四个行业数据安全治理实践案例
自《数据安全法》、《个人信息保护法》等法律法规出台以来,数据安全治理,作为体系化提升数据安全保障能力的重要抓手,得到越来越多的重视,“具体该如何有效落地”也成为不少单位组织普遍关注的话题。
从率先推出数据安全治理咨询服务,到在各行业实践中完成从V1.0到V3.0版本的进化,美创科技以完善、流程化的方法路径和自动化工具,持续推动数据安全治理在行业中有效落地。
为此,我们汇集了金融、政府、能源、制造四个行业案例实践,分享数据安全治理落地过程,以供更多用户参考。
PART1金融行业某金融机构数据安全治理项目
2021年,银保监会开出第一张罚单,某银行因涉及制卡数据违规明文留存、数据安全管理较粗放、存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,罚款数百万元。
在金融行业数据安全监管整改力度逐渐加大的背景下,某金融机构数据安全体系化建设提上议程。但由于该机构场景众多,内外部数据采集、数据共享交换、数据分析、数据上报等,安全风险各及其防护方案各不相同,先建设哪些,再建设哪些,缺少明确的规划思路。
对此,基于金融行业数据安全需求,以“长短结合、充分利现、平稳过渡”为思路,美创科技提出适合该金融机构的数据安全治理路径,方案包括:
数据安全制度规范
通过现状调研与沟通,编写符合该机构战略和业务发展的数据安全制度体系,最终确定《数据安全管理制度》、《数据安全人员管理规范》、《数据安全应急响应管理制度》等制度,覆盖数据全生命周期各阶段,围绕组织、流程、技术、人员等维度制定,为其组织数据安全管理上提供有力支撑。
合规性评估与安全风险评估
合规性评估和加固建议:联合对标13项法规、条例,充分了解其数据安全合规情况,以规避可能存在的法律风险,做到“早发现、早处理”。该部分评估对相关法律法规条款逐一进行解读、现状描述,同时对每个条款衍生或关联的相关法律、法规、标准和指南等内容进行标识,最后针对存在的风险提供建议。
数据全生命周期评估和加固建议:结合实际情况,从技术和管理两个维度,涵盖数据生命周期风险评估和数据基线及漏洞评估,基于访谈和工具分析现有的数据安全风险,最终得出当前数据业务的安全风险总体情况,并以GAP图清晰展示,提供安全加固建议。
数据安全建设规划
数据安全建设规划依照前期数据安全咨询项目的评估差距进行补足,着眼于数据全生命周期安全,针对不同的阶段提供技术加固方案,考虑到用户数据安全建设的紧迫性,分为短期和长期建设规划,包括数据安全防护可用的产品或技术手段、建设周期、先后顺序,以及建设完成后差距评估,为其明确数据安全规划建设之路。
交付物清单包括
《数据安全咨询报告》
《数据安全建设规划方案》
《数据安全管理制度》
《数据安全人员管理规范》
《数据安全应急响应管理制度》
PART2
政府行业某大数据局数据安全分类分级项目数据分类分级是数据安全治理必不可少的环节和首要工作,2021年,某省大数据局印发《公共数据分类分级指南》(试行),要求各个大数据局按照规范对数据分类分级,并要求对数据进行分级管理。
作为分类分级指南的试点单位,基于省大数据局下发的规范文件,美创科技为某市大数据局提供数据分类分级解决方案,通过自动化工具(暗数据发现与分类分级系统)+人工的方式帮助其进行人口综合库数据梳理和分类分级。
美创暗数据发现与分类分级落地流程
分类分级标准梳理
结合《公共数据分类分级指南》、《人口综合库数据规范》、《信息安全技术 个人信息安全规范》等规范,对该市大数据局的人口库进行梳理,形成《市大数据局数据分类分级参考规范》,并将标准内置到分类分级工具中。
数据资产发现
通过暗数据发现产品提前配置好人口库的分类分级及发现模版,对所在的数据库开展资产发现作业,实现自动化的数据业务类型识别,对数据含义进行标识。
数据安全建设规划
在业务类型识别基础上完成对人口库数据的分类分级,通过工具进行标签管理,并生成可视化的分类分级报告。
最终完成并交付如下内容:
交付物清单
识别人口库敏感数据,包括:姓名、地址、出生日期、身份证号、手机号码等个人敏感信息。
通过自动化工具大幅提高分类分级效率,总计分类超过30个类别,包括个人自然信息、个人资产信息、社会活动信息、个人家庭信息等。
分类分级结果通过可视化报告展示,包括敏感数据分布和占比、业务类型数量排序、不同分类的数据量对比等信息,有序展现,一目了然。
资产发现和分类分级的结果可通过标准接口的方式,对接安全产品和大数据局其他数据资源管理平台,完成对数据资产的安全访问和高效管理。
