中國(guó)電信國(guó)際有限公司(以下簡(jiǎn)稱“國(guó)際公司”)是中國(guó)電信集團(tuán)公司為拓展海外業(yè)務(wù)而組建的國(guó)際業(yè)務(wù)公司���。隨著全球經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型,數(shù)據(jù)逐漸成為繼土地�、勞動(dòng)力、資本之外的第四大關(guān)鍵生產(chǎn)要素�。與此同時(shí),作為企業(yè)三大資產(chǎn)——固定資產(chǎn)�����、財(cái)務(wù)資產(chǎn)和數(shù)字資產(chǎn)�,數(shù)據(jù)安全已成為網(wǎng)絡(luò)安全的一個(gè)重要核心。國(guó)際公司伴隨業(yè)務(wù)的快速拓展����,數(shù)據(jù)量持續(xù)不斷增長(zhǎng),因此開(kāi)始著手準(zhǔn)備針對(duì)數(shù)據(jù)安全防護(hù)的體系化建設(shè)工作�����。
1、數(shù)據(jù)安全威脅對(duì)現(xiàn)有傳統(tǒng)防范思路的挑戰(zhàn)
傳統(tǒng)安全防護(hù)手段大多是將網(wǎng)絡(luò)設(shè)備����、服務(wù)器、主機(jī)����、操作系統(tǒng)或數(shù)據(jù)庫(kù)及相關(guān)應(yīng)用程序本身視為保護(hù)對(duì)象,可將其視為“靜態(tài)”的防護(hù)��。然而��,對(duì)數(shù)據(jù)價(jià)值的挖掘和利用卻是“動(dòng)態(tài)”的����,比如數(shù)據(jù)需要隨時(shí)跨部門(mén)、跨區(qū)域�����、跨應(yīng)用進(jìn)行傳輸和運(yùn)轉(zhuǎn)��,而在這一過(guò)程中���,包括業(yè)務(wù)信息或個(gè)人信息等重要敏感數(shù)據(jù)一旦泄露�����,則將為企業(yè)及其用戶帶來(lái)難以估量的經(jīng)濟(jì)損失或名譽(yù)損害���。因此,傳統(tǒng)防護(hù)思路是否可以應(yīng)對(duì)現(xiàn)階段的數(shù)據(jù)安全防護(hù)需求�����,成為國(guó)際公司面臨的一大挑戰(zhàn)��。
2���、來(lái)自外部法律法規(guī)和監(jiān)管合規(guī)的壓力
當(dāng)前���,我國(guó)已發(fā)布或正在積極推進(jìn)包括等保2.0、《網(wǎng)絡(luò)安全法》�����、《數(shù)據(jù)安全法》�����、《個(gè)人信息保護(hù)法》(草案)在內(nèi)的一系列重量級(jí)法律法規(guī),數(shù)據(jù)安全已邁入“有法可依�����、有法必依”的全新時(shí)期�。在此背景下,國(guó)際公司作為運(yùn)營(yíng)商企業(yè)����,除了遵循相關(guān)法律法規(guī)的約束和要求之外,也要符合行業(yè)監(jiān)管機(jī)構(gòu)的合規(guī)管理�����,比如:《2020 省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)價(jià)標(biāo)準(zhǔn)》��、《IT 安全能力建設(shè)規(guī)范 _5. 數(shù)據(jù)安全能力分冊(cè)》���、《電信網(wǎng)和互聯(lián)網(wǎng)大數(shù)據(jù)平臺(tái)安全防護(hù)要求》等��。
1. 對(duì)數(shù)據(jù)安全防護(hù)未形成完善���、清晰的工作思路;2. 對(duì)數(shù)據(jù)資產(chǎn)的識(shí)別與數(shù)據(jù)分類分級(jí)缺乏專業(yè)性的支撐與解讀�;3. 對(duì)數(shù)據(jù)資產(chǎn)重要性的了解也不夠深入;4. 數(shù)據(jù)全生命周期安全管理制度與實(shí)際業(yè)務(wù)場(chǎng)景的結(jié)合落地困難�����;5. 管理制度未能根據(jù)不同業(yè)務(wù)��、不同專業(yè)切實(shí)執(zhí)行�����;6. 缺乏數(shù)據(jù)安全業(yè)務(wù)保護(hù)評(píng)估�����,無(wú)法有效識(shí)別數(shù)據(jù)安全關(guān)鍵薄弱環(huán)節(jié)�����;7. 數(shù)據(jù)安全防護(hù)手段缺失�,對(duì)數(shù)據(jù)安全防護(hù)能力的補(bǔ)足缺乏依據(jù),存在采用無(wú)針對(duì)性的安全策略進(jìn)行防護(hù)建設(shè)等問(wèn)題��。為解決以上問(wèn)題����,國(guó)際公司亟需一套完整����、體系化���、全覆蓋的數(shù)據(jù)安全治理思路與方法論��,以有效落實(shí)數(shù)據(jù)安全防范的相關(guān)具體措施���。
