数据安全治理体系建设思路和方法
01 数据安全治理背景
随着各行各业信息化不断演变发展,数据已成为基础设施,成为业务发展重要原动力,内部业务与互联网深度融合,利用新媒体,让数据产生更大价值,是近近几年发展的主要趋势。如何提升数据资产价值同时让数据使用更安全,已成为各个行业探讨的方向。
近几年网络安全事件频发,具有商业特性的攻击事件越来越多,地下黑产对个人信息需求异常旺盛。2017-2018年度551起数据泄露事件中,出自各行各业,数据高质量、易获取,已成为不法份子获取利益的最佳途径。
随着横向网络安全法、等保2.0的合规性要求及纵向垂直行业安全要求的需要,对数据存储、使用、运营提出了明确要求,如何更好的对数据进行有效防护,保障数据全生命周期的安全性,如何以事前发现、事中阻止、事后审计、持续加固的方式,提供更好的服务是每个从事安全的行业人员应该深度思考的问题。
02 数据安全治理概念
根据《数据安全治理白皮书3.0》,数据安全治理是以“让数据使用更安全”为目的,在中国易于落地的数据安全建设的体系化方法论,核心内容包括:
(1)满足数据安全保护(Protection )、合规性(Compliance)、敏感数据管理(Sensitive) 三个需求目标;(2)核心理念包括:分类分级(Classfiying)、角色授权(Privilege)、场景化安全 (Scene);(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;(4)核心实现框架为数据安全人员组织(Person)、数据安全使用的策略和流程 (Policy&Process)、数据安全技术支撑(Technology)三大部分。
数据安全治理的核心理念:
•分类分级
数据资产保护的核心在于数据分类分级。
通过对数据的有效理解和分析,对数据进行不同类别和密级的划分;根据数据的类别和密级制定不同的管理和使用原则,尽可能对数据做到有差别和针对性的防护,实现在适当安 全保护下的数据自由流动。
•角色授权
数据安全访问控制核心在于数据访问主体的角色授权。
在数据分级和分类后,明确了数据的访问角色以及数据的使用方式,在不影响数据资源正常访问的前提下,针对不同的角色赋予不同的访问权限,实现数据的访问和使用安全。
•场景化安全
数据安全治理的核心在于场景化安全。
不同用户基于业务、访问途径、使用需求,会产生不同的使用场景。在保证数据被正常 使用的目标下,基于不同的使用场景制定相应的数据安全策略。场景化的数据安全治理,能及时发现数据风险暴露面,使数据安全治理更具针对性,从而实现数据使用更安全。
03 数据安全治理目标
数据安全治理长期目标思短期目标需要从治理体系、安全合规、技术支撑三要素进行考虑建设。
治理体系:数据安全体系化建设,使数据安全管理更加合理规范,良好的可视性运维机制和动态协同能力。
安全合规:充分了解合规及行业要求,建设满足合规性要求同时,需要考虑灵活性、可扩展性及各阶段衔接性。
技术支持:提升事前发现、事中防护、事后审计能力。
04 数据安全治理体系框架
数据安全是数据安全治理的目标对象,参考框架是数据安全治理的参照对象。组织可以通过持续构建参照对象,实现对目标对象的有效管理。
依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》,数据案例参考框架包括数据安全战略、数据全生命周期安全、基础安全3部分主要内容,如下图所示。
数据安全治理参考框架
•数据安全战略
在组织启动数据安全治理工作前,必须制定相应的战略规划,明确治理目标和具体任务,匹配对应的资源,使得治理工作能够有条不紊地展开。数据安全战略可以从数据安全规划、机构人员管理两个能力项入手,前者确立目标任务,后者组建治理团队。
•数据全生命周期安全
数据安全治理应围绕数据全生命周期展开,以采集、传输、存储、使用、共享、销毁各个环节为切入点,设置相应的管控点和管理流程,以便于在不同的业务场景中进行组合复用。
数据全生命周期安全包括数据采集安全、数据传输安全、存储安全、数据备份与恢复、使用安全、数据处理环境安全、数据内部共享安全、数据外部共享安全、数据销毁安全在内的9个能力项,通过对数据全流转过程进行规范和约束以有效降低数据安全风险。
•基础安全
基础安全能力作为数据全生命周期安全能力建设的基本支撑,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。
基础安全能力包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等7个能力项,主要从数据安全的保障措施上进行定义和要求。
对行业数据特性及数据管理现存问题,从数据视角出发,系统化、规范化、科学性的建立数据安全治理体系。完整的数据安全治理体系应包含5个方面:原则、上层建筑、资产梳理、管理体系、防护体系。
安全治理体系
原则是数据安全治理的基本思想与方针,包括:战略一致、风险可控、运营合规、绩效提升。
上层建筑包括内外部策略、部门职责、动态协同等,起到安全治理过程中依据、指引等作用。
资产梳理是以安全治理角度,充分摸清家底,有针对性、有计划性的进行治理实施,主要包括:管理梳理、技术梳理、场景梳理。
管理体系具有可落地执行特性,包含组织体系、执行体系及运维体系。
技术体系通过发现、运维、防护,实现各阶段进行快速响应。
数据安全治理框架
