作為數(shù)據(jù)安全建設(shè)的方法論,《數(shù)據(jù)安全治理白皮書》2.0經(jīng)全面升級(jí)更新后重磅發(fā)布���。該白皮書由中國網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理委員會(huì)(簡(jiǎn)稱數(shù)據(jù)安全治理委員會(huì))起草編著����,系統(tǒng)探討國內(nèi)外數(shù)據(jù)安全情勢(shì)與市場(chǎng)趨勢(shì)���、相關(guān)標(biāo)準(zhǔn)與框架��,并匯集了多個(gè)行業(yè)標(biāo)桿數(shù)據(jù)安全治理實(shí)踐�,可以為政府與企業(yè)進(jìn)行數(shù)據(jù)安全建設(shè)提供整體思考與規(guī)劃���,為數(shù)據(jù)安全建設(shè)的設(shè)計(jì)與實(shí)施者提供具有參考價(jià)值的數(shù)據(jù)安全治理整體方案及案例實(shí)踐�。
《數(shù)據(jù)安全治理白皮書》2.0版本修訂說明
《數(shù)據(jù)安全治理白皮書》2.0版本中�,針對(duì)以下內(nèi)容進(jìn)行修訂完善:
1、增加數(shù)據(jù)庫防勒索技術(shù)�����,針對(duì)數(shù)據(jù)庫勒索手段進(jìn)行分析�,同時(shí)提出防勒索技術(shù);
2�、增加個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告相關(guān)解讀;
3�����、國內(nèi)外數(shù)據(jù)安全事件概要更新至2019年�;
4、增加數(shù)據(jù)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)列表說明����;
5、數(shù)據(jù)安全治理外部所要遵循的策略中增加個(gè)人信息安全管理規(guī)范���、銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引��;
6����、附錄C數(shù)據(jù)安全治理實(shí)踐增加教育部數(shù)據(jù)安全治理實(shí)踐、市政務(wù)云數(shù)據(jù)治理實(shí)踐��、國家電網(wǎng)數(shù)據(jù)安全治理實(shí)踐三個(gè)新的行業(yè)實(shí)踐�;
7、附錄D國內(nèi)外重要數(shù)據(jù)安全事件例舉增加萬豪集團(tuán)5億用戶數(shù)據(jù)或外泄和Oracle Rushql勒索病毒事件�����;
8��、增加數(shù)據(jù)透明加密保護(hù)技術(shù)�;
9、增加數(shù)據(jù)庫防勒索技術(shù)���;
10��、全文內(nèi)容文字和段落結(jié)構(gòu)的優(yōu)化����。
《數(shù)據(jù)安全治理白皮書》2.0精簡(jiǎn)版
1��、數(shù)據(jù)安全建設(shè)需要系統(tǒng)化建設(shè)思路
1.1����、數(shù)據(jù)安全成為安全的核心問題
回看過去二十余年���,政府與企業(yè)的信息化程度不斷加深�����,IT系統(tǒng)的復(fù)雜度與開放度隨之提升����;伴隨云計(jì)算、大數(shù)據(jù)�、人工智能等新興技術(shù)的飛速發(fā)展,數(shù)據(jù)作為支撐這些前沿技術(shù)存在與發(fā)展的生產(chǎn)資料��,已經(jīng)成為組織的核心資產(chǎn)����,受到前所未有的重視與保護(hù)。數(shù)據(jù)的安全問題將引發(fā)企業(yè)和社會(huì)決策的安全問題����。數(shù)據(jù)的安全問題,已成為企業(yè)資產(chǎn)安全性�、個(gè)人隱私安全性�����、國家和社會(huì)安全的核心問題��。
1.2���、數(shù)據(jù)泄露路徑多元化
過去幾年間,大型數(shù)據(jù)泄露事件層出不窮�,就數(shù)據(jù)泄露事件分析來看,既有黑客的攻擊��,更有內(nèi)部工作人員的信息販賣���、離職員工的信息泄露�����、第三方外包人員的交易行為�、數(shù)據(jù)共享第三方的數(shù)據(jù)泄露�、開發(fā)測(cè)試人員的違規(guī)等。
這些復(fù)雜的泄露途徑無一不在證明:傳統(tǒng)網(wǎng)絡(luò)安全中以抵御攻擊為中心����、以黑客為防御對(duì)象的策略和安全體系構(gòu)建存在重大的安全缺陷��,傳統(tǒng)網(wǎng)絡(luò)安全為中心需要向以數(shù)據(jù)為中心的安全策略轉(zhuǎn)變����。
1.3�����、數(shù)據(jù)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)大爆發(fā)
