作為數(shù)據(jù)安全建設(shè)的方法論����,《數(shù)據(jù)安全治理白皮書》2.0經(jīng)全面升級更新后重磅發(fā)布。該白皮書由中國網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理委員會(簡稱數(shù)據(jù)安全治理委員會)起草編著����,系統(tǒng)探討國內(nèi)外數(shù)據(jù)安全情勢與市場趨勢、相關(guān)標準與框架�����,并匯集了多個行業(yè)標桿數(shù)據(jù)安全治理實踐���,可以為政府與企業(yè)進行數(shù)據(jù)安全建設(shè)提供整體思考與規(guī)劃����,為數(shù)據(jù)安全建設(shè)的設(shè)計與實施者提供具有參考價值的數(shù)據(jù)安全治理整體方案及案例實踐�。
《數(shù)據(jù)安全治理白皮書》2.0版本修訂說明
《數(shù)據(jù)安全治理白皮書》2.0版本中,針對以下內(nèi)容進行修訂完善:
1、增加數(shù)據(jù)庫防勒索技術(shù)���,針對數(shù)據(jù)庫勒索手段進行分析����,同時提出防勒索技術(shù)��;
2��、增加個人信息收集與隱私政策測評報告相關(guān)解讀�;
3、國內(nèi)外數(shù)據(jù)安全事件概要更新至2019年��;
4��、增加數(shù)據(jù)安全相關(guān)法規(guī)和標準列表說明�;
5、數(shù)據(jù)安全治理外部所要遵循的策略中增加個人信息安全管理規(guī)范�、銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引;
6�、附錄C數(shù)據(jù)安全治理實踐增加教育部數(shù)據(jù)安全治理實踐、市政務(wù)云數(shù)據(jù)治理實踐��、國家電網(wǎng)數(shù)據(jù)安全治理實踐三個新的行業(yè)實踐��;
7、附錄D國內(nèi)外重要數(shù)據(jù)安全事件例舉增加萬豪集團5億用戶數(shù)據(jù)或外泄和Oracle Rushql勒索病毒事件�����;
8���、增加數(shù)據(jù)透明加密保護技術(shù);
9�、增加數(shù)據(jù)庫防勒索技術(shù);
10���、全文內(nèi)容文字和段落結(jié)構(gòu)的優(yōu)化����。
《數(shù)據(jù)安全治理白皮書》2.0精簡版
1����、數(shù)據(jù)安全建設(shè)需要系統(tǒng)化建設(shè)思路
1.1、數(shù)據(jù)安全成為安全的核心問題
回看過去二十余年�����,政府與企業(yè)的信息化程度不斷加深��,IT系統(tǒng)的復(fù)雜度與開放度隨之提升;伴隨云計算���、大數(shù)據(jù)����、人工智能等新興技術(shù)的飛速發(fā)展��,數(shù)據(jù)作為支撐這些前沿技術(shù)存在與發(fā)展的生產(chǎn)資料����,已經(jīng)成為組織的核心資產(chǎn),受到前所未有的重視與保護�����。數(shù)據(jù)的安全問題將引發(fā)企業(yè)和社會決策的安全問題���。數(shù)據(jù)的安全問題��,已成為企業(yè)資產(chǎn)安全性���、個人隱私安全性、國家和社會安全的核心問題�����。
1.2、數(shù)據(jù)泄露路徑多元化
過去幾年間��,大型數(shù)據(jù)泄露事件層出不窮���,就數(shù)據(jù)泄露事件分析來看,既有黑客的攻擊���,更有內(nèi)部工作人員的信息販賣�����、離職員工的信息泄露���、第三方外包人員的交易行為、數(shù)據(jù)共享第三方的數(shù)據(jù)泄露���、開發(fā)測試人員的違規(guī)等��。
這些復(fù)雜的泄露途徑無一不在證明:傳統(tǒng)網(wǎng)絡(luò)安全中以抵御攻擊為中心���、以黑客為防御對象的策略和安全體系構(gòu)建存在重大的安全缺陷�����,傳統(tǒng)網(wǎng)絡(luò)安全為中心需要向以數(shù)據(jù)為中心的安全策略轉(zhuǎn)變��。
