查看原文
其他

四大维度,推动数据安全治理体系建设

DSI 数据安全推进计划 2024-01-09

以数据安全治理目标为指引,围绕数据安全治理体系框架,可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作,以解决“谁来干”、“怎么干”、“干的如何”、“有没有能力干”等关键问题。

1

 组织架构  

数据安全组织架构是数据安全治理体系建设的前提条件。通过建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳定的贯彻执行。同时,因数据安全治理是一项多元化主体共同参与的复杂工作,明确的组织架构有助于划分各参与主体的数据安全权责边界,促进协同机制的建立,实现组织数据安全治理一盘棋。

在一个组织内部,安全部门、合规部门、风控部门、内审部门、业务部门、人力部门等都需要参与到数据安全治理的具体工作中,相互协同,共同保障组织的数据安全。一种较为典型的数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成,如图1所示,各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。决策层指导管理层工作的开展,并听取管理层关于工作情况和重大事项等的汇报。管理层对执行层的数据安全提出管理要求,并听取执行层关于数据安全执行情况和重大事项的汇报,形成管理闭环。监督层对管理层和执行层各自职责范围内的数据安全工作情况进行监督,并听取各方汇报,形成最终监督结论后同步汇报至决策层。

图1  数据安全治理组织架构示例

各层的主要分工和构成如表1所示。决策层以虚拟组织的形式存在,如数据安全领导小组,该小组一般由组织的高层领导及相关部门负责人共同构成,主要负责对数据安全的重大事项进行统筹决策。管理层一般由安全部门或数据部门牵头,负责数据安全的管理、建设、宣贯等工作。执行部门一般由业务部门或数据生产部门构成,负责在本部门内落实执行各项数据安全管理要求。监督层涉及到合规部门、风控部门、内审部门等,负责从不同的角度对数据安全治理工作的开展情况进行监督。
表 1 数据安全组织职责分工表

因不同组织的部门设置都有较大不同,涉及到实际组织体系建设时,不同单位还需结合现有组织架构,进行适度的调整和补充。

2

 制度流程  

数据安全制度流程一般会从业务数据安全需求、数据安全风险控制需要,以及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。常见的制度体系如图2所示。

图2  数据安全治理制度体系示例

一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本原则。二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。四级文件属于辅助文件,是各项具体制度执行时产生的过程性文档,一般包括工作计划、申请表单、审核记录、日志文件、清单列表等内容。


根据图2所示的常见制度体系,围绕数据全生命周期安全要求,可以参考图3完善组织各级制度文件内容。


图3 一套可参考的数据安全管理制度体系


3

 技术体系  

数据安全技术体系并非单一产品或平台的构建,而是覆盖数据全生命周期,结合企业或组织自身使用场景的体系建设。依照企业或组织数据安全建设的方针总则,围绕数据全生命周期各阶段的安全要求,建立与制度流程相配套的技术和工具。一种数据安全治理技术体系如图4所示。

图4  数据安全治理技术体系

其中通用技术工具为数据全生命周期的安全提供支撑:

  • 数据分类分级相关工具平台主要实现数据资产扫描梳理、数据分类分级打标和数据分类分级管理等功能。

  • 身份认证及访问控制相关工具平台,主要实现在数据全生命周期各环节中涉及的所有业务系统和管理平台的身份认证和权限管理。

  • 监控审计相关工具平台接入业务系统和管理平台,实现对数据安全风险的实时监控,并能进行统一审计。

  • 日志管理平台收集并分析所有业务系统和管理平台的日志,并统一日志规范以支持后续的风险分析和审计等工作。

  • 安全及合规评估相关工具平台主要用于综合评估数据安全现状和合规风险。

数据全生命周期安全技术为生命周期中特定环节面临的风险提供管控技术保障。整个数据全生命周期可以通过组合或复用以下多种技术实现数据安全:

  • 敏感数据识别通过对采集的数据进行识别和梳理,发现其中的敏感数据,以便进行安全管理。

  • 备份与恢复技术是防止数据破坏、丢失的的有效手段,用于保证数据可用性和完整性。

  • 数据加密相关工具平台通过提供常见的加密模块及密钥管理能力,落地数据的加密需求。

  • 数据脱敏是通过一定的规则对特定数据对象进行变形的一类技术,用于防止数据泄露和违规使用等。

  • 数据水印技术通过对数据进行处理使其承载特定信息,使得数据具备追溯数据版权所有者与分发对象等信息的能力。在数据处理过程中起到威慑及追责的作用。

  • 数据泄密防护技术通过终端防泄露技术、邮件防泄露技术、网络防泄露技术,防止敏感数据资产在违反安全策略规定的情况下流出企业。

  • API安全管理相关工具平台提供内部接口和外部接口的安全管控和监控审计能力,保障数据传输接口安全。

  • 数据删除是一种逻辑删除技术,为保证删除数据的不可恢复,一般会采取数据多次的覆写、清除等操作。

  • 介质销毁一般通过消磁机或者物理捣毁等方式对数据所在的介质进行物理销毁。

  • 隐私计算是指在加密数据的前提下实现数据分析计算的技术集合,可实现数据的可用不可见,从而满足隐私安全保护、价值转化及释放。


4

 人员能力  

数据安全治理离不开相应人员的具体执行,人员的技术能力、管理能力等都影响到数据安全策略的执行和效果。因此,加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色,明确相应的能力要求,并从意识和能力两方面着手建立适配的数据安全能力培养机制,如表2所示。

表 2 不同类型人员的数据安全能力要求和培养机制

意识能力培养方式。可以结合业务开展的实际场景,以及数据安全事件实际案例,通过数据安全事件宣导、数据安全事件场景还原、数据安全宣传海报、数据安全月活动等方式,定期为员工开展数据安全意识培训,纠正工作中的不良习惯,降低因意识不足带来的数据安全风险。

技术能力培养方式。一方面,构建组织内部的数据安全学习专区,营造培训环境,通过线上视频、线下授课相结合的方式,按计划、有主题的定期开展数据安全技能培训,夯实理论知识。另一方面,通过开展数据安全攻防对抗等实战演练,将以教学为主的静态培训转为以实践为主的动态培训,提高人员参与积极性,有助于理论向实践转化,切实提高人员数据安全技能。

为保障培训效果,形成人员能力培养的管理闭环,还需要结合能力考核的管理机制。通过结合人员角色及岗位职责,构建数据安全能力考核试题库,通过考核平台分发日常测验及各项考核内容,评估人员数据安全理论基础。同时将人员在实战演练中的实际操作能力作为重要考核指标,以综合评估数据安全人员能力水平。

以上内容节选自《数据安全治理实践指南2.0》,指南下载及解读请点击《数据安全治理实践指南(2.0)》正式发布,附下载链接了解详情!

往期推荐

1

一图读懂“可信数安”评估评测

2

什么是数据安全治理?这份指南请收好!

3

一图读懂“数据安全风险治理成熟度”评估

4

2022年度数据安全行业十大观察

5

《数据安全治理实践指南(2.0)》发布

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存