安全事件層出不窮����,企業(yè)資產(chǎn)和國家安全面臨挑戰(zhàn)����,個(gè)人隱私大范圍泄露,在數(shù)據(jù)高度發(fā)展的時(shí)代���,這些都為社會(huì)的安定���、個(gè)體自由與安全帶來了巨大挑戰(zhàn)。因此各國都相繼出臺(tái)了大量的法規(guī)�,對(duì)個(gè)人、企業(yè)和國家重要數(shù)據(jù)進(jìn)行保護(hù)。
1.4�����、數(shù)據(jù)安全建設(shè)需要有系統(tǒng)化思維和建設(shè)框架
隨著數(shù)據(jù)安全的重要度提升���,用戶在這個(gè)方向的投資也在增大���,據(jù)KVB Research2017年大數(shù)據(jù)安全報(bào)告預(yù)測(cè)顯示,大數(shù)據(jù)安全上2017年全球投資達(dá)到102億美金��,并且以17%的年復(fù)合增長(zhǎng)率在擴(kuò)大�,到2023年將達(dá)到309億美金,也就是2000億人民幣�。
(KVB Research在big data security上的市場(chǎng)預(yù)測(cè))
而在我國隨著網(wǎng)絡(luò)安全法的出臺(tái),數(shù)據(jù)資產(chǎn)價(jià)值得到確認(rèn)��,政府機(jī)構(gòu)和企業(yè)在這個(gè)方向的投資也在加大�����,以數(shù)據(jù)審計(jì)�����、脫敏和加密為目標(biāo)的數(shù)據(jù)安全投資正在成為采購的熱點(diǎn)。
數(shù)據(jù)安全治理的思路將數(shù)據(jù)安全技術(shù)與數(shù)據(jù)安全管理融合在一起�,綜合業(yè)務(wù)、安全�、網(wǎng)絡(luò)等多部門多角色的訴求,總結(jié)歸納為系統(tǒng)化的思路和方法����。
2、數(shù)據(jù)安全治理基本理念
關(guān)于數(shù)據(jù)安全治理原則與框架��,國際研究機(jī)構(gòu)Gartner對(duì)此進(jìn)行專屬領(lǐng)域的研究�,大型企業(yè)Microsoft從數(shù)據(jù)隱私合規(guī)角度也曾向市場(chǎng)提出隱私、保密和合規(guī)性的數(shù)據(jù)治理方案�。從國際視角對(duì)此理解的基礎(chǔ)上��,我們?cè)谥袊岢隽藬?shù)據(jù)安全治理理念與技術(shù)路線���,填補(bǔ)了該理念在中國的空白�,更有效推動(dòng)實(shí)現(xiàn)該理念在國內(nèi)的執(zhí)行落地����。
2.1、數(shù)據(jù)安全治理概述
數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論�����,核心內(nèi)容包括:
(1)滿足數(shù)據(jù)安全保護(hù)(Protection)、合規(guī)性(Compliance)����、敏感數(shù)據(jù)管理(Sensitive)三個(gè)需求目標(biāo);
(2)核心理念包括:分級(jí)分類(Classfiying)�、角色授權(quán)(Privilege)、場(chǎng)景化安全(Scene)����;
(3)數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建、資產(chǎn)梳理�����、策略制定�����、過程控制���、行為稽核和持續(xù)改善��;
(4)核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)�����、數(shù)據(jù)安全使用的策略和流程(Policy & Process)�����、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分��。
2.2��、數(shù)據(jù)安全治理建設(shè)與演進(jìn)模型
為了有效地實(shí)踐數(shù)據(jù)安全治理過程��,我們需要一個(gè)系統(tǒng)化的過程完成數(shù)據(jù)安全治理的建設(shè)
數(shù)據(jù)安全治理建設(shè)體系
組織構(gòu)建:在數(shù)據(jù)安全治理中���,首要任務(wù)是成立專門的安全治理團(tuán)隊(duì)�����,保證數(shù)據(jù)安全治理工作能夠長(zhǎng)期持續(xù)的得以執(zhí)行;
資產(chǎn)梳理:在隊(duì)伍構(gòu)建后���,重要的是對(duì)企業(yè)中的數(shù)據(jù)資產(chǎn)進(jìn)行盤點(diǎn)����;
策略制訂:根據(jù)梳理的情況,要對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類��,要對(duì)人員進(jìn)行角色劃分���,要對(duì)角色對(duì)數(shù)據(jù)使用的場(chǎng)景進(jìn)行限定���,要對(duì)這些場(chǎng)景下的安全策略和措施進(jìn)行規(guī)定;
