《数据安全治理建设指南》作为数据安全建设落地的指引,以实际经验为基础,将制度规范与技术⼯具有效融合,从能⼒维度、执⾏维度、场景维度三个维度提出数据安全治理建设⼯作的落脚点。可以为从事数据安全治理体系建设的企业单位和准备建设数据安全治理体系的企业和政府单位,提供参考。
《数据安全治理建设指南》精简版
数据安全治理(Data Security Governance 简称:DSG),主要⽬标是“让数据使⽤更安全”,只有合理的处理好数据资产的使⽤与安全,政府与企业才能在新的数据时代稳健⽽⾼速发展。
围绕“让数据使⽤更安全”的核⼼⽬标,重点关注数据的权限和数据应⽤的场景,帮助⽤户完成数据安全治理体系的建设。
数据安全治理并⾮单⼀产品或平台的构建,⽽是覆盖数据全部使⽤场景的数据安全治理体系建设。因此,需要按步骤、分阶段的逐渐完成。数据安全治理并不是⼀个项⽬,⽽更像是⼀项⼯程。为了有效实践数据安全治理,形成数据安全的闭环,我们需要⼀个系统化的过程完成数据安全治理的建设。
数据安全治理体系框架
数据安全治理不仅仅是⼀套⽤⼯具组合的产品级解决⽅案,⽽是从决策层到技术层,从管理制度到⼯具⽀撑,⾃上⽽下贯穿整个组织架构的完整链条。组织内的各个层级之间需要相互协作,对数据安全治理的⽬标和宗旨达成共识,并从能⼒、执⾏、场景三个维度建设数据安全治理体系,以最有效的⽅式保护信息资源,数据安全治理体系框架如下图:
●能⼒维度:完善的组织机构、有针对性和可⾏的管理制度和规范、全⾯和先进的数据安全技术,是构建数据安全治理体系的基础。
●执⾏维度:针对数据使⽤的各个场景,需要通过梳理来了解数据资产状况和风险;配合制度规范要求,采⽤不同的安全技术⼿段进⾏数据使⽤过程中的管控,同时要监控使⽤过程,对访问⾏为进⾏稽核,并不断完善。
●场景维度:数据安全治理涵盖数据在⽇常使⽤过程中⾯临的各种场景,具体包含开发测试、运维、共享、分析、应⽤访问、内部特权访问等场景。
⼀、能⼒维度
●组织建设:组织的职责可划分为数据安全策略的决策、数据的安全管理、数据安全使⽤的监督三类,根据不同职责分配⾓⾊和⼈员。
●治理评估:组织在进⾏规划过程中,应定期通过业务合规性评估⼿段开展咨询评估⼯作,对业务系统和数据安全进⾏全⾯检测,并对评估结果进⾏安全能⼒分析,从⽽形成业务系统数据安全能⼒评估报告。
●制度建设:将制度、规范按照⽅针政策、制度规范、操作明细、基础模板四类进⾏分类,形成树状结构,便于管理。
●技术建设:数据安全技术,⽀撑制度规范的执⾏与监控,技术⼯具建议使⽤标准的数据安全产品或平台,也可以是⾃主开发的组件或⼯具;技术⼯具应覆盖数据使⽤的各个场景中的数据安全需求。
⼆、执⾏维度
●资产梳理
此过程是数据安全治理全维度的基础,因为,只有摸清资产使⽤部门和⾓⾊、数据资产的分布、数据量级、访问权限、数据使⽤状况,才能够有效的针对数据进⾏精细化的安全管控。
●⾏为管控
●⾏为管控
此过程是结合业务流程,在数据流转中的数据访问、数据运维、数据传输外发、数据存储等各环节做到内外兼顾,并对数据处理/使⽤环节中的数据进⾏安全保护。
●治理稽核
稽核是保证数据安全治理规范落地的关键,也是信息安全管理部门的重要职责。因此,此环节是保障数据安全治理的策略和规范能否被有效执⾏和落地,以及最终实现数据安全治理全流程的闭环。
三、场景维度
数据安全治理的场景,是要明确在数据安全治理的过程中以场景化⽅式指导安全技术进⾏落地。所以在场景维度,必须⾸先分析⽤户业务场景,包含但不限于如:开发测试、数据运维、数据分析、应⽤访问、特权访问等场景,然后按照能⼒维度中所梳理的资产、数据、⽤户、权限等内容导⼊到场景化,包括早期策略制定前的数据梳理⼯具,数据访问过程控制中,采⽤什么样的技术⼿段帮助实现数据的安全管理过程,以及在后期对数据安全治理⼯作进⾏稽核的过程中采⽤什么样的技术⼯具进⾏辅助监管。结合数据安全治理⼯具帮助完成数据安全治理⼯作。
纠正和优化数据安全治理体系
数据安全没有绝对的安全,只是在某⼀时期相对安全。因此,数据安全治理体系的建设也并⾮⼀次可
以完成,需要根据信息化建设的变化和政策的要求持续不断的完善,来应对可能发⽣的数据安全风险,满⾜政策的要求。
对当前的数据资产情况进⾏进⼀步的梳理,看是否有增加的资产或访问⾓⾊;对稽核的情况进⾏梳理,看是否有未纳⼊管理的数据访问⾏为;观测最新的相关安全规范的变化情况,看是否有需要新增或移除的外部安全策略;了解新的业务系统或组织结构,看数据的访问权限和⾏为⽅式是否改变;根据以上情况,改组当前的数据安全组织结构,修订当前的数据安全策略和规范,持续保证安全策略的落地。
为了消除在数据安全治理体系运⾏中发现的不符合项,必须及时采取纠正性措施。为此,应采取措施到问题的原因,消除引发问题出现的根源,防⽌其再次发⽣。持续不断的优化数据安全治理过程,从⽽整体提升企业或政府的数据安全防护能⼒。
关注安华⾦和,下载完整版《数据安全治理建设指南》。