05 数据安全治理实施步骤
一、理清组织安全数据现状
通过梳理与评估,理清数据安全现状,同时基于数据处理活动构建“静”、“动”结合的数据安全评估机制。
数据安全现状梳理示例
二、构建统筹有力的数据安全组织机构
强化组织领导、明确责任分工,构建统筹有力的数据安全统一团队,推动数据安全工作持续、有序、稳定地开展。
数据安全组织架构示例
三、制定行之有效的数据安全制度
基于组织数据安全现状,准确定义数据安全管理内容和数据分类分级,明确工作职责和工作要求,完善数据安全管理制度和流程,使数据安全工作有据可依,责任落实到人。
数据安全四级管理体系建设示例
四、夯实基础能力,构筑全面的数据安全防护能力
通过梳理与评估,摸清组织数据安全现状,结合业务实际情况,补全能力,从而构建全面的数据安全防护能力,实现数据可见、流转可知、风险可识、数据安全状态可管、风险趋势可控的“五可”能力,实现数据流动安全高效管控。
数据安全防护能力建设示例
五、搭建管技结合桥梁,开展常态化数据安全运营
将数据脱敏、数字水印、数据防泄漏、数据加密、数据销毁、数据安全风险监测预警等数据安全防护措施与数据安全管理制度结合起来,开展数据安全常态化运营,确保组织数据安全战略、数据安全管控要求有效实施。
常态化运营示例
六、定期开展数据安全监督检查
为确保组织各项数据安全战略、策略方针、管理要求落实到位,以查促改,完善数据安全监督检查体系建设,形成数据安全管控闭环。一是安全管理部门、内审部定期开展数据安全审计工作,在过往安全专项审计的基础上,增加数据安全审计内容。
二是安全管理部门对组织内部各部门、下属单位数据安全落实情况进行现场监督检查或远程监督检查,核查组织内部在数据安全工作是否组织、落实到位。
七、全员数据安全赋能
人员是数据安全各项要求有效实施的基石,不同角色人员数据安全职责不同,所需数据安全技能也不同;组织应根据具体业务情况开展数据安全赋能,确保各项数据安全战略、策略方针及管理要求能够有效落地。
数据安全培训示例
数据安全治理体系建设注重以下四个方面的工作:
1、组织建设
设计健全的组织架构是数据安全治理工作的基础。组织建设包括部门职责与人员角色确定及动态协同机制,
(1)部门职责与人员角色
部门包括:业务部门、运维部门及安全管理部门。业务部门。按单位业务职能划分;运维部门。根据运维体系进行有效执行;安全管理部门。制度指定、技术迭代、安全检查与事件处理、安全审计等。其它:包括第方厂家或者外包的职责制度。
人员角色可分为:业务人员、审计人员、运维人员、安全人员、管理人员等。
(2)动态协同机制
建设完善的动态协同机制,充分利用部门资源,解决部门运转孤岛问题。
明确数据访问人员、数据生产人员、数据维护人员等目标对象,以数据流转为基础,对相关人员进行串联,形成动态协同。
2、资产梳理
内部资产梳理是数据安全治理的核心所在,只有详细、真实的数据梳理才能让数据安全治理真正落地执行。梳理主要从现有管理、技术、治理场景三方面进行。数据资产主要为,机构化数据及非结构化数据,针对数据需要梳理威胁性、脆弱性及使用权限确定(包括:访问控制、权限授权情况等)。
针对结构化数据还需明确数据类型及基础信息,如:主机信息、网络信息、数据库品牌、数据库版本信息等;对数据进行分类分级,通过合规性要求、自身主观判断、意外事故影响和第三方使用价值进行数据划分。
3、流程管控
完善的管控体系是保障数据安全治理可持续性的关键所在,流程管控主要从组织体系、执行体系、运维体系等三个方面进行考量。
组织体系:建立决策层、管理层、执行层多方面、跨部门有效协同机制与制度;
执行体系:包括治理方针、规章制度、治理标准、治理规范、治理流程等;
运维体系:包括维护、监控、评估、加固、审计与应急、治理评估等。
4、安全防护完善
数据安全治理离不开安全技术及安全产品,安全防护体系能力主要从发现能力、运维能力、防护能力三个方面进行建设。
发现能力:数据泄密、数据审计、数据安全基线管理、UEBA、数据态势感知等;
运维能力:综合性审计、基于数据的漏扫、监控与预警及统一认证与授权等;
防护能力:数据加密、数据脱敏、数据库防火墙、数据防泄漏、统一策略管理、容灾备份等。
06 数据安全治理实施过程中注意事项
合规性要求。行业合规性要求较多,会随着时间推移发生变动,合规性文件对数据安全治理过程中有着依据、指引等作用,如不能深入了解,会使数据安全治理建设过程反复。
管理体系。完善可持续性的管理体系是保障安全治理的先决条件,规划好,落地难的管理体系如空中楼阁,使数据安全治理效果大大折扣。
资产梳理。资产梳理对数据安全治理尤为重要,需要清除哪些数据要防护、数据如何流转、端到端对象都有谁、数据跑的有什么内容、现今数据载体有什么安全隐患等等问题,资产梳理不到位,难以进行后期的体系建设。
缺乏过程持续性。数据安全治理是一个持续性过程,上到管理体系,下至技术工具,都需进行持续性完善,如治理过程缺乏持续性,则无法形成运维监控、定向审计、问题处置与体系加固等一套有效的运转机制。
数据安全治理流程
07 总结
大数据、云计算、物联网、人工智能的到来,让各个行业发生巨大的改变,各行业对数据数据整合及利用,以互联网进为载体行服务模式转变同时,应充分考虑对数据的安全治理。通过对人、管理、防护产品多个方面进行数据安全治理意识、制度、技术的持续性完善,实现安全、业务与数据有效融合,达到数据安全治理的预期效果。
来源:数据学堂 编辑:谈数据