估推動自身數(shù)據(jù)安全工作持續(xù)完善�、改進(jìn)的企業(yè)。
安華金和數(shù)據(jù)安全評估服務(wù)通過工具掃描結(jié)合人工查驗(yàn)的方式:對數(shù)據(jù)庫本身的安全狀況進(jìn)行評估��,評估內(nèi)容包括資產(chǎn)價(jià)值評估�、脆弱性評估和威脅性評估;此外��,通過全面梳理企業(yè)的制度文件和技術(shù)措施,對企業(yè)的數(shù)據(jù)安全情況進(jìn)行評估����,評估內(nèi)容包括但不限于數(shù)據(jù)安全制度建設(shè)及落實(shí)執(zhí)行情況、數(shù)據(jù)分類分級情況�����、數(shù)據(jù)安全事件應(yīng)急響應(yīng)水平�,以及重要數(shù)據(jù)安全保障措施配備情況等�����。
最終形成《數(shù)據(jù)安全評估報(bào)告》���,詳細(xì)描述企業(yè)在數(shù)據(jù)安全工作方面所取得的成果和不足�����,并針對不足之處提供整改建議���。
數(shù)據(jù)分類分級服務(wù)
數(shù)據(jù)分類分級服務(wù)適用于對自身數(shù)據(jù)資產(chǎn)底賬狀況不了解,資產(chǎn)管理責(zé)任不清晰���,尚未劃分?jǐn)?shù)據(jù)類別和級別���,也不知道該如何進(jìn)行數(shù)據(jù)分類分級�,以及如何保障重要數(shù)據(jù)安全的企業(yè)��。
安華金和數(shù)據(jù)分類分級服務(wù)��,可通過全面梳理企業(yè)的業(yè)務(wù)范圍��,對業(yè)務(wù)進(jìn)行細(xì)分����;同時,通過整理數(shù)據(jù)資產(chǎn)��,對數(shù)據(jù)的類別進(jìn)行細(xì)分:
綜合考慮不同數(shù)據(jù)的使用目的�、敏感程度和屬性等,進(jìn)一步明確數(shù)據(jù)分類標(biāo)準(zhǔn)�,從而為業(yè)務(wù)和數(shù)據(jù)建立“由總到分”的邏輯架構(gòu)。
在數(shù)據(jù)分類的基礎(chǔ)上��,結(jié)合每一類數(shù)據(jù)的重要性�����、敏感程度,及其發(fā)生泄露�����、丟失��、損壞等會造成的危害影響等��,制定數(shù)據(jù)分級策略�,對分類后的數(shù)據(jù)進(jìn)行定級。
最后��,在數(shù)據(jù)分類分級基礎(chǔ)上�����,明確重要數(shù)據(jù)的范圍和類型���,并形成《數(shù)據(jù)分類分級規(guī)范指南》、《數(shù)據(jù)庫資產(chǎn)清單》���、《數(shù)據(jù)分類分級清單》等指導(dǎo)性文件�。
數(shù)據(jù)安全治理體系建設(shè)服務(wù)
數(shù)據(jù)安全治理體系建設(shè)貫穿于企業(yè)數(shù)據(jù)安全工作的各個環(huán)節(jié)�,圍繞重要敏感數(shù)據(jù)隨業(yè)務(wù)流轉(zhuǎn)的過程及其整個生命周期�����,對可能存在的風(fēng)險(xiǎn)問題進(jìn)行數(shù)據(jù)安全策略規(guī)劃與配置����。比如:通過對數(shù)據(jù)資產(chǎn)的準(zhǔn)確梳理���,摸清企業(yè)數(shù)據(jù)底賬��;通過全面的數(shù)據(jù)安全評估��,幫助企業(yè)發(fā)現(xiàn)自身存在的數(shù)據(jù)安全風(fēng)險(xiǎn)場景�;通過數(shù)據(jù)分類分級服務(wù)���,確定重要敏感數(shù)據(jù)的類別和級別���;對企業(yè)整體的數(shù)據(jù)安全治理進(jìn)行規(guī)劃建設(shè)。
安華金和數(shù)據(jù)安全治理建設(shè)分為三大體系����,即數(shù)據(jù)安全管理體系,數(shù)據(jù)安全技術(shù)體系和數(shù)據(jù)安全運(yùn)營體系:
數(shù)據(jù)安全管理體系建設(shè)��,可幫助企業(yè)建立合理的數(shù)據(jù)安全組織架構(gòu),明確相關(guān)部門及人員職責(zé)���,并制定數(shù)據(jù)分類分級規(guī)范��、數(shù)據(jù)安全權(quán)限管理制度�����、數(shù)據(jù)安全操作規(guī)范�、數(shù)據(jù)安全自查制度等實(shí)用�、可落地的數(shù)據(jù)安全制度、流程�����。
