中國電信國際有限公司(以下簡稱“國際公司”)是中國電信集團公司為拓展海外業(yè)務(wù)而組建的國際業(yè)務(wù)公司���。隨著全球經(jīng)濟數(shù)字化轉(zhuǎn)型�����,數(shù)據(jù)逐漸成為繼土地����、勞動力�����、資本之外的第四大關(guān)鍵生產(chǎn)要素���。與此同時�,作為企業(yè)三大資產(chǎn)——固定資產(chǎn)�����、財務(wù)資產(chǎn)和數(shù)字資產(chǎn),數(shù)據(jù)安全已成為網(wǎng)絡(luò)安全的一個重要核心�����。國際公司伴隨業(yè)務(wù)的快速拓展�,數(shù)據(jù)量持續(xù)不斷增長,因此開始著手準(zhǔn)備針對數(shù)據(jù)安全防護的體系化建設(shè)工作���。
1����、數(shù)據(jù)安全威脅對現(xiàn)有傳統(tǒng)防范思路的挑戰(zhàn)
傳統(tǒng)安全防護手段大多是將網(wǎng)絡(luò)設(shè)備�����、服務(wù)器����、主機、操作系統(tǒng)或數(shù)據(jù)庫及相關(guān)應(yīng)用程序本身視為保護對象���,可將其視為“靜態(tài)”的防護���。然而�����,對數(shù)據(jù)價值的挖掘和利用卻是“動態(tài)”的����,比如數(shù)據(jù)需要隨時跨部門��、跨區(qū)域���、跨應(yīng)用進行傳輸和運轉(zhuǎn),而在這一過程中�,包括業(yè)務(wù)信息或個人信息等重要敏感數(shù)據(jù)一旦泄露,則將為企業(yè)及其用戶帶來難以估量的經(jīng)濟損失或名譽損害��。因此��,傳統(tǒng)防護思路是否可以應(yīng)對現(xiàn)階段的數(shù)據(jù)安全防護需求�,成為國際公司面臨的一大挑戰(zhàn)。
2����、來自外部法律法規(guī)和監(jiān)管合規(guī)的壓力
當(dāng)前,我國已發(fā)布或正在積極推進包括等保2.0���、《網(wǎng)絡(luò)安全法》��、《數(shù)據(jù)安全法》���、《個人信息保護法》(草案)在內(nèi)的一系列重量級法律法規(guī)�,數(shù)據(jù)安全已邁入“有法可依��、有法必依”的全新時期�����。在此背景下����,國際公司作為運營商企業(yè),除了遵循相關(guān)法律法規(guī)的約束和要求之外�����,也要符合行業(yè)監(jiān)管機構(gòu)的合規(guī)管理�,比如:《2020 省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點與評價標(biāo)準(zhǔn)》、《IT 安全能力建設(shè)規(guī)范 _5. 數(shù)據(jù)安全能力分冊》����、《電信網(wǎng)和互聯(lián)網(wǎng)大數(shù)據(jù)平臺安全防護要求》等�����。
1. 對數(shù)據(jù)安全防護未形成完善�、清晰的工作思路����;2. 對數(shù)據(jù)資產(chǎn)的識別與數(shù)據(jù)分類分級缺乏專業(yè)性的支撐與解讀;3. 對數(shù)據(jù)資產(chǎn)重要性的了解也不夠深入����;4. 數(shù)據(jù)全生命周期安全管理制度與實際業(yè)務(wù)場景的結(jié)合落地困難�;5. 管理制度未能根據(jù)不同業(yè)務(wù)、不同專業(yè)切實執(zhí)行�;6. 缺乏數(shù)據(jù)安全業(yè)務(wù)保護評估,無法有效識別數(shù)據(jù)安全關(guān)鍵薄弱環(huán)節(jié)�;7. 數(shù)據(jù)安全防護手段缺失,對數(shù)據(jù)安全防護能力的補足缺乏依據(jù)�,存在采用無針對性的安全策略進行防護建設(shè)等問題。為解決以上問題�����,國際公司亟需一套完整、體系化�����、全覆蓋的數(shù)據(jù)安全治理思路與方法論�,以有效落實數(shù)據(jù)安全防范的相關(guān)具體措施。
針對國際公司的現(xiàn)狀與具體需求���,安華金和基于“數(shù)據(jù)安全管理體系+數(shù)據(jù)安全技術(shù)體系+數(shù)據(jù)安全運營體系”三者組合����,形成落實國際公司數(shù)據(jù)安全治理體系的方法論:
(1)數(shù)據(jù)安全管理體系——確定數(shù)據(jù)安全治理的對象���、管理者并建立管理制度�����,做到“有制可依”����;(2)數(shù)據(jù)安全技術(shù)體系——確定制度落實的操作流程�,明確管理者的手段和工具,做到“有規(guī)可行”��;(3)數(shù)據(jù)安全運營體系——基于自動化的數(shù)據(jù)安全運營管控平臺,由數(shù)據(jù)安全治理服務(wù)保障團隊提供支撐�,做到“風(fēng)險必查、行為可溯”����。
將數(shù)據(jù)安全治理工作劃分為三個階段:
第一階段是數(shù)據(jù)安全基礎(chǔ)防護階段,應(yīng)首先對數(shù)據(jù)安全治理體系基本的治理組織機構(gòu)�、治理對象、治理基本要求和策略進行總體調(diào)研與把控��;然后進行整體性的數(shù)據(jù)安全風(fēng)險評估����,提早發(fā)現(xiàn)業(yè)務(wù)/個人數(shù)據(jù)在流轉(zhuǎn)中可能出現(xiàn)的風(fēng)險問題;最終提供符合國際公司現(xiàn)狀及需求的數(shù)據(jù)安全治理整體規(guī)劃和方案�����;
