數據安全治理推動數據價值保護
數據價值屬性日益突顯
伴隨全球互聯網的廣泛應用與持續發展����,云計算����、大數據�����、物聯網���、工業互聯網����、人工智能等新興領域與前沿技術快速崛起����,極大推動了各類數據資源的開放�����、利用�����,而信息技術與經濟社會的交匯融合也進一步催生了數據體量及其價值的迅猛增長�。
2020年4月9日����,《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》對外公布����,作為中央第一份關于要素市場化配置的文件�����,明確了要素市場制度建設的方向和重點改革任務�。自此���,數據被作為一種新型的生產要素寫入政府文件之中�,與土地�、勞動力�、資本����、技術等傳統要素并列����?����!兑庖姟访鞔_指出�����,要加快培育數據要素市場�����,推進政府數據開放共享�,提升社會數據資源價值����,并加強數據資源整合與安全保護等工作�����。
2020年7月3日�����,《中華人民共和國數據安全法(草案)》對外發布并公開征求意見���。其中�����,《草案》在“數據安全與發展”章節�,提出國家應建立�、健全數據交易管理制度����,旨在為數據交易奠定法律基石���、提供發展的催化劑���,明確走以數據驅動的數字經濟�����,以數據作為市場要素帶動數據市場的發展���,更好發揮數據的價值�。
如何推進數據價值保護
在數據驅動下�����,全新的產業���、模式不斷涌現���,數據這座巨大的“礦藏”已顯示出前所未有的影響力和發展潛力���。與此同時�����,數據的高價值屬性也讓內外部環境日益復雜化���,并使得“數據安全”逐步邁向網絡安全的主戰場���。
盤點近些年我國的數據安全事件����,從某營銷服務提供商因“核心運維人員刪庫”導致市值蒸發超30億港元�,并賠付商家1.5億元�����;到某商業銀行因“違規泄露藝人信息”導致信用受損�����、支行行長撤職...究其原因����,是數據安全面臨的“內憂外患”�����。這其中既有受害方數據安全意識薄弱的主觀因素�����,更多來自于未將數據安全管理形成日?��;ぷ?���,缺乏對數據安全產品�、技術的有效應用與體系化治理�,以及對數據安全建設及相關工作的監控力與執行力不足等客觀問題�。
保障數據的安全流動與價值提升�,是現階段企業數據安全建設的主要目標�����。然而���,以抵御攻擊為中心�、以黑客為主要防御對象的安全策略與體系構建已不能滿足以上需求與目標的達成�����;換言之���,政府�����、企業乃至個人用戶����,需要將過去以網絡為中心的安全防護思路�,朝向以數據為中心的安全策略及方向轉變���。
近年來���,數據安全相關法律法規與政策標準的陸續發布����,不僅體現出國家對數據安全監管的日益嚴格�,也說明了數據安全防護已不再是對安全產品的簡單堆砌與功能疊加�,而是從制度化����、日?���;慕嵌惹腥?���,通過建立組織�、明確人員來嚴格落地實施相關工作���,在數據分級分類的基礎之上�����,對數據的全生命周期進行科學的管控����。為了實現以上目標����,就需要一套完整���、體系化的數據安全治理解決方案���,而其中關鍵的一環����,即數據安全治理“服務”���。
服務�����,數據安全治理的關鍵一環
國家法律法規及行業標準規范等的發布����,是開展數據安全治理的行事準則�。然而����,當企業在此背景下開展數據安全建設工作時�,仍會遇到以下三個“實際問題”:
第一�����,數據安全建設具體要做什么����?
第二�����,數據安全建設具體從哪開始�?
第三�,數據安全建設具體該怎么做���?