過程控制:不同的角色團(tuán)隊(duì)�����,要在日常的管理���、業(yè)務(wù)執(zhí)行和運(yùn)維工作中�����,將相關(guān)的流程規(guī)定落地執(zhí)行�,要采用相對(duì)應(yīng)的數(shù)據(jù)安全支撐工具�����,在辦公和運(yùn)維的過程中將這些工具進(jìn)行融入���;
行為稽核:要對(duì)數(shù)據(jù)的訪問過程進(jìn)行審計(jì)�,看在當(dāng)前的安全策略有效執(zhí)行的情況下,是否還有潛在的安全風(fēng)險(xiǎn)���;
持續(xù)改善:對(duì)當(dāng)前的數(shù)據(jù)資產(chǎn)情況進(jìn)行進(jìn)一步的梳理�,改組當(dāng)前的數(shù)據(jù)安全組織結(jié)構(gòu)���,修訂當(dāng)前企業(yè)的數(shù)據(jù)安全策略和規(guī)范�,持續(xù)保證安全策略的落地�。
3、數(shù)據(jù)安全治理的組織建設(shè)
數(shù)據(jù)安全治理首先要成立專門的數(shù)據(jù)安全治理機(jī)構(gòu)����,以明確數(shù)據(jù)安全治理的政策、落實(shí)和監(jiān)督由誰長(zhǎng)期負(fù)責(zé)��,以確保數(shù)據(jù)安全治理的有效落實(shí)�。
某運(yùn)營(yíng)商的數(shù)據(jù)安全治理的相關(guān)組織和角色結(jié)構(gòu)圖
(注:深色是部門,淺色是角色���,結(jié)構(gòu)中覆蓋了業(yè)務(wù)、安全����、運(yùn)維和企業(yè)的相關(guān)管理支撐部門)
4�����、數(shù)據(jù)安全治理規(guī)范制定
在整個(gè)數(shù)據(jù)安全治理的過程中����,最為重要的是實(shí)現(xiàn)數(shù)據(jù)安全策略和流程的制定����,在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進(jìn)行發(fā)布,所有的工作流程和技術(shù)支撐都是圍繞著此規(guī)范來制定和落實(shí)���。
5����、數(shù)據(jù)安全治理技術(shù)支撐框架
5.1�、數(shù)據(jù)安全治理的技術(shù)挑戰(zhàn)
實(shí)施數(shù)據(jù)安全治理的組織,一般都具有較為發(fā)達(dá)和完善的信息化水平���,數(shù)據(jù)資產(chǎn)龐大�,涉及的數(shù)據(jù)使用方式多樣化���,數(shù)據(jù)使用角色繁雜���,數(shù)據(jù)共享和分析的需求剛性���,要滿足數(shù)據(jù)有效使用的同時(shí)保證數(shù)據(jù)使用的安全性,需要極強(qiáng)的技術(shù)支撐��。
數(shù)據(jù)安全治理面臨數(shù)據(jù)狀況梳理�、敏感數(shù)據(jù)訪問與管控、數(shù)據(jù)治理稽核三大挑戰(zhàn)���。
當(dāng)前數(shù)據(jù)安全治理面臨的挑戰(zhàn)
5.2�、數(shù)據(jù)安全治理的技術(shù)支撐
5.2.1數(shù)據(jù)資產(chǎn)梳理的技術(shù)支撐
數(shù)據(jù)安全治理��,始于數(shù)據(jù)資產(chǎn)梳理����。數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)庫安全治理的基礎(chǔ),通過對(duì)數(shù)據(jù)資產(chǎn)的梳理�,可以確定敏感數(shù)據(jù)在系統(tǒng)內(nèi)部的分布、確定敏感數(shù)據(jù)是如何被訪問的�����、確定當(dāng)前的賬號(hào)和授權(quán)的狀況����。根據(jù)本單位的數(shù)據(jù)價(jià)值和特征,梳理出本單位的核心數(shù)據(jù)資產(chǎn)��,對(duì)其分級(jí)分類�����,在此基礎(chǔ)之上針對(duì)數(shù)據(jù)的安全管理才能確定更加精細(xì)的措施��。
(1)靜態(tài)梳理技術(shù)
(2)動(dòng)態(tài)梳理技術(shù)
(3)數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)
(4)數(shù)據(jù)資產(chǎn)存儲(chǔ)系統(tǒng)的安全現(xiàn)狀評(píng)估
5.2.2數(shù)據(jù)使用安全控制
數(shù)據(jù)在使用過程中��,按照數(shù)據(jù)流動(dòng)性以及使用需求劃分����,將會(huì)面臨如下使用場(chǎng)景:
