谷安天下数据安全咨询事业部合伙人张兵谈数据安全
编者按:2020年10月1日,谷安天下成立了专门的数据安全咨询事业部,研究院资深顾问张兵出任主管合伙人。张兵先生曾服务于毕马威企业管理咨询有限公司的信息技术咨询与审计部门达十年,任职副总监。近几年来,张兵专注于数据安全咨询服务的研究,领导谷安天下的咨询团队实施了大型国企、跨国公司、金融企业、互联网公司、优质民营企业等多项数据安全咨询项目。
2020年4月,张兵与谷安学院联合开展了“数据安全治理与审计”的在线公开课,为谷安学院老学员和业界相关人员的业务能力拓展和提升提供帮助。2020年6~7月,张兵作为数据安全专家,为谷安学院开设的“注册数据安全治理专业人员”认证培训提供全面支持,与学员进行交流和问题解答。2020年7月,张兵主持,并与安全牛、安华金和、美创科技、明朝万达、联软科技、大乘智能、通付盾、宁盾、安御道合等联合编写并发布了《中小银行数据安全治理研究报告》,帮助中小银行科学开展数据安全治理工作。
1、记者:我们都知道,国家发布了《中华人民共和国网络安全法》,在今年,《中华人民共和国数据安全法》草案和《中华人民共和国个人信息保护法》草案都已提交全国人大审议,请问如此密集的针对数据和个人信息安全的法律出台,说明了什么?
张:毫无疑问,包括个人信息在内的数据安全,已经上升为国家安全战略。2020年9月9日,外长王毅发起《全球数据安全倡议》,充分表明,数据安全不是某个人、某个企业、某个行业的事情,而是全国和全球重点关注的领域,是大势所趋。另外,除了国家层面制定的法律,行业监管部门和标准研究机构也持续发布了一批数据安全相关的文件,指导企业的数据安全建设,比如《GB/T 35273-2020信息安全技术 个人信息安全规范》、《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》、《GB/T 37973-2019 信息安全技术 大数据安全管理指南》、《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》、《银行业金融机构数据治理指引》、《JR/T0171-2020 个人金融信息保护技术规范》、《证券期货业数据分类分级指引》、《工业和信息化部办公厅关于做好2020年电信和互联网行业网络数据安全管理工作的通知》等。
对于企业和个人来说,投身于数据安全建设领域,既是商业机会,更是责任与义务,我们都感受到强烈的使命感。
2、记者:目前,数据安全在企业中受重视的程度是怎样的?
张:最近几年,数据安全在企业中的地位是前所未有的高,这是与高级管理层的关注分不开的。相关法律法规和行业标准的颁布,使得企业的CEO、CFO、CIO、CRO都意识到数据安全带来的巨大风险,如果发生了重大数据安全事件,所引发的监管处罚、声誉损失、业务中止、刑事责任是企业难以承受的,相关责任人也会受到极大的影响。所以,我们看到很多的数据安全项目都是企业一把手发起的,并持续的关注。相比于其他的建设和管理项目,高级管理层的关注程度是不可同日而语的。高级管理层的高度关注,为数据安全建设带来很多好处,在资源支持和各部门协调上,会顺畅很多。
3、记者:在数据安全的建设上,市场需求是怎样的?
张:从咨询项目上看,数据安全咨询服务的需求非常旺盛。不仅是传统的优质咨询客户有需求,而且以前很少采购咨询服务的行业和客户也有很多项目机会。
金融行业,银行、证券、基金、保险、信托等,遵循银保监会和中国人民银行的强监管要求,不断加强和完善信息安全建设,把数据安全建设融入到完整的信息安全建设体系中。
电信行业,更加关注个人信息这个社会热点,有些单位已经开展了数据安全(个人信息保护)建设工作,还有一些开始了对数据安全的研究,制定了工作计划。
需要收集和处理个人信息的企业,对数据安全更加敏感,部分企业开展了全面的数据安全治理,也有很多选择从数据防泄漏切入,力求在短时间内看到效果。
大型国企比较多的选择从安全规划做起,识别所有风险,确定任务以及实施优先级,有序开展数据安全治理工作。
另外,很多企业高度认可数据价值,数据已经成为企业的核心竞争力和业务拓展的驱动力,所以,自然也非常重视对数据安全的保护,即使是安全产品的研发企业,也注意到有很多自身的数据安全保护工作要完善。
4、记者:企业开展数据安全建设的主要原因是什么?
张:企业重视并开展数据安全建设的主要原因来自于两方面,一方面是国家和行业监管部门对于数据安全的法律法规和指引更加完善和严格,尤其是个人信息方面;另外一方面,是企业自身对于商业秘密及内部敏感数据的保护的需要,很多企业都会有原创性的知识文档或者设计文稿,比如产品配方、总体方案设计等,这些数据代表着企业的核心竞争力,经营时间越久,有价值的数字资产就越多,因此加强数据安全建设是水到渠成的。
5、记者:企业开展数据安全建设面临的困难和挑战有哪些?