1.3���、數(shù)據(jù)安全相關(guān)法規(guī)和標準大爆發(fā)
安全事件層出不窮,企業(yè)資產(chǎn)和國家安全面臨挑戰(zhàn)����,個人隱私大范圍泄露,在數(shù)據(jù)高度發(fā)展的時代����,這些都為社會的安定、個體自由與安全帶來了巨大挑戰(zhàn)����。因此各國都相繼出臺了大量的法規(guī),對個人���、企業(yè)和國家重要數(shù)據(jù)進行保護��。
1.4�����、數(shù)據(jù)安全建設(shè)需要有系統(tǒng)化思維和建設(shè)框架
隨著數(shù)據(jù)安全的重要度提升�,用戶在這個方向的投資也在增大,據(jù)KVB Research2017年大數(shù)據(jù)安全報告預(yù)測顯示���,大數(shù)據(jù)安全上2017年全球投資達到102億美金�����,并且以17%的年復(fù)合增長率在擴大,到2023年將達到309億美金����,也就是2000億人民幣。
(KVB Research在big data security上的市場預(yù)測)
而在我國隨著網(wǎng)絡(luò)安全法的出臺�����,數(shù)據(jù)資產(chǎn)價值得到確認��,政府機構(gòu)和企業(yè)在這個方向的投資也在加大����,以數(shù)據(jù)審計�、脫敏和加密為目標的數(shù)據(jù)安全投資正在成為采購的熱點�����。
數(shù)據(jù)安全治理的思路將數(shù)據(jù)安全技術(shù)與數(shù)據(jù)安全管理融合在一起�����,綜合業(yè)務(wù)���、安全����、網(wǎng)絡(luò)等多部門多角色的訴求�,總結(jié)歸納為系統(tǒng)化的思路和方法。
2����、數(shù)據(jù)安全治理基本理念
關(guān)于數(shù)據(jù)安全治理原則與框架,國際研究機構(gòu)Gartner對此進行專屬領(lǐng)域的研究����,大型企業(yè)Microsoft從數(shù)據(jù)隱私合規(guī)角度也曾向市場提出隱私、保密和合規(guī)性的數(shù)據(jù)治理方案。從國際視角對此理解的基礎(chǔ)上�����,我們在中國提出了數(shù)據(jù)安全治理理念與技術(shù)路線�,填補了該理念在中國的空白,更有效推動實現(xiàn)該理念在國內(nèi)的執(zhí)行落地�����。
2.1���、數(shù)據(jù)安全治理概述
數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論����,核心內(nèi)容包括:
(1)滿足數(shù)據(jù)安全保護(Protection)�、合規(guī)性(Compliance)���、敏感數(shù)據(jù)管理(Sensitive)三個需求目標�����;
(2)核心理念包括:分級分類(Classfiying)���、角色授權(quán)(Privilege)��、場景化安全(Scene)�;
(3)數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建�����、資產(chǎn)梳理��、策略制定�、過程控制、行為稽核和持續(xù)改善�����;
(4)核心實現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)����、數(shù)據(jù)安全使用的策略和流程(Policy & Process)、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分�。
2.2、數(shù)據(jù)安全治理建設(shè)與演進模型
為了有效地實踐數(shù)據(jù)安全治理過程����,我們需要一個系統(tǒng)化的過程完成數(shù)據(jù)安全治理的建設(shè)
數(shù)據(jù)安全治理建設(shè)體系
組織構(gòu)建:在數(shù)據(jù)安全治理中,首要任務(wù)是成立專門的安全治理團隊,保證數(shù)據(jù)安全治理工作能夠長期持續(xù)的得以執(zhí)行���;