PART3
能源行业某大型能源集团数据安全治理项目该某大型能源集团其应用系统作为关键信息基础设施,涵盖工业、运营、个人信息等数据。随着横向《网络安全法》、等保2.0、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》等法律法规,及纵向垂直行业安全标准,对数据安全提出明确要求,数据安全建设刻不容缓。
在此背景下,该集团以核心业务系统为切入点,以DSMM为抓手,从而逐步建立健全数据安全治理体系,整体阶段包括:
数据资产梳理
通过问卷调研、工具探查等方式多维度盘点数据资产,厘清数据资产现状,并在此基础上进行数据分类分级:
数据资产盘点:通过工具探查数据资产情况,为分类分级实施做好准备工作。
数据权限现状:盘点清楚用户具备哪些权限,数据可以被哪些用户增删改查,权限过大用户有哪些等。
数据流向梳理:盘点数据从采集、传输、共享交换到销毁的流向。
数据分类分级:完成数据分类和分级,共分四级,其中敏感表占比约60%,敏感字段占比约50%,同时明确了各级数据的安全要求。
数据安全风险评估
对数据安全现状进行分析,识别和分析数据资产在全生命周期各阶段风险,并给予中立的加固建议,包括:
基础风险评估:通过安全基线检查、漏洞扫描、渗透测试等方式,发现数据处理环境中存在的安全漏洞,提供加固建议。
数据安全能力差距评估:基于组织实际情况,深度分析和评估当前组织安全能力现状,帮助其厘清自身在生命周期各阶段的能力现状与目标的差距。
数据安全合规评估:全面解读和分析《数据安全法》、《个人信息保护法》以及地方办法条例内容,通过联合对标分析,全面评估组织数据安全合规情况和合规风险,提供针对性的加固建议。
数据全生命周期风险评估:参考信息安全风险分析方法,从资产和风险两大视角出发,基于数据分级结果,建立组织风险评估模型,通过定性分析和定量分析方法,评估数据资产所面临风险。
数据安全建设规划
基于数据安全风险评估的结果,结合实际情况,提供针对性的数据安全建设规划方案:
管理制度建设:基于合规要求,完成部分数据安全相关制度,为后续管理提供依据。
数据安全建设规划:从管理、技术和运营三个维度规划,开展数据安全建设的短、中、长期规划和建设工作,明确建设依据、建设规划、建设路径、建设周期、建设优先级等内容,指引数据安全建设道路。
交付物清单
PART4
制造行业某制造企业数据安全治理项目《数据安全法》、《数据出境安全评估办法》等法律法规文件相继颁布,面临日趋严格的监管和数据安全威胁态势,作为拥有海量敏感数据资产,并存在跨国业务的大型制造企业,亟需分析组织内部整体在数据全生命周期过程中存在的安全合规风险,建立符合实际情况的安全管理和安全技术建设。
结合用户“数据安全合规”实际需求,以及在“重要数据”、“关键数据”、“数据跨境”等存在的难题,美创科技本次方案以“数据分类分级”和“合规对标”为抓手,以三个阶段逐步推进:
识别敏感数据,完善分类分级
由于现阶段暂无制造业的分类分级指南,美创科技本次以《工业数据分类分级指南(试行)》为基础,参考公共数据、物流交通、能源、电信、金融行业的分类分级实践结果。在企业原有分类分级的基础上,细化补充了数据类别和级别,并且设计了基于数据分类分级结果的数据权限。
数据安全风险评估
对数据安全现状进行分析,识别和分析数据资产在全生命周期各阶段风险,包括对《数据安全法》、《个人信息保护法》、《通用数据保护条例》等国内外法律法规文件进行全面解读和分析,参考信息安全风险分析方法,通过定性分析和定量分析的方法,分析并计算数据资产所面临的风险值,并给予中立的加固建议。
数据安全建设规划
基于数据安全风险评估的结果,结合实际情况,提供针对性的数据安全建设规划方案,明确建设依据、建设规划、建设路径、建设周期、建设优先级等内容,指引数据安全建设道路,完善《数据安全管理办法》、《数据全生命周期管理制度》、《数据接口安全管理规范》、《数据脱敏规范》、《数据安全风险评估管理制度》等5份制度规范。此外,通过培训赋能和项目实施过程中的成果移交,协助组织形成一套基础的数据安全合规评估工具,让组织具备常态化的自评估能力。
让数据安全治理卓有成效的落地,充分满足监管合规与业务发展需求,美创参考DSG、DSMM模型,结合CARTA、IPDRR、PDCA方法论,基于多年经验不断进化适合组织的数据安全治理实践路径,以评估规划、建设指导、成效评估、持续改进为主线,从组织架构、制度流程、人员能力和技术工具建设四个方面构建数据安全治理体系,以更好帮助解决企业组织建立起数据安全保障体系。