針對(duì)國(guó)際公司的現(xiàn)狀與具體需求,安華金和基于“數(shù)據(jù)安全管理體系+數(shù)據(jù)安全技術(shù)體系+數(shù)據(jù)安全運(yùn)營(yíng)體系”三者組合�,形成落實(shí)國(guó)際公司數(shù)據(jù)安全治理體系的方法論:
(1)數(shù)據(jù)安全管理體系——確定數(shù)據(jù)安全治理的對(duì)象、管理者并建立管理制度��,做到“有制可依”��;(2)數(shù)據(jù)安全技術(shù)體系——確定制度落實(shí)的操作流程�,明確管理者的手段和工具,做到“有規(guī)可行”�����;(3)數(shù)據(jù)安全運(yùn)營(yíng)體系——基于自動(dòng)化的數(shù)據(jù)安全運(yùn)營(yíng)管控平臺(tái)�,由數(shù)據(jù)安全治理服務(wù)保障團(tuán)隊(duì)提供支撐����,做到“風(fēng)險(xiǎn)必查��、行為可溯”�����。
將數(shù)據(jù)安全治理工作劃分為三個(gè)階段:
第一階段是數(shù)據(jù)安全基礎(chǔ)防護(hù)階段����,應(yīng)首先對(duì)數(shù)據(jù)安全治理體系基本的治理組織機(jī)構(gòu)�、治理對(duì)象、治理基本要求和策略進(jìn)行總體調(diào)研與把控�����;然后進(jìn)行整體性的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估�����,提早發(fā)現(xiàn)業(yè)務(wù)/個(gè)人數(shù)據(jù)在流轉(zhuǎn)中可能出現(xiàn)的風(fēng)險(xiǎn)問(wèn)題�����;最終提供符合國(guó)際公司現(xiàn)狀及需求的數(shù)據(jù)安全治理整體規(guī)劃和方案;
第二階段是策略優(yōu)化及能力提升建設(shè)階段���,建立符合國(guó)際公司數(shù)據(jù)安全需求的管理制度并形成操作規(guī)范���,持續(xù)梳理、完善數(shù)據(jù)安全防護(hù)策略的落實(shí)流程�,同時(shí)補(bǔ)足相應(yīng)的數(shù)據(jù)安全防護(hù)產(chǎn)品及工具;
第三階段是形成數(shù)據(jù)安全運(yùn)營(yíng)管控階段�����,配備自動(dòng)化的數(shù)據(jù)安全管控平臺(tái)��,由一線專業(yè)數(shù)據(jù)安全工程師與二線數(shù)據(jù)安全咨詢顧問(wèn)提供支撐����,幫助國(guó)際公司實(shí)現(xiàn)對(duì)數(shù)據(jù)高效、穩(wěn)定�、可持續(xù)、可落地的日常運(yùn)營(yíng)�、監(jiān)管及相關(guān)保障工作。
基于國(guó)際公司在數(shù)據(jù)安全防護(hù)思路方面的問(wèn)題�,以及體系化防御手段的不足,安華金和決定首先從基礎(chǔ)數(shù)據(jù)防護(hù)建設(shè)展開(kāi)工作:
(1)現(xiàn)狀調(diào)研——明確數(shù)據(jù)安全治理的業(yè)務(wù)范圍���;(2)數(shù)據(jù)資產(chǎn)梳理——明確安全治理對(duì)象���、對(duì)象分布范圍及承載數(shù)據(jù)的數(shù)據(jù)庫(kù)權(quán)限情況��;(3)數(shù)據(jù)分類分級(jí)——明確數(shù)據(jù)安全治理對(duì)象的類別和等級(jí)�����,識(shí)別重要敏感數(shù)據(jù),區(qū)別防控策略的基礎(chǔ)�;(4)數(shù)據(jù)安全評(píng)估——發(fā)現(xiàn)數(shù)據(jù)安全治理業(yè)務(wù)范圍和對(duì)象的風(fēng)險(xiǎn)場(chǎng)景,從而建設(shè)規(guī)劃的基礎(chǔ)���;(5)規(guī)劃方案藍(lán)圖——針對(duì)國(guó)際公司現(xiàn)狀�、數(shù)據(jù)安全治理對(duì)象及業(yè)務(wù)范圍����,及在流轉(zhuǎn)中所產(chǎn)生的數(shù)據(jù)安全風(fēng)險(xiǎn),基于管理�、技術(shù)、運(yùn)營(yíng)三方面進(jìn)行方案藍(lán)圖設(shè)計(jì)���。