第二階段是策略優(yōu)化及能力提升建設(shè)階段��,建立符合國際公司數(shù)據(jù)安全需求的管理制度并形成操作規(guī)范���,持續(xù)梳理、完善數(shù)據(jù)安全防護策略的落實流程��,同時補足相應(yīng)的數(shù)據(jù)安全防護產(chǎn)品及工具;
第三階段是形成數(shù)據(jù)安全運營管控階段���,配備自動化的數(shù)據(jù)安全管控平臺��,由一線專業(yè)數(shù)據(jù)安全工程師與二線數(shù)據(jù)安全咨詢顧問提供支撐��,幫助國際公司實現(xiàn)對數(shù)據(jù)高效���、穩(wěn)定、可持續(xù)�、可落地的日常運營、監(jiān)管及相關(guān)保障工作����。
基于國際公司在數(shù)據(jù)安全防護思路方面的問題,以及體系化防御手段的不足��,安華金和決定首先從基礎(chǔ)數(shù)據(jù)防護建設(shè)展開工作:
(1)現(xiàn)狀調(diào)研——明確數(shù)據(jù)安全治理的業(yè)務(wù)范圍�;(2)數(shù)據(jù)資產(chǎn)梳理——明確安全治理對象、對象分布范圍及承載數(shù)據(jù)的數(shù)據(jù)庫權(quán)限情況���;(3)數(shù)據(jù)分類分級——明確數(shù)據(jù)安全治理對象的類別和等級�,識別重要敏感數(shù)據(jù)��,區(qū)別防控策略的基礎(chǔ);(4)數(shù)據(jù)安全評估——發(fā)現(xiàn)數(shù)據(jù)安全治理業(yè)務(wù)范圍和對象的風(fēng)險場景����,從而建設(shè)規(guī)劃的基礎(chǔ);(5)規(guī)劃方案藍(lán)圖——針對國際公司現(xiàn)狀�、數(shù)據(jù)安全治理對象及業(yè)務(wù)范圍,及在流轉(zhuǎn)中所產(chǎn)生的數(shù)據(jù)安全風(fēng)險�,基于管理、技術(shù)�����、運營三方面進行方案藍(lán)圖設(shè)計���。
2���、業(yè)務(wù)數(shù)據(jù)資源調(diào)研摸底
鑒于國際公司的主要困難在于不清楚自身數(shù)據(jù)資產(chǎn)的具體分布及其所處狀況,安華金和咨詢顧問采用“工具+人工”的方式��,利用數(shù)據(jù)資產(chǎn)梳理工具為其進行數(shù)據(jù)資產(chǎn)識別�����,對“數(shù)據(jù)庫賬號���、權(quán)限�����、表和字段”等進行了有效梳理���,并形成數(shù)據(jù)資產(chǎn)清單,從而明確了國際公司數(shù)據(jù)資產(chǎn)的分布情況��。
3���、數(shù)據(jù)安全風(fēng)險評估
數(shù)據(jù)安全評估工作圍繞與敏感信息相關(guān)的業(yè)務(wù)流程進行���,厘清各流程中數(shù)據(jù)的流轉(zhuǎn)及使用情況,重點評估在信息流轉(zhuǎn)與使用過程中能夠直接或間接接觸到相關(guān)數(shù)據(jù)的情況���;再結(jié)合對敏感信息保護的實際需求���,針對項目范圍內(nèi)的數(shù)據(jù)庫進行漏洞掃描,包括:弱口令��、缺省配置�����、配置缺陷、漏洞等��;同時���,依據(jù)我國及國際重要數(shù)據(jù)安全監(jiān)管要求��,設(shè)計符合國際公司的評估矩陣����,并采用人員訪談���、文檔查閱����、系統(tǒng)查驗���、技術(shù)測評等方式����,實現(xiàn)準(zhǔn)確查找文檔、配置相應(yīng)策略��、評估潛在風(fēng)險���、提出整改建議,并最終形成評估報告�����。
依據(jù)評估報告中存在的風(fēng)險,結(jié)合國際公司現(xiàn)狀���,為其規(guī)劃未來數(shù)據(jù)安全建設(shè)藍(lán)圖����,涵蓋數(shù)據(jù)安全的“管理�����、技術(shù)��、運營”三大體系建設(shè):
(1)數(shù)據(jù)安全管理體系——通過建立四級文檔的形式���,明確數(shù)據(jù)安全方針���、組織架構(gòu)���、制度要求、流程規(guī)范�����、記錄表單等��;(2)數(shù)據(jù)安全技術(shù)體系——通過規(guī)劃數(shù)據(jù)資產(chǎn)識別梳理����、數(shù)據(jù)全生命周期安全防護能力,發(fā)揮“事前明確診斷����、事中有效控制、事后分析溯源”的數(shù)據(jù)安全技術(shù)能力��;(3)數(shù)據(jù)安全運營體系——通過規(guī)劃數(shù)據(jù)安全監(jiān)管平臺�,實現(xiàn)數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)安全策略管理�����、數(shù)據(jù)安全事件監(jiān)測與數(shù)據(jù)安全風(fēng)險運營能力。
1. 強化了國際公司對于自身數(shù)據(jù)的安全管理�;2. 建立了符合國際公司的數(shù)據(jù)安全治理體系;3. 通過建立數(shù)據(jù)安全治理體系���,提升了國際公司的數(shù)據(jù)安全保障能力;4. 滿足國家相關(guān)法律法規(guī)及行業(yè)監(jiān)管的要求�。
產(chǎn)品咨詢:4000 258 365 