資產(chǎn)梳理:在隊伍構(gòu)建后�����,重要的是對企業(yè)中的數(shù)據(jù)資產(chǎn)進行盤點�;
策略制訂:根據(jù)梳理的情況�����,要對數(shù)據(jù)進行分級分類���,要對人員進行角色劃分��,要對角色對數(shù)據(jù)使用的場景進行限定���,要對這些場景下的安全策略和措施進行規(guī)定��;
過程控制:不同的角色團隊����,要在日常的管理、業(yè)務(wù)執(zhí)行和運維工作中,將相關(guān)的流程規(guī)定落地執(zhí)行�,要采用相對應(yīng)的數(shù)據(jù)安全支撐工具,在辦公和運維的過程中將這些工具進行融入�;
行為稽核:要對數(shù)據(jù)的訪問過程進行審計,看在當前的安全策略有效執(zhí)行的情況下���,是否還有潛在的安全風險����;
持續(xù)改善:對當前的數(shù)據(jù)資產(chǎn)情況進行進一步的梳理����,改組當前的數(shù)據(jù)安全組織結(jié)構(gòu),修訂當前企業(yè)的數(shù)據(jù)安全策略和規(guī)范���,持續(xù)保證安全策略的落地�。
3�、數(shù)據(jù)安全治理的組織建設(shè)
數(shù)據(jù)安全治理首先要成立專門的數(shù)據(jù)安全治理機構(gòu),以明確數(shù)據(jù)安全治理的政策��、落實和監(jiān)督由誰長期負責�,以確保數(shù)據(jù)安全治理的有效落實。
某運營商的數(shù)據(jù)安全治理的相關(guān)組織和角色結(jié)構(gòu)圖
(注:深色是部門����,淺色是角色�����,結(jié)構(gòu)中覆蓋了業(yè)務(wù)�����、安全���、運維和企業(yè)的相關(guān)管理支撐部門)
4、數(shù)據(jù)安全治理規(guī)范制定
在整個數(shù)據(jù)安全治理的過程中���,最為重要的是實現(xiàn)數(shù)據(jù)安全策略和流程的制定�����,在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進行發(fā)布�,所有的工作流程和技術(shù)支撐都是圍繞著此規(guī)范來制定和落實�。
5、數(shù)據(jù)安全治理技術(shù)支撐框架
5.1��、數(shù)據(jù)安全治理的技術(shù)挑戰(zhàn)
實施數(shù)據(jù)安全治理的組織�����,一般都具有較為發(fā)達和完善的信息化水平����,數(shù)據(jù)資產(chǎn)龐大,涉及的數(shù)據(jù)使用方式多樣化�,數(shù)據(jù)使用角色繁雜,數(shù)據(jù)共享和分析的需求剛性���,要滿足數(shù)據(jù)有效使用的同時保證數(shù)據(jù)使用的安全性��,需要極強的技術(shù)支撐��。
數(shù)據(jù)安全治理面臨數(shù)據(jù)狀況梳理�����、敏感數(shù)據(jù)訪問與管控�����、數(shù)據(jù)治理稽核三大挑戰(zhàn)�����。
當前數(shù)據(jù)安全治理面臨的挑戰(zhàn)
5.2��、數(shù)據(jù)安全治理的技術(shù)支撐
5.2.1數(shù)據(jù)資產(chǎn)梳理的技術(shù)支撐
數(shù)據(jù)安全治理��,始于數(shù)據(jù)資產(chǎn)梳理���。數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)庫安全治理的基礎(chǔ)����,通過對數(shù)據(jù)資產(chǎn)的梳理�����,可以確定敏感數(shù)據(jù)在系統(tǒng)內(nèi)部的分布���、確定敏感數(shù)據(jù)是如何被訪問的����、確定當前的賬號和授權(quán)的狀況�。根據(jù)本單位的數(shù)據(jù)價值和特征,梳理出本單位的核心數(shù)據(jù)資產(chǎn)����,對其分級分類��,在此基礎(chǔ)之上針對數(shù)據(jù)的安全管理才能確定更加精細的措施。
(1)靜態(tài)梳理技術(shù)