2����、業(yè)務(wù)數(shù)據(jù)資源調(diào)研摸底
鑒于國(guó)際公司的主要困難在于不清楚自身數(shù)據(jù)資產(chǎn)的具體分布及其所處狀況,安華金和咨詢顧問(wèn)采用“工具+人工”的方式����,利用數(shù)據(jù)資產(chǎn)梳理工具為其進(jìn)行數(shù)據(jù)資產(chǎn)識(shí)別,對(duì)“數(shù)據(jù)庫(kù)賬號(hào)����、權(quán)限、表和字段”等進(jìn)行了有效梳理���,并形成數(shù)據(jù)資產(chǎn)清單��,從而明確了國(guó)際公司數(shù)據(jù)資產(chǎn)的分布情況���。
3、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估
數(shù)據(jù)安全評(píng)估工作圍繞與敏感信息相關(guān)的業(yè)務(wù)流程進(jìn)行�,厘清各流程中數(shù)據(jù)的流轉(zhuǎn)及使用情況,重點(diǎn)評(píng)估在信息流轉(zhuǎn)與使用過(guò)程中能夠直接或間接接觸到相關(guān)數(shù)據(jù)的情況����;再結(jié)合對(duì)敏感信息保護(hù)的實(shí)際需求,針對(duì)項(xiàng)目范圍內(nèi)的數(shù)據(jù)庫(kù)進(jìn)行漏洞掃描�����,包括:弱口令、缺省配置��、配置缺陷�����、漏洞等���;同時(shí)���,依據(jù)我國(guó)及國(guó)際重要數(shù)據(jù)安全監(jiān)管要求��,設(shè)計(jì)符合國(guó)際公司的評(píng)估矩陣�,并采用人員訪談、文檔查閱����、系統(tǒng)查驗(yàn)、技術(shù)測(cè)評(píng)等方式����,實(shí)現(xiàn)準(zhǔn)確查找文檔���、配置相應(yīng)策略、評(píng)估潛在風(fēng)險(xiǎn)�、提出整改建議,并最終形成評(píng)估報(bào)告�����。
依據(jù)評(píng)估報(bào)告中存在的風(fēng)險(xiǎn)��,結(jié)合國(guó)際公司現(xiàn)狀�,為其規(guī)劃未來(lái)數(shù)據(jù)安全建設(shè)藍(lán)圖,涵蓋數(shù)據(jù)安全的“管理��、技術(shù)��、運(yùn)營(yíng)”三大體系建設(shè):
(1)數(shù)據(jù)安全管理體系——通過(guò)建立四級(jí)文檔的形式�����,明確數(shù)據(jù)安全方針、組織架構(gòu)����、制度要求、流程規(guī)范���、記錄表單等���;(2)數(shù)據(jù)安全技術(shù)體系——通過(guò)規(guī)劃數(shù)據(jù)資產(chǎn)識(shí)別梳理、數(shù)據(jù)全生命周期安全防護(hù)能力�,發(fā)揮“事前明確診斷、事中有效控制��、事后分析溯源”的數(shù)據(jù)安全技術(shù)能力�;(3)數(shù)據(jù)安全運(yùn)營(yíng)體系——通過(guò)規(guī)劃數(shù)據(jù)安全監(jiān)管平臺(tái),實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)管理���、數(shù)據(jù)安全策略管理、數(shù)據(jù)安全事件監(jiān)測(cè)與數(shù)據(jù)安全風(fēng)險(xiǎn)運(yùn)營(yíng)能力���。
1. 強(qiáng)化了國(guó)際公司對(duì)于自身數(shù)據(jù)的安全管理����;2. 建立了符合國(guó)際公司的數(shù)據(jù)安全治理體系;3. 通過(guò)建立數(shù)據(jù)安全治理體系��,提升了國(guó)際公司的數(shù)據(jù)安全保障能力�;4. 滿足國(guó)家相關(guān)法律法規(guī)及行業(yè)監(jiān)管的要求。
產(chǎn)品咨詢:4000 258 365 
