数据安全建设“六步走”,打造完备数据安全体系
当前,全球数字化转型正在以爆发性速度快速发展,数据作为数字化的核心已经成为新时代的核心生产要素之一。9月1日《数据安全法》正式施行,如何做数据安全建设成为当前各行业负责人最为关心、关注的问题。经过多年项目经验,并基于经验进行凝练,天融信提出数据安全保障体系“六步走”建设思路,旨在为客户数据安全建设提供体系化思路及参考。
构建数据安全保障体系需要厘清如下思路。首先,需要明确《数据安全法》和《网络安全法》、《个人信息保护法》以及“等保2.0”之间的关系。这几者是关联关系,即在保证网络安全的前提下,覆盖数据安全及个人信息安全,在行业领域建设相关安全体系时,特别涉及到关键信息基础设施时,必须要遵从“等保2.0”相关规范。在关联性基础之上,建设单位需要结合具体场景、行业特性、数据属性量等,综合判断自身业务特点应该参照哪一部或哪几部法律法规。其次,数据安全保障体系建设需要明确“技术”与“管理”并重思路,把“技术”作为“管理”的延续,即基于数据全生命周期构建数据安全指标,借助丰富的数据安全监测手段以及快速响应机制等,通过技术手段的不断进步逐一落实数据安全管理目标。
数据安全保障体系六步走,共分为数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建设。
01
数据安全治理评估
02
数据安全组织结构建设
03
数据安全管理制度建设
一级文件是由决策层确定管理要求、目标及基本原则;
二级文件是由管理层根据一级管理要求制定通用的管理办法、制度及标准。二级文件作为上层的管理要求,应具备科学性、合理性、完善性及普遍的适用性;
三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范;
四级文件属于辅助文件,一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。四级文件是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。
例如,数据安全分级指南的建设过程属于数据安全管理制度建设中最为基础的一环,首先要从行业中找到参考的数据分类分级指南(若没有,可采用国标等相关具备参考价值的指南),其次结合自身业务实际情况,对业务数据进行管理层面的分类分级流程,最后基于自身的业务场景,形成自身的数据安全分级指南。
04
数据安全技术保护体系建设
05
数据安全运营管控建设
数据安全保障体系因其业务的持续性,需要进行长期性服务,建立完善的数据安全运营团队是必然选择。数据安全运营主要包括以下内容:
数据安全运维:主要是数据安全措施的使用、运维,驻场或定期对数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化,并定期输出数据安全运维报告和策略优化建议等;
应急预案与演练:按照相关要求,制定数据安全事件应急预案。并按照制定的应急规划,按照安全事件的危害程度、影响范围等对安全事件建分级,定期进行应急预案演练;
监测预警:围绕数据安全目标,依据相关安全标准,建立数据安全监测预警和安全事件通报制度,收集分析数据安全信息,对安全风险及时上报,包括按需发布数据安全监测预警信息等;
应急处置:相关方按照应急预案,在发生安全事件时,采取应急处置措施,向主管部门上报重大安全事件,定期对应急预案和处置流程优化完善;
灾难恢复:在数据安全事件发生后,根据安全事件的影响和优先级,采取合适的恢复措施,确保信息系统业务流程按照规划目标恢复。
06
数据安全监管
天融信作为国内数据安全领域的先导者,从率先提出“以数据为中心的安全技术架构”,到“以数据安全治理为基础、数据安全生命周期为核心、数据安全防护为手段、数据安全运营为支撑”的方法论,致力于持续为客户的数据安全提供全面、专业的安全能力,目前在运营商、金融、政府、能源、卫生、海关等行业领域得到广泛应用与认证。同时,天融信也是注册数据安全治理专业人员认证(CISP-DSG)的独家运营机构,持续为国家培养和输出数据安全专业人才。
相·关·阅·读·
1
2
3
4
5