數(shù)據(jù)安全技術(shù)體系建設(shè)����,可針對不同的數(shù)據(jù)安全風(fēng)險(xiǎn)問題�,建立基于“事前檢查、事中防范��、事后審計(jì)”理念的數(shù)據(jù)安全技術(shù)管控策略����。
數(shù)據(jù)安全運(yùn)營體系建設(shè)���,可基于管理制度及規(guī)范,有效執(zhí)行數(shù)據(jù)安全管控策略����,并進(jìn)一步提升日常風(fēng)險(xiǎn)監(jiān)測水平、應(yīng)急處置能力等����。
數(shù)據(jù)安全培訓(xùn)服務(wù)
數(shù)據(jù)安全培訓(xùn)服務(wù)主要面向希望提高內(nèi)部人員數(shù)據(jù)安全意識及數(shù)據(jù)安全相關(guān)技能的企業(yè)。員工由于缺少足夠的數(shù)據(jù)安全防范意識���,往往因貪圖便利或誤操作而違反企業(yè)推行的數(shù)據(jù)安全規(guī)章制度���,甚至被黑客等不法分子所利用。
為此�,數(shù)據(jù)安全培訓(xùn)服務(wù)專門設(shè)計(jì)了數(shù)據(jù)安全法律法規(guī)標(biāo)準(zhǔn)解讀培訓(xùn)和數(shù)據(jù)安全意識培訓(xùn)等內(nèi)容,旨在通過線上/線下課程講解代表性案例與數(shù)據(jù)安全知識���,分享在日常數(shù)據(jù)安全工作中的經(jīng)驗(yàn)和技巧����,以增加員工對相關(guān)政策法規(guī)的理解,清楚相應(yīng)的數(shù)據(jù)安全責(zé)任義務(wù)��,從而提高數(shù)據(jù)安全意識�、減少日常工作失誤等。
服務(wù)價(jià)值體現(xiàn)
1�、某政府部門數(shù)據(jù)分類分級
某政務(wù)行政審批服務(wù)局響應(yīng)國家數(shù)據(jù)共享政策,打破傳統(tǒng)的數(shù)據(jù)孤島�,建立數(shù)據(jù)共享平臺。該平臺中匯集了全市政府單位的基礎(chǔ)庫信息����,形成政務(wù)數(shù)據(jù)的基礎(chǔ)數(shù)據(jù)倉庫,如人口庫�、法人庫、宏觀經(jīng)濟(jì)庫����、空間地理信息庫等;并在基礎(chǔ)庫之上��,建立主題庫和應(yīng)用庫����,從而面向各需求部門提供主題庫和應(yīng)用庫中的相關(guān)數(shù)據(jù)。
針對該局龐大的數(shù)據(jù)量����,安華金和數(shù)據(jù)安全咨詢服務(wù)團(tuán)隊(duì)通過數(shù)據(jù)資產(chǎn)梳理形成數(shù)據(jù)資產(chǎn)地圖,幫助該局全面掌握其數(shù)據(jù)資產(chǎn)情況����,同時準(zhǔn)確知曉重要數(shù)據(jù)庫的訪問及風(fēng)險(xiǎn)狀況。通過數(shù)據(jù)安全治理服務(wù)���,該局厘清了自身數(shù)據(jù)資產(chǎn)��,掌握了敏感數(shù)據(jù)的分布�����,并在數(shù)據(jù)分類基礎(chǔ)之上��,確定了數(shù)據(jù)的定級要素��,包括影響對象�、影響范圍��、影響程度等���,并將數(shù)據(jù)等級從高到低劃分為“4-3-2-1”四個級別��。最終��,形成了標(biāo)準(zhǔn)的《數(shù)據(jù)分類分級規(guī)范》及其落地執(zhí)行清單��,針對需要共享的重要數(shù)據(jù)進(jìn)行脫敏��,為該局?jǐn)?shù)據(jù)的安全共享打下了堅(jiān)實(shí)基礎(chǔ)�����。
2�、某運(yùn)營商數(shù)據(jù)合規(guī)性評估
某運(yùn)營商響應(yīng)《工業(yè)和信息化部辦公廳關(guān)于做好2020年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理工作的通知》要求,開展數(shù)據(jù)安全合規(guī)性評估�����。
安華金和數(shù)據(jù)安全咨詢服務(wù)團(tuán)隊(duì)根據(jù)該運(yùn)營商方面需求�,對照《2020年電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估要點(diǎn)》信息,進(jìn)行了企業(yè)整體數(shù)據(jù)安全水平評估�、重點(diǎn)業(yè)務(wù)數(shù)據(jù)安全合規(guī)性評估,以及對核心數(shù)據(jù)處理平臺系統(tǒng)的安全合規(guī)性評估�����,并形成報(bào)告。