张:企业在开展数据安全建设时往往面临如下的问题:
第一,对数据安全治理的重视程度高,但是数据安全体系建设的成效参差不齐;
数据安全治理的核心工作是数据梳理,包括对数据库和电子文件的整理、数据安全级别的认定、数据安全风险的识别、设计和实施安全防控、数据安全运营管理的设计等等,都是需要业务部门和管理部门密切配合,简言之,数据安全建设是一项企业全体参与的活动,必须在高层领导的指导下,一致行动,才能取得成效。
第二,企业纷纷开展数据安全治理,但是未遵循科学的方法论;
基于目前有些行业的监管部门并未发布明确的、完整的、成体系的数据安全建设方法,部分企业的数据安全治理工作表现出片面性和盲目性。有限的数据梳理、基于经验的风险识别、未能有效使用的防护工具、缺失的运营管理等等,将导致企业既无法对数据安全风险有效防控,并且在将来的体系建设中重复投资,造成浪费。
第三,专业知识和能力的不足,是数据安全治理和管理的最大隐患;
绝大部分企业的数据安全岗是由科技安全岗位转岗或其他职位人员兼岗,这些人员的技术性强于管理性,对数据安全的知识储备不足,没有掌握建设数据安全风险评估、体系建立、体系运营的能力,无法保障数据安全建设的成效。
第四,数据安全防护技术和工具不适合;
数据安全建设成果的落地,一部分体现在数据安全保护技术和工具的实施上。数据安全保护技术和工具至少包括IAM、数据脱敏、数据防泄漏、数据加密、数据库审计、数据库防火墙、数据库运维管理、用户行为分析、数据资产梳理等,不同厂商的工具在功能上和性能上也有较大的差异,企业在工具选型上确实面临较大的困难,选择了并不适合企业需求的工具,导致数据安全防护的效果不佳。
6、记者:数据安全咨询服务都有什么形式?
张:基于客户的需求,数据安全咨询的形式主要包括:
(1)数据安全风险评估服务,帮助企业识别数据安全风险。评估依据有:
《GB/T 35273 2020 信息安全技术 个人信息安全规范》、《电信和互联网企业数据安全合规性评估要点》、《GB/T 37988 2019 数据安全能力成熟度模型》、《GDPR 一般数据保护条例》、《中华人民共和国数据安全法(草案)》、《ISO 27701》等。
(2)数据安全审计服务,帮助企业对数据安全管理开展审计,主要内容有:
审计标准分析、数据生命周期安全风险识别、数据安全控制措施识别、数据安全控制设计有效性审计、数据安全控制执行有效性审计。
(3)数据安全治理体系建设,帮助企业科学开展数据安全治理,主要内容有:
企业数据安全治理策略、数据资产梳理和分类分级、数据安全风险识别、数据安全管控体系设计、数据安全防护工具设计、数据安全管理运营。
(4)数据安全治理规划,帮助企业合理制定治理规划,分阶段开展,主要内容有:
数据资产梳理和分类分级、数据安全风险识别、数据安全治理任务识别、分解和优先级判定、数据安全治理实施路线图。
(5)个人信息(个人隐私)保护合规咨询,帮助企业实现个人信息(个人隐私)使用合法和合规,主要内容有:现状评估、对标差异分析、发现问题和风险分析、整改建议。
(6)数据防泄漏专项咨询,帮助企业实现数据防泄漏的有效管理,主要内容有:
敏感数据识别、敏感数据的风险识别、敏感数据的生命周期梳理和泄露渠道识别、敏感数据的防泄漏策略制定、数据防泄漏产品选型或推荐、数据防泄漏产品实施、数据防泄漏运营管理。
另外,由于数据安全保护的技术和工具比较多,企业对此感到困惑,帮助企业合理规划和选择适用的产品,甚至提供咨询+产品的一体化服务,也受到企业的欢迎。
7、记者:企业应该由哪个部门负责数据安全治理工作?
张:通常情况下,企业数据安全治理工作科技、安全、风险、内控、数据、办公室都可以负责,但是他们只是牵头部门,数据安全治理工作需要高级管理层的直接指导,业务和管理部门的积极配合,所以谁来牵头并不重要,重要的是明确各自的职责。
8、记者:企业是否可以通过直接采购数据安全保护的技术或工具,快速实现对数据的安全保护?
张:我们建议企业按照科学的方法论开展数据安全治理工作,比如参照Gartner的数据安全治理框架。数据梳理和分类分级、数据安全风险识别、数据安全管控措施规划等都是数据安全治理的基础和关键步骤,如果跨越这些环节直接上线保护工具,那么一定会遇到如下问题:这些工具保护哪些数据呢?是否还存在其他数据安全风险漏洞呢?数据安全管理的职责分工和可遵循的工作流程是什么?所以,采用科学的方法开展数据安全治理是重中之重。
为适应网络安全形势的发展,更好地服务于政企领域的数据安全实践,近年来谷安公司加大了数据安全治理、数据安全评估、数据安全审计、数据安全规划、数据防泄漏等方面的咨询方法研究和项目实施的力度,积累了丰富的数据安全咨询经验,打造了一支资深数据安全咨询服务团队,并为众多客户提供了数据咨询服务。
案例包括:某股份制银行的“大数据安全专题”、某国有大型银行的“数据安全专题”、某金融机构的“数据安全管理专项”、某市大数据局的“大数据安全保障体系”、某证券公司的“敏感数据保护体系”、某证券公司的“敏感数据保护咨询”等,欢迎更多数据安全领域有需求的企业垂询!
2终于有一套IT审计管理系统面市,攻克审计工作难题
3谷安向前进·改革—谷安天下设立数据安全咨询事业部
(注意:点击阅读原文了解数据安全咨询服务!)