數(shù)據(jù)安全是當(dāng)前的熱門(mén)話題、共性話題,提升企業(yè)自身數(shù)據(jù)安全防護(hù)能力已成為行業(yè)共識(shí)。12月21日,中國(guó)信息通信研究院“ICT深度觀察”大會(huì)-數(shù)據(jù)安全產(chǎn)業(yè)分論壇舉行,騰訊安全云鼎實(shí)驗(yàn)室高級(jí)研究員劉海洋出席會(huì)議,從數(shù)據(jù)場(chǎng)景角度切入,深度剖析數(shù)據(jù)安全體系建設(shè)面臨的挑戰(zhàn)與發(fā)展趨勢(shì),分享企業(yè)數(shù)據(jù)安全評(píng)估的最佳實(shí)踐。
數(shù)據(jù)安全體系建設(shè)的發(fā)展趨勢(shì)應(yīng)是一體化和輕量化
數(shù)據(jù)已成為新的生產(chǎn)要素,在經(jīng)濟(jì)發(fā)展中發(fā)揮的作用越來(lái)越大。相應(yīng)地,數(shù)據(jù)面對(duì)的安全風(fēng)險(xiǎn)和挑戰(zhàn)也越來(lái)越多。今年9月施行的《數(shù)據(jù)安全法》,更標(biāo)志著數(shù)據(jù)安全和數(shù)據(jù)利用正式提升到國(guó)家法規(guī)層面。
在劉海洋看來(lái),數(shù)據(jù)安全最大的難點(diǎn)在于便捷使用和安全管控之間的平衡。在數(shù)據(jù)安全工作中可以發(fā)現(xiàn),數(shù)據(jù)安全管控措施往往與數(shù)據(jù)業(yè)務(wù)是交織在一起的。因此,數(shù)據(jù)安全并不是一味地去防、去控,而是要充分考慮其業(yè)務(wù)場(chǎng)景和處理活動(dòng),既要能用,還要安全。
如何更好地平衡數(shù)據(jù)使用和數(shù)據(jù)安全之間的矛盾?一體化、輕量化,將會(huì)是數(shù)據(jù)安全體系建設(shè)的發(fā)展趨勢(shì)。
一體化,主要體現(xiàn)在數(shù)據(jù)安全能力融合上。將眾多數(shù)據(jù)安全能力通過(guò)組件化的方式進(jìn)行融合,形成企業(yè)的統(tǒng)一管控平臺(tái),不僅可以降低投入成本,同時(shí)其靈活性也可適應(yīng)復(fù)雜的數(shù)據(jù)場(chǎng)景。
輕量化,主要體現(xiàn)在能力接入方面。數(shù)據(jù)安全工作不是邊界類防護(hù),需要業(yè)務(wù)深度參與,甚至有時(shí)為了安全要損失業(yè)務(wù)功能的便捷性。因此,數(shù)據(jù)安全能力的接入要充分考慮對(duì)業(yè)務(wù)流程的影響,盡量做到免改造、微改造。
數(shù)據(jù)安全體系建設(shè)的目的是讓數(shù)據(jù)遵規(guī)守序
在目前強(qiáng)監(jiān)管態(tài)勢(shì)下,一體化、輕量化地進(jìn)行數(shù)據(jù)安全體系建設(shè),最終目的是讓數(shù)據(jù)管理遵循法規(guī),讓數(shù)據(jù)流動(dòng)遵守秩序。數(shù)據(jù)安全體系構(gòu)建需要先進(jìn)靈活的底座,才能應(yīng)對(duì)多樣性的法規(guī)。從數(shù)據(jù)生命周期角度來(lái)看,企業(yè)數(shù)據(jù)安全評(píng)估及安全體系建設(shè)的最終路徑,概括起來(lái)則是:厘清數(shù)據(jù)資產(chǎn)——掌握使用狀況——明確差距與風(fēng)險(xiǎn)——理清建設(shè)思路。
在啟動(dòng)數(shù)據(jù)安全評(píng)估之前,首先要明確數(shù)據(jù)安全現(xiàn)狀,做好數(shù)據(jù)資產(chǎn)盤(pán)點(diǎn)和數(shù)據(jù)分類分級(jí)工作。有哪些數(shù)據(jù)?數(shù)據(jù)在哪里?現(xiàn)階段基本架構(gòu)情況如何?是否符合數(shù)據(jù)安全合規(guī)的要求?回答了這些問(wèn)題,才能在后續(xù),結(jié)合業(yè)務(wù)發(fā)展與合規(guī)要求,制定適合企業(yè)自身需求的數(shù)據(jù)安全方案和策略。
對(duì)于最重要的數(shù)據(jù)安全評(píng)估,為掌握數(shù)據(jù)使用狀況,保證調(diào)研工作的效率和準(zhǔn)確性,建議采用“面對(duì)面為主,遠(yuǎn)程為輔”、“工具為主,人工為輔”的工作策略。從過(guò)往數(shù)據(jù)處理活動(dòng)梳理的實(shí)踐經(jīng)驗(yàn)來(lái)看,一個(gè)數(shù)據(jù)場(chǎng)景可能有一個(gè)或多個(gè)處理活動(dòng),最好的辦法便是按數(shù)據(jù)流向開(kāi)展梳理,以數(shù)據(jù)跨場(chǎng)景為邊界,關(guān)注每個(gè)處理活動(dòng)中的數(shù)據(jù)角色和權(quán)限。
而明確當(dāng)前數(shù)據(jù)安全建設(shè)的差距與風(fēng)險(xiǎn),不僅需要結(jié)合實(shí)踐經(jīng)驗(yàn)對(duì)當(dāng)前數(shù)據(jù)運(yùn)營(yíng)狀況進(jìn)行風(fēng)險(xiǎn)分析,形成風(fēng)險(xiǎn)評(píng)估報(bào)告,還要結(jié)合現(xiàn)行數(shù)據(jù)安全相關(guān)法律法規(guī),對(duì)應(yīng)評(píng)估點(diǎn),發(fā)現(xiàn)自身數(shù)據(jù)安全體系在合規(guī)方面的差距。根據(jù)《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等相關(guān)條款,企業(yè)還應(yīng)定期對(duì)數(shù)據(jù)安全情況開(kāi)展風(fēng)險(xiǎn)評(píng)估,定期合規(guī)審計(jì)。
事實(shí)上,數(shù)據(jù)安全體系構(gòu)建并非一蹴而就,而是不斷進(jìn)行經(jīng)驗(yàn)總結(jié)、能力提升、工具完善,不斷完善評(píng)估體系,使其更高效、更準(zhǔn)確。
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買(mǎi)賣依據(jù)。
