随着各⾏各业信息化不断演变发展,数据已成为基础设施,成为业务发展重要原动⼒,内部业务与互联⽹深度融合,利⽤新媒体,让数据产⽣更⼤价值,是近近⼏年发展的主要趋势。如何提升数据资产价值同时让数据使⽤更安全,已成为各个⾏业探讨的⽅向。
近⼏年⽹络安全事件频发,具有商业特性的攻击事件越来越多,地下⿊产对个⼈信息需求异常旺盛。2017-2018年度551起数据泄露事件中,出⾃各⾏各业,数据⾼质量、易获取,已成为不法份⼦获取利益的最佳途径。
随着横向⽹络安全法、等保2.0的合规性要求及纵向垂直⾏业安全要求的需要,对数据存储、使⽤、运营提出了明确要求,如何更好的对数据进⾏有效防护,保障数据全⽣命周期的安全性,如何以事前发现、事中阻⽌、事后审计、持续加固的⽅式,提供更好的服务是每个从事安全的⾏业⼈员应该深度思考的问题。
2.数据安全治理概述
数据治理包括数据、业务、安全、技术、管理等多个⽅⾯,⽽数据安全治理属于数据治理体系中的⼀个
过程,从业务层到安全层,从管理层到技术层,从左到右,⾃上⽽下全⽅位与体系融合,贯穿始终。
3.数据安全治理⽬标
数据安全治理长期⽬标思短期⽬标需要从治理体系、安全合规、技术⽀撑三要素进⾏考虑建设。运维安全审计
治理体系:数据安全体系化建设,使数据安全管理更加合理规范,良好的可视性运维机制和动态协同能⼒。
安全合规:充分了解合规及⾏业要求,建设满⾜合规性要求同时,需要考虑灵活性、可扩展性及各阶段衔接性。
技术⽀持:提升事前发现、事中防护、事后审计能⼒。
4.数据安全治理体系
对⾏业数据特性及数据管理现存问题,从数据视⾓出发,系统化、规范化、科学性的建⽴数据安全治理体系。完整的数据安全治理体系应包含5个⽅⾯:原则、上层建筑、资产梳理、管理体系、防护体系。
安全治理体系
原则是数据安全治理的基本思想与⽅针,包括:战略⼀致、风险可控、运营合规、绩效提升。上层建筑包括内外部策略、部门职责、动态协同等,起到安全治理过程中依据、指引等作⽤。资产梳理是以安全治理⾓度,充分摸清家底,有针对性、有计划性的进⾏治理实施,主要包括:管理梳理、技术梳理、场景梳理。管理体系具有可落地执⾏特性,包含组织体系、执⾏体系及运维体系。技术体系通过发现、运维、防护,实现各阶段进⾏快速响应。
数据安全治理框架
5.数据安全治理实施
5.1 组织建设。设计健全的组织架构是数据安全治理⼯作的基础。组织建设包括部门职责与⼈员⾓⾊确定及动态协同机制,
(1)部门职责与⼈员⾓⾊
部门包括:业务部门、运维部门及安全管理部门。业务部门。按单位业务职能划分;运维部门。根据运维体系进⾏有效执⾏;安全管理部门。制度指定、技术迭代、安全检查与事件处理、安全审计等。其它:包括第⽅⼚家或者外包的职责制度。
⼈员⾓⾊可分为:业务⼈员、审计⼈员、运维⼈员、安全⼈员、管理⼈员等。
(2)动态协同机制
建设完善的动态协同机制,充分利⽤部门资源,解决部门运转孤岛问题。
资产梳理。明确数据访问⼈员、数据⽣产⼈员、数据维护⼈员等⽬标对象,以数据流转为基础,对相关⼈员进⾏串联,形成动态协同。
5.2资产梳理。 内部资产梳理是数据安全治理的核⼼所在,只有详细、真实的数据梳理才能让数据安全治理真正落地执⾏。梳理主要从现有管理、技术、治理场景三⽅⾯进⾏。数据资产主要为,机构化数据及⾮结构化数据,针对数据需要梳理威胁性、脆弱性及使⽤权限确定(包括:访问控制、权限授权情况等)。针对结构化数据还需明确数据类型及基础信息,如:主机信息、⽹络信息、数据库品牌、数据库版本信息等;对数据进⾏分类分级,通过合规性要求、⾃⾝主观判断、意外事故影响和第三⽅使⽤价值进⾏数据划分。
5.3流程管控。完善的管控体系是保障数据安全治理可持续性的关键所在,流程管控主要从组织体系、执⾏体系、运维体系等三个⽅⾯进⾏考量。组织体系:建⽴决策层、管理层、执⾏层多⽅⾯、跨部门有效协同机制与制度;执⾏体系:包括治理⽅针、规章制度、治理标准、治理规范、治理流程等;运维体系包括维护、监控、评估、加固、审计与应急、治理评估等。
5.4安全防护完善。数据安全治理离不开安全技术及安全产品,安全防护体系能⼒主要从发现能⼒、运维能⼒、防护能⼒三个⽅⾯进⾏建设。发现能⼒:数据泄密、数据审计、数据安全基线管理、UEBA、数据态势感知等;运维能⼒:综合性审计、基于数据的漏扫、监控与预警及统⼀认证与授权等;防护能⼒:数据加密、数据脱敏、数据库防⽕墙、数据防泄漏、统⼀策略管理、容灾备份等。
6.数据安全治理实施过程中注意事项。
6.1合规性要求。⾏业合规性要求较多,会随着时间推移发⽣变动,合规性⽂件对数据安全治理过程中有着依据、指引等作⽤,如不能深⼊了解,会使数据安全治理建设过程反复。
6.2管理体系。完善可持续性的管理体系是保障安全治理的先决条件,规划好,落地难的管理体系如空中楼阁,使数据安全治理效果⼤⼤折扣。
6.3资产梳理。资产梳理对数据安全治理尤为重要,需要清除哪些数据要防护、数据如何流转、端到端对象都有谁、数据跑的有什么内容、现今数据载体有什么安全隐患等等问题,资产梳理不到位,难以进⾏后期的体系建设。
6.4缺乏过程持续性。数据安全治理是⼀个持续性过程,上到管理体系,下⾄技术⼯具,都需进⾏持续性完善,如治理过程缺乏持续性,则⽆法形成运维监控、定向审计、问题处置与体系加固等⼀套有效的运转机制。
数据安全治理流程
7.⼩结
⼤数据、云计算、物联⽹、⼈⼯智能的到来,让各个⾏业发⽣巨⼤的改变,各⾏业对数据数据整合及利⽤,以互联⽹进为载体⾏服务模式转变同时,应充分考虑对数据的安全治理。通过对⼈、管理、防护产品多个⽅⾯进⾏数据安全治理意识、制度、技术的持续性完善,实现安全、业务与数据有效融合,达到数据安全治理的预期效果。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议