數據安全治理服務���,是數據安全建設中一種靈活的解決方式——企業可基于安全咨詢專家對自身所屬行業的數據安全治理實踐經驗與相關法律標準的深入解析與建議�����,選擇具有針對性的數據安全產品���,構建更加適合的組織���、制度���,并通過符合相關法律標準的流程體系����,持續完善企業的數據安全防護與建設工作�����。換言之�����,數據安全治理服務能為企業在數據安全建設的各個環節提供幫助�����,比如:幫助企業理清資產���、明確風險�����、搭建數據安全治理體系�����、提升數據安全保障能力等�����。
數據安全治理服務主要包括數據安全評估���、數據分類分級�����、數據安全治理體系建設����、數據安全培訓:
數據安全評估服務
數據安全評估服務適用于對自身數據安全狀況不了解�,期望通過評估查找不足的企業���;或希望通過數據安全評估推動自身數據安全工作持續完善�����、改進的企業�����。
安華金和數據安全評估服務通過工具掃描結合人工查驗的方式:對數據庫本身的安全狀況進行評估���,評估內容包括資產價值評估���、脆弱性評估和威脅性評估�;此外�,通過全面梳理企業的制度文件和技術措施����,對企業的數據安全情況進行評估�,評估內容包括但不限于數據安全制度建設及落實執行情況����、數據分類分級情況�、數據安全事件應急響應水平�,以及重要數據安全保障措施配備情況等���。
最終形成《數據安全評估報告》�,詳細描述企業在數據安全工作方面所取得的成果和不足�,并針對不足之處提供整改建議�。
數據分類分級服務
數據分類分級服務適用于對自身數據資產底賬狀況不了解�����,資產管理責任不清晰����,尚未劃分數據類別和級別���,也不知道該如何進行數據分類分級�,以及如何保障重要數據安全的企業����。
安華金和數據分類分級服務���,可通過全面梳理企業的業務范圍�,對業務進行細分�����;同時����,通過整理數據資產���,對數據的類別進行細分:
綜合考慮不同數據的使用目的�����、敏感程度和屬性等�,進一步明確數據分類標準�����,從而為業務和數據建立“由總到分”的邏輯架構�。
在數據分類的基礎上����,結合每一類數據的重要性����、敏感程度�,及其發生泄露����、丟失�、損壞等會造成的危害影響等����,制定數據分級策略���,對分類后的數據進行定級�����。
最后����,在數據分類分級基礎上����,明確重要數據的范圍和類型����,并形成《數據分類分級規范指南》�、《數據庫資產清單》�����、《數據分類分級清單》等指導性文件�。
數據安全治理體系建設服務
數據安全治理體系建設貫穿于企業數據安全工作的各個環節�����,圍繞重要敏感數據隨業務流轉的過程及其整個生命周期�����,對可能存在的風險問題進行數據安全策略規劃與配置�����。比如:通過對數據資產的準確梳理���,摸清企業數據底賬���;通過全面的數據安全評估�����,幫助企業發現自身存在的數據安全風險場景�����;通過數據分類分級服務�����,確定重要敏感數據的類別和級別�����;對企業整體的數據安全治理進行規劃建設�����。
安華金和數據安全治理建設分為三大體系�����,即數據安全管理體系�,數據安全技術體系和數據安全運營體系:
數據安全管理體系建設�,可幫助企業建立合理的數據安全組織架構�����,明確相關部門及人員職責����,并制定數據分類分級規范�����、數據安全權限管理制度����、數據安全操作規范�、數據安全自查制度等實用�、可落地的數據安全制度�����、流程����。
數據安全技術體系建設����,可針對不同的數據安全風險問題�,建立基于“事前檢查����、事中防范�����、事后審計”理念的數據安全技術管控策略���。
數據安全運營體系建設����,可基于管理制度及規范�,有效執行數據安全管控策略���,并進一步提升日常風險監測水平�、應急處置能力等����。
數據安全培訓服務
數據安全培訓服務主要面向希望提高內部人員數據安全意識及數據安全相關技能的企業�����。員工由于缺少足夠的數據安全防范意識�,往往因貪圖便利或誤操作而違反企業推行的數據安全規章制度���,甚至被黑客等不法分子所利用�����。
為此�,數據安全培訓服務專門設計了數據安全法律法規標準解讀培訓和數據安全意識培訓等內容����,旨在通過線上/線下課程講解代表性案例與數據安全知識����,分享在日常數據安全工作中的經驗和技巧�����,以增加員工對相關政策法規的理解�����,清楚相應的數據安全責任義務�����,從而提高數據安全意識�、減少日常工作失誤等����。