評估內(nèi)容包括:基礎(chǔ)性評估(重點(diǎn)圍繞機(jī)構(gòu)人員�����、制度保障���、分類分級、合規(guī)評估��、權(quán)限管理�����、安全審計(jì)����、合作方管理、應(yīng)急響應(yīng)����、投訴處理、教育培訓(xùn)十個方面)����、數(shù)據(jù)生命周期評估(重點(diǎn)圍繞數(shù)據(jù)采集���、傳輸、存儲����、使用、開放共享�、銷毀六個環(huán)節(jié))、技術(shù)能力評估(重點(diǎn)圍繞數(shù)據(jù)識別�、安全審計(jì)、防泄露���、接口安全管理���、個人信息保護(hù)五個方面)。綜上��,在滿足監(jiān)管方面要求的同時��,更為該運(yùn)營商進(jìn)一步開展數(shù)據(jù)安全整改工作提供了有力的參考依據(jù)�。
3、某煙草數(shù)據(jù)安全治理體系建設(shè)
某煙草公司銷售重心下移后�����,更多的消費(fèi)者數(shù)據(jù)被納入其煙草生態(tài)圈中。與此同時�,因新系統(tǒng)的上線與舊系統(tǒng)的下線,加之新老員工的更迭交替����,致使部分?jǐn)?shù)據(jù)資產(chǎn)的責(zé)任方變得模糊不清�����,一些未登記�����、未使用過的數(shù)據(jù)資產(chǎn)陸續(xù)出現(xiàn)���,令該煙草公司的數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增���。
安華金和數(shù)據(jù)安全咨詢服務(wù)團(tuán)隊(duì)對該煙草公司進(jìn)行了深入的數(shù)據(jù)資產(chǎn)調(diào)研工作,對相關(guān)數(shù)據(jù)資產(chǎn)的應(yīng)用及保護(hù)情況進(jìn)行了整體����、細(xì)致的調(diào)研分析。通過對客戶數(shù)據(jù)資產(chǎn)進(jìn)行摸底�����,基于實(shí)際情況制定出《數(shù)據(jù)分類分級標(biāo)準(zhǔn)指南》,并形成了《數(shù)據(jù)分類分級清單》�。依據(jù)數(shù)據(jù)資產(chǎn)的安全現(xiàn)狀和不同類別、級別數(shù)據(jù)的使用場景����,建立數(shù)據(jù)安全防護(hù)管理要求與技術(shù)要求;重點(diǎn)針對不同類別和安全級別的數(shù)據(jù)����,圍繞數(shù)據(jù)的合規(guī)性、保密性�、完整性、可用性�����,及其全生命周期提出安全防護(hù)要求�����,為該客戶開展數(shù)據(jù)安全防護(hù)工作提供參考�,為促進(jìn)數(shù)據(jù)資產(chǎn)的增值提供新思路,為數(shù)據(jù)安全建設(shè)與應(yīng)用實(shí)踐工作奠定基礎(chǔ)��。
安華金和早在2016年便于國內(nèi)首次提出“數(shù)據(jù)安全治理”這一概念,并通過多年持續(xù)實(shí)踐�,將對數(shù)據(jù)安全3.0時代的理論研究成果與“核心技術(shù)研發(fā)、產(chǎn)品功能設(shè)計(jì)����、服務(wù)模式優(yōu)化”三者進(jìn)行了融合發(fā)展,幫助不同行業(yè)���、不同規(guī)模���、不同需求的用戶���,開展具有針對性的數(shù)據(jù)安全治理工作�����。
為進(jìn)一步推動數(shù)據(jù)安全治理項(xiàng)目落地�,并對產(chǎn)品技術(shù)應(yīng)用形成有益補(bǔ)充��,安華金和率先推行“服務(wù)產(chǎn)品化”���,專門組建“安全咨詢部”�����,提供專業(yè)����、領(lǐng)先的數(shù)據(jù)安全治理“服務(wù)”。通過客觀��、深入的分析研究����,對客戶數(shù)據(jù)安全治理工作在產(chǎn)品功能配置、方案規(guī)劃設(shè)計(jì)與技術(shù)服務(wù)支持等方面提供參考建議����,將各個治理環(huán)節(jié)串聯(lián)接合并持續(xù)優(yōu)化提升,幫助政府��、企業(yè)真正落實(shí)好數(shù)據(jù)安全治理相關(guān)建設(shè)工作�。
產(chǎn)品咨詢:4000 258 365 