●通過業(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)
●在數(shù)據(jù)庫運(yùn)維時(shí)調(diào)整數(shù)據(jù)
●開發(fā)測(cè)試時(shí)使用數(shù)據(jù)
●BI分析時(shí)使用數(shù)據(jù)
●面向外界分發(fā)數(shù)據(jù)
●內(nèi)部高權(quán)限人員使用數(shù)據(jù)
在數(shù)據(jù)使用的各個(gè)環(huán)節(jié)中,需要通過技術(shù)手段將各個(gè)場(chǎng)景下的安全風(fēng)險(xiǎn)有效規(guī)避�。
5.2.3數(shù)據(jù)安全審計(jì)與稽核
數(shù)據(jù)的安全審計(jì)和稽核機(jī)制由四個(gè)環(huán)節(jié)組成,分別是行為審計(jì)與分析��、權(quán)限變化監(jiān)控�����、異常行為分析、建立安全基線��。
6����、數(shù)據(jù)安全治理的發(fā)展展望
Gartner預(yù)測(cè),到2021年,將有超過30%的企業(yè)開始實(shí)施執(zhí)行數(shù)據(jù)安全治理框架。到2022年����,90%的企業(yè)戰(zhàn)略將明確數(shù)據(jù)作為關(guān)鍵企業(yè)資產(chǎn),數(shù)據(jù)分析作為必不可少的能力��。30%的CDO(首席數(shù)字官)將與CFO(首席財(cái)務(wù)官)正式對(duì)組織的數(shù)據(jù)資產(chǎn)價(jià)值進(jìn)行評(píng)估��,以改善數(shù)據(jù)的管理和收益�����。超過30%的企業(yè)(目前不到5%)將使用其數(shù)據(jù)資產(chǎn)的財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估來對(duì)IT��、分析��、安全和隱私的投資選擇進(jìn)行優(yōu)先級(jí)排序���。
數(shù)據(jù)安全治理產(chǎn)業(yè),大體可以分為大型數(shù)據(jù)中心用戶����、安全治理咨詢服務(wù)商、技術(shù)產(chǎn)品 供應(yīng)商���、技術(shù)方案提供商;當(dāng)前在中國這樣的產(chǎn)業(yè)鏈環(huán)境正在形成,通過這些產(chǎn)業(yè)鏈的構(gòu)建,將為數(shù)據(jù)安全治理的落地提供保障。
數(shù)據(jù)使用帶來的財(cái)務(wù)影響��,Gartner最新通過信息經(jīng)濟(jì)學(xué)模型來評(píng)估���,即財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估(FinDRA)模型�。信息經(jīng)濟(jì)學(xué)作為一個(gè)重要的工具����,可以使安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者,首席信息安全官(CISO)�����,首席數(shù)據(jù)官(CDO)和CIO��,根據(jù)收入機(jī)會(huì)評(píng)估每個(gè)數(shù)據(jù)集���。信息經(jīng)濟(jì)學(xué)模型還允許他們對(duì)管理���、存儲(chǔ)����、分析和保護(hù)數(shù)據(jù)的有形和無形成本進(jìn)行評(píng)估�����。財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估(FinDRA)模型如圖所示:
財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估流程
這意味著需要仔細(xì)評(píng)估不同金融負(fù)債的業(yè)務(wù)風(fēng)險(xiǎn)�,無論是數(shù)據(jù)貨幣化產(chǎn)生的短期還是長(zhǎng)期影響。該研究將描述如何評(píng)估潛在負(fù)債的規(guī)模并根據(jù)影響確定優(yōu)先級(jí)��。需要注意的是���,財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估是更廣泛的數(shù)字風(fēng)險(xiǎn)評(píng)估視圖的一部分�����。
7���、附錄
附件A 詞匯列表
附件B?國際數(shù)據(jù)安全治理理論
附件C?數(shù)據(jù)安全治理實(shí)踐
附件D?數(shù)據(jù)安全生態(tài)環(huán)境
附件E?數(shù)據(jù)安全成熟度模型
附件F?數(shù)據(jù)安全治理重要相關(guān)技術(shù)
掃描二維碼
獲取白皮書完整版
產(chǎn)品咨詢:4000 258 365 