服務價值體現
1����、某政府部門數據分類分級
某政務行政審批服務局響應國家數據共享政策�����,打破傳統的數據孤島�,建立數據共享平臺�����。該平臺中匯集了全市政府單位的基礎庫信息�,形成政務數據的基礎數據倉庫����,如人口庫����、法人庫���、宏觀經濟庫����、空間地理信息庫等�����;并在基礎庫之上�,建立主題庫和應用庫�����,從而面向各需求部門提供主題庫和應用庫中的相關數據����。
針對該局龐大的數據量�����,安華金和數據安全咨詢服務團隊通過數據資產梳理形成數據資產地圖�,幫助該局全面掌握其數據資產情況�,同時準確知曉重要數據庫的訪問及風險狀況���。通過數據安全治理服務�����,該局厘清了自身數據資產���,掌握了敏感數據的分布���,并在數據分類基礎之上�,確定了數據的定級要素�,包括影響對象����、影響范圍����、影響程度等�����,并將數據等級從高到低劃分為“4-3-2-1”四個級別����。最終�,形成了標準的《數據分類分級規范》及其落地執行清單�����,針對需要共享的重要數據進行脫敏���,為該局數據的安全共享打下了堅實基礎�����。
2�����、某運營商數據合規性評估
某運營商響應《工業和信息化部辦公廳關于做好2020年電信和互聯網行業網絡數據安全管理工作的通知》要求�����,開展數據安全合規性評估�����。
安華金和數據安全咨詢服務團隊根據該運營商方面需求�����,對照《2020年電信和互聯網企業網絡數據安全合規性評估要點》信息����,進行了企業整體數據安全水平評估�、重點業務數據安全合規性評估�,以及對核心數據處理平臺系統的安全合規性評估�����,并形成報告�。
評估內容包括:基礎性評估(重點圍繞機構人員�、制度保障����、分類分級���、合規評估�、權限管理�����、安全審計����、合作方管理�、應急響應���、投訴處理�、教育培訓十個方面)����、數據生命周期評估(重點圍繞數據采集�、傳輸�����、存儲����、使用�、開放共享�、銷毀六個環節)�、技術能力評估(重點圍繞數據識別���、安全審計�、防泄露�、接口安全管理����、個人信息保護五個方面)�。綜上�����,在滿足監管方面要求的同時�����,更為該運營商進一步開展數據安全整改工作提供了有力的參考依據����。
3�����、某煙草數據安全治理體系建設
某煙草公司銷售重心下移后���,更多的消費者數據被納入其煙草生態圈中�。與此同時�����,因新系統的上線與舊系統的下線����,加之新老員工的更迭交替���,致使部分數據資產的責任方變得模糊不清�,一些未登記�����、未使用過的數據資產陸續出現�����,令該煙草公司的數據安全風險與日俱增�����。
安華金和數據安全咨詢服務團隊對該煙草公司進行了深入的數據資產調研工作����,對相關數據資產的應用及保護情況進行了整體����、細致的調研分析����。通過對客戶數據資產進行摸底���,基于實際情況制定出《數據分類分級標準指南》����,并形成了《數據分類分級清單》����。依據數據資產的安全現狀和不同類別�、級別數據的使用場景����,建立數據安全防護管理要求與技術要求���;重點針對不同類別和安全級別的數據���,圍繞數據的合規性����、保密性����、完整性����、可用性���,及其全生命周期提出安全防護要求�����,為該客戶開展數據安全防護工作提供參考����,為促進數據資產的增值提供新思路����,為數據安全建設與應用實踐工作奠定基礎����。
安華金和早在2016年便于國內首次提出“數據安全治理”這一概念�,并通過多年持續實踐����,將對數據安全3.0時代的理論研究成果與“核心技術研發�、產品功能設計���、服務模式優化”三者進行了融合發展����,幫助不同行業����、不同規模�、不同需求的用戶�����,開展具有針對性的數據安全治理工作���。
為進一步推動數據安全治理項目落地�,并對產品技術應用形成有益補充�����,安華金和率先推行“服務產品化”����,專門組建“安全咨詢部”�,提供專業�����、領先的數據安全治理“服務”�����。通過客觀�����、深入的分析研究����,對客戶數據安全治理工作在產品功能配置�����、方案規劃設計與技術服務支持等方面提供參考建議���,將各個治理環節串聯接合并持續優化提升����,幫助政府�����、企業真正落實好數據安全治理相關建設工作����。
產品咨詢:4000 258 365 
