本文提出数据安全保障体系“六步走”建设思路,旨在为客户数据安全建设提供系统思路和参考。构建数据安全保障体系,需要明确以下思路:首先,需要明确《数据安全法》与《网络安全法》、《个人信息保护法》、“多重保护2.0”的关系。这些是关联关系,即在保障网络安全的前提下,涵盖数据安全和个人信息安全,在建设行业领域相关安全体系时,特别是涉及到关键信息基础设施时,需要遵守“多个安全2.0"相关规范。在相关性的基础上,建设单位需要结合具体场景、行业特点、数据属性等,综合判断适合自身业务特点,应参考哪一部或几部法律法规。其次,数据安全保障体系建设需要厘清“技术”与“管理”的思路,将“技术”视为“管理”的延续,即构建基于“技术”的数据安全指标。数据全生命周期,借助丰富的数据安全监控手段和快速响应机制等,通过不断改进技术手段,将数据安全管理目标一一落实。数据安全保障体系包括六个步骤,分别为数据安全治理评估、数据安全组织架构建设、数据安全管理体系建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建造。01数据安全治理评估不同于合规要求的网络安全建设。建立以事实为依据的数据安全保障体系,通过技术监控手段解决自身业务最核心的数据安全风险。因此,第一步是开展数据风险发现流程——数据安全治理评估。通过数据安全治理专家团队,从业务角度,对业务应用的现状和使用情况进行研究分析,确定业务关联、关键访问路径、数据流向和演进过程,并结合基础安全控制措施进行分析了解主营业务面临的管理、技术和经营风险。其次,收集多个业务系统的研究成果,找出系统间的共性问题,为制定业务数据安全管理规范提供第一手参考。对各业务系统和数据资产进行综合评估和梳理工作,形成《数据资产清单》,明确各系统在相关平台的输入输出、数据所在位置以及数据在处理过程中的重要性、共享、交换等。根据业务梳理数据运营过程中主体(人、用户、账号)、客体(数据)、过程(时域、地域、权限、结果等)的属性设想;从角色控制角度,明确被审核用户(账号)类型和角色,包括应用所有者(业务账号)、应用最终用户(业务终端)、数据管理账号(数据库管理员)等;建立满足业务最低要求的安全策略模型。02数据安全组织架构建设数据安全管理是一项复杂的工作,需要多方联动。在制定组织架构时,既要考虑组织层面实体的管理团队和执行团队,也要考虑虚拟联动团队。所有部门都需要参与安全建设。同时,需要根据部门职责设立不同的数据安全角色,以满足数据安全建设的需要。03数据安全管理体系建设前期的数据安全组织架构体系建设为后续的数据安全建设提供角色支撑,进而需要从管理体系手段上进行梳理。数据安全保障体系规范一般从业务数据安全要求、数据安全风控要求、法律法规合规要求等几个方面进行梳理,最终确定数据安全保护目标、管理策略和具体标准,规范、程序。等待。总体而言,数据安全管理规范体系文件可分为四个层次:第一级文件,由决策层确定管理要求、目标和基本原则;二级文件是管理层根据一级管理要求、制度和标准制定的通用管理办法。作为上级管理要求,二级文件应科学、合理、完备、普遍适用;三级文件一般由管理层和执行层按照二级管理办法确定。各业务及环节的具体操作指南、规范;4级文件是辅助文件,一般包括操作规程、工作计划、资产清单、过程记录等过程文件。4级文件是对上层管理要求的详细解读,用于指导具体业务场景下的具体工作。例如,数据安全分级指南的构建过程是数据安全管理体系构建中最基础的部分。首先,需要从行业中寻找参考数据分类和分类指南(如果没有,可以使用国家标准和其他具有参考价值的相关指南),其次,结合自身业务的实际情况,进行管理层对业务数据进行分类分级,最终根据自身业务场景形成自己的数据安全分级准则。04数据安全技术保护体系建设不同安全等级的数据可参照数据生命周期原则进行数据安全应用执行。具体保护要求和措施可参照国家相关法律法规和标准,以及本单位数据安全相关管理制度、规范和标准执行。05数据安全运营管控由于业务的连续性,数据安全保障体系建设需要长期服务。建立完整的数据安全运营团队是必然的选择。数据安全运营主要包括以下内容:数据安全运维:主要是数据安全措施的使用、运维,现场或定期分析数据安全产品的使用情况,持续管控措施和配置等。结合管理需求优化,定期输出数据安全运维报告和策略优化建议;应急预案及演练:按照相关要求制定数据安全事件应急预案。并根据制定的应急预案,按照安全事件的危害程度和影响范围对安全事件进行分类,定期开展应急预案演练;监控预警:围绕数据安全目标,根据相关安全标准,建立数据安全监控预警和安全事件通报制度,收集分析数据安全信息,及时报告安全风险,包括发布数据安全监控和按需提供预警信息;应急响应:发生安全事件时,相关方按照应急预案采取应急响应措施,并向主管部门报告重大安全事件,定期优化完善应急预案和处置流程;灾难恢复:数据安全事件发生后,根据安全事件的影响和优先级采取相应的恢复措施,确保信息系统业务流程按计划目标恢复。06数据安全监管移动互联网时代,数据承载的价值越来越高,数据面临着巨大的威胁。监管部门出台了相关法律法规,对数据从业人员提出了相关要求,明确了监管机构的职责。公安机关作为监管单位,将依法履行职责,对数据处理者履行数据风险监测、风险评估等数据安全保护义务,遵守国家核心数据管理制度,向境外提供重要数据,配合公安机关开展数据检索、向境外司法或执法机构提供数据等行为,依法实施监督管理。