(2)動態(tài)梳理技術(shù)
(3)數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)
(4)數(shù)據(jù)資產(chǎn)存儲系統(tǒng)的安全現(xiàn)狀評估
5.2.2數(shù)據(jù)使用安全控制
數(shù)據(jù)在使用過程中�,按照數(shù)據(jù)流動性以及使用需求劃分,將會面臨如下使用場景:
●通過業(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)
●在數(shù)據(jù)庫運維時調(diào)整數(shù)據(jù)
●開發(fā)測試時使用數(shù)據(jù)
●BI分析時使用數(shù)據(jù)
●面向外界分發(fā)數(shù)據(jù)
●內(nèi)部高權(quán)限人員使用數(shù)據(jù)
在數(shù)據(jù)使用的各個環(huán)節(jié)中��,需要通過技術(shù)手段將各個場景下的安全風險有效規(guī)避����。
5.2.3數(shù)據(jù)安全審計與稽核
數(shù)據(jù)的安全審計和稽核機制由四個環(huán)節(jié)組成,分別是行為審計與分析���、權(quán)限變化監(jiān)控���、異常行為分析、建立安全基線�。
6、數(shù)據(jù)安全治理的發(fā)展展望
Gartner預(yù)測,到2021年,將有超過30%的企業(yè)開始實施執(zhí)行數(shù)據(jù)安全治理框架��。到2022年���,90%的企業(yè)戰(zhàn)略將明確數(shù)據(jù)作為關(guān)鍵企業(yè)資產(chǎn)��,數(shù)據(jù)分析作為必不可少的能力���。30%的CDO(首席數(shù)字官)將與CFO(首席財務(wù)官)正式對組織的數(shù)據(jù)資產(chǎn)價值進行評估�,以改善數(shù)據(jù)的管理和收益����。超過30%的企業(yè)(目前不到5%)將使用其數(shù)據(jù)資產(chǎn)的財務(wù)風險評估來對IT、分析�、安全和隱私的投資選擇進行優(yōu)先級排序。
數(shù)據(jù)安全治理產(chǎn)業(yè),大體可以分為大型數(shù)據(jù)中心用戶��、安全治理咨詢服務(wù)商�、技術(shù)產(chǎn)品 供應(yīng)商、技術(shù)方案提供商;當前在中國這樣的產(chǎn)業(yè)鏈環(huán)境正在形成,通過這些產(chǎn)業(yè)鏈的構(gòu)建,將為數(shù)據(jù)安全治理的落地提供保障�。
數(shù)據(jù)使用帶來的財務(wù)影響,Gartner最新通過信息經(jīng)濟學模型來評估�,即財務(wù)數(shù)據(jù)風險評估(FinDRA)模型。信息經(jīng)濟學作為一個重要的工具���,可以使安全和風險管理(SRM)領(lǐng)導(dǎo)者�����,首席信息安全官(CISO)����,首席數(shù)據(jù)官(CDO)和CIO,根據(jù)收入機會評估每個數(shù)據(jù)集�。信息經(jīng)濟學模型還允許他們對管理、存儲���、分析和保護數(shù)據(jù)的有形和無形成本進行評估。財務(wù)數(shù)據(jù)風險評估(FinDRA)模型如圖所示:
財務(wù)數(shù)據(jù)風險評估流程
這意味著需要仔細評估不同金融負債的業(yè)務(wù)風險����,無論是數(shù)據(jù)貨幣化產(chǎn)生的短期還是長期影響。該研究將描述如何評估潛在負債的規(guī)模并根據(jù)影響確定優(yōu)先級����。需要注意的是,財務(wù)風險評估是更廣泛的數(shù)字風險評估視圖的一部分���。
7�����、附錄
附件A 詞匯列表
附件B?國際數(shù)據(jù)安全治理理論
附件C?數(shù)據(jù)安全治理實踐
附件D?數(shù)據(jù)安全生態(tài)環(huán)境
附件E?數(shù)據(jù)安全成熟度模型
附件F?數(shù)據(jù)安全治理重要相關(guān)技術(shù)
掃描二維碼
獲取白皮書完整版
產(chǎn)品咨詢:4000 258 365 
