數(shù)據(jù)安全從1.0已經(jīng)走到3.0時代了��,1.0時代以庫為中心�;2.0時代以數(shù)據(jù)為中心;3.0時代有一個重大的改變�����,以體系為中心��,將領頭者��、組織�,執(zhí)法機構,防護措施有體系地安排起來���。
針對數(shù)據(jù)安全治理�,國家已經(jīng)開始行動��。先后發(fā)布《網(wǎng)絡安全法》��、《個人數(shù)據(jù)保護法》等10余項法律法規(guī)����。
其中,安華金和參與了國標《政務信息共享數(shù)據(jù)安全技術要求》的制定���。此標準主要針對政務數(shù)據(jù)的共享交換安全及對政務大數(shù)據(jù)平臺的數(shù)據(jù)安全的技術要求��。另外�����,在政務數(shù)據(jù)分類分級方面�����,安華金和也開始進行相關研究����,政務數(shù)據(jù)基本上分為九個等級,運營商等多家企業(yè)單位已經(jīng)做了相關的指引����。
數(shù)據(jù)安全整體的治理體系和思路
數(shù)據(jù)安全治理體系分為四個階段和三個技術路線。
四個階段包括:組織建立�����、能力評估����、制度設計、技術設計����,這四個階段需要一步步落實;三個技術路線作為整體技術的支撐��,會穿插在四個階段進行循環(huán)往復交錯��。
1�、組織建立
數(shù)據(jù)安全體系建立過程中,需要有高層領導參與配合����,保障組織順利建設���。
很多單位在數(shù)據(jù)安全治理過程中都設置了監(jiān)督層���,包括監(jiān)督部門�、財務部門�、設計部門,對各業(yè)務部門績效進行評估���。有了這些部門的參與�����,數(shù)據(jù)安全體系就可以逐漸推進下去���。
舉個例子,很多銀行單位設立數(shù)據(jù)安全治理處����,并且高層領導參與其中,規(guī)定相應的目標和范圍��。下屬不同部門才可以進行工作協(xié)同實現(xiàn)目標。
2���、能力評估
組織建立完成����,需要基于自身業(yè)務情況��,對數(shù)據(jù)安全能力進行評估�����。在數(shù)據(jù)安全能力評估的過程中�, 第一,要有業(yè)務專家去深入?yún)⑴c整個過程��;第二���,摸清數(shù)據(jù)所存放的位置�����,數(shù)據(jù)的數(shù)量���,數(shù)據(jù)的類別�、級別�;包括人員類型、權限設置��,都要重點評估出來�。然后結合相關國家的標準評估出差距,這個差距才是指導后續(xù)設計的準則���。在評估過程中要注意的一點是,一定要基于業(yè)務流程進行梳理����。
3、制度設計
一定要基于業(yè)務設計數(shù)據(jù)安全的制度�,因為設立制度是為了更好的把數(shù)據(jù)安全落實到業(yè)務領域,而不是阻撓業(yè)務發(fā)展和共享�����。制度的設計要遵循以下兩方面原則:一是要遵循行業(yè)和國家內(nèi)部的相關標準體系和法規(guī)�;二是要結合管理、技術�、業(yè)務流程等做一個總體的綱領和規(guī)范。
4、技術設計
經(jīng)過長時間的積累���,了解全業(yè)務�,進而得出技術模型�����,最后引入技術工具��。技術工具并不是最重要的��,但是又非常重要�。應著重導入流程思路業(yè)務風險,做成長期的頂層規(guī)劃��。
三個技術路線包括摸底�����、管控和稽核��。摸底就是要摸下自家數(shù)據(jù)資產(chǎn)的家底:目前有多少數(shù)據(jù)��,什么應用在訪問哪些數(shù)據(jù)�����,哪些人用什么方式在對數(shù)據(jù)進行管理,這些人又擁有什么樣的權限�;在進行了全面的摸底后,要根據(jù)摸底情況按照數(shù)據(jù)的不同類別����、級別對數(shù)據(jù)進行不同級別的管控手段;最后要對數(shù)據(jù)管理進行稽核�����,一方面是要對數(shù)據(jù)的訪問和使用情況進行實時和全面的記錄���,一方面要為數(shù)據(jù)安全、制度與管理手段提供依據(jù)和指導��。
數(shù)據(jù)安全治理應用實踐
在政務大數(shù)據(jù)共享交換�����、大數(shù)據(jù)應用展示����、大數(shù)據(jù)挖掘、個人隱私信息、數(shù)據(jù)跨境等場景中數(shù)據(jù)安全治理都有極高的應用價值�。
以某政務大數(shù)據(jù)共享交換平臺安全治理為例
關注點:
資產(chǎn)摸底祛僵尸;分類分級促共享����;數(shù)據(jù)審批收權利;行為訪問識風險�;
安全需求:
1、政務大數(shù)據(jù)百億條數(shù)據(jù)交換需求��;
2. 第三方云平臺搭建云基礎平臺����,缺乏體系化數(shù)據(jù)安全解決方案;
3. 數(shù)據(jù)安全不保障��,系統(tǒng)難上線�。
解決方案
1、確定范圍:確定評估對象是誰�;核心系統(tǒng)有哪些;評估數(shù)據(jù)范圍包括什么�����;核心數(shù)據(jù)流有幾個環(huán)節(jié)��;
2、資產(chǎn)梳理:數(shù)據(jù)資產(chǎn)底賬梳理前�����,該單位并不清楚實際擁有多少數(shù)據(jù)庫�。對現(xiàn)有資產(chǎn)進行梳理,得知目前共285個數(shù)據(jù)庫�����。其中有85個庫缺乏管理�����;70個高熱度庫中95%包含隱私和重要數(shù)據(jù)�����;
3����、安全梳理:針對平臺對數(shù)據(jù)資產(chǎn)進行風險掃描�����,通過15天大數(shù)據(jù)平臺抽樣結果顯示,發(fā)現(xiàn)高危漏洞15個�����,數(shù)據(jù)庫違規(guī)操作310次�;
4、制度設計:此次制度設計由副省級領導牽頭做的總綱領�,直接提出虛擬組織的情況,部門的分工����,績效的范圍及目標情況;
5�����、安全設計:通過歸集����、存儲、接口�、使用、交互����、銷毀六個環(huán)節(jié)結合不同的業(yè)務層次���,全面梳理促進共享,做到全站式的監(jiān)控�;
治理價值:
政務數(shù)據(jù)全面梳理:針對政務云平臺,同步規(guī)劃��、同步建設��。摸清建設過程中數(shù)據(jù)安全風險問題����;
促進政務數(shù)據(jù)交換共享:摸清各委辦局數(shù)據(jù)底賬,并進行分類分級��,促進數(shù)據(jù)共享交換���;
保障政務數(shù)據(jù)安全有效使用:針對數(shù)據(jù)歸集����、清洗���、分發(fā)、共享開發(fā)等環(huán)節(jié)進行不同層次的防護���。
全周期監(jiān)控政務數(shù)據(jù)流轉問題:從數(shù)據(jù)進入到流動到流出�,全棧審計不留死角。
錯過前兩天的直播�?
看文章又覺得不過癮?
還想要更具體的內(nèi)容方案�����?
掃描下方二維碼獲取PPT
產(chǎn)品咨詢:4000 258 365 
