全面构建数据安全“护城河”,助力企业数智化升级| 极客星球

【全面构建数据安全“护城河”,助力企业数智化升级| 极客星球】近日,作为全球领先的数据智能科技平台,MobTech 袤博科技与中国信通院、大数据技术标准推进委员会、数据安全推进计划等行业权威机构联合主办了数安Talks“数据安全技术体系探讨”主题沙龙,MobTech袤博科技信息安全总监卢华就“基于大数据的安全防护技术体系建设”话题进行了精彩分享,解码数据安全组织、管理、技术建设,全面构建数据安全“护城河”,助力企业数智化升级。
破解数据安全管理三大痛点
全面构建数据安全“护城河”
随着大数据技术的飞速发展与广泛应用,基于边界的传统安全防护体系逐渐显露不足之处,在享受数据资源带来利好的同时,企业侧也在应对监管及结合自身业务落地建设等方面面临新的挑战。卢华指出,大数据行业数据安全管理呈现三大特征:一、数据量极大、且持续生产。信息系统在运行过程中不断产生海量数据,数据分类分级难度大。二、数据类型多、存储分散、数据流向复杂、访问渠道繁多。数据的复杂性增大了统一管理的难度,导致识别数据资产成为一项艰巨的任务。同时,一旦发生数据安全事件,溯源难度加大。三、数据以客户为中心,隐私信息多。隐私数据多导致合规风险与数据泄露风险指数增加。针对以上数据安全管理痛点,建立科学的、系统的安全防护体系,是众多数据企业的当务之急。
构建数据安全能力框架
制作全局数据安全“作战地图” 启动数据安全管理的第一步是搭建数据安全能力框架,制作全局数据安全“作战地图”。数据安全管理是一项长期工作,根据数据采集到数据使用的全数据生命周期的状态,可将数据安全管理拆分为基础设施安全,访问控制,数据保护,检测与响应,审计与定责,备份与恢复六个项目模块。由于各个数据安全模块之间相互影响,环环相扣,通过体系化的框架合理设置数据安全管理的优先级,能够有效提升工作效率。复盘时,全局视角能更快速地找到数据安全管理的薄弱环节。在构建数据安全管理体系的过程中,可能面临资源不足、跨部门协作效率不高、安全与业务之间的利弊平衡等各种挑战,单纯依靠数据安全部门难以达到理想的管理成效。《个人信息安全规范》和《数据安全法》相关政策法规明确要求,企业应建立数据安全管理委员会,并制定一系列数据安全合规管理制度,实现数据从“人治”到“制治”的转型。
全面构建数据安全“护城河”,助力企业数智化升级| 极客星球
文章图片

科学评估数据安全能力厘清问题根源,逐个击破分析主要从三个方面入手,即业务需求调研、用户需求调研和技术方案调研。科学评估当前企业的安全现状,并对存在的问题进行溯源拆解,是开展数据安全管理最关键的步骤。评估是一项周期性的工作,建议每年固定做一次,从计划到实施、从检查评估到整改、从应急响应到复盘规划,往复循环,查缺补漏,以此优化安全能力框架体系。评估依据国标GB/T37988-2019《信息安全技术 数据安全能力成熟度模型》中DSMM数据安全能力成熟度模型来进行。能力等级分为5级:非正式执行、计划跟踪、充分定义、量化控制、持续优化。在评估过程中,需从上往下与不同层级、不同部门的人员进行大量的访谈沟通,查看相关文档、日志、配置和实际使用的数据安全技术工具,梳理相关问题,做好风险分级和溯源分析,并构建防御措施。
全面构建数据安全“护城河”,助力企业数智化升级| 极客星球
文章图片

在实际运营过程中,企业将会采用多种类型的数据安全运营工具,涉及数据审计、流程管理、分类分级等众多场景,这些工具主要来自于外部采购、内部自研及开源三个渠道。一般来说,外采工具开发难度低,但无法实现数据融合。在资金或人力资源满足的情况下,建议企业自建安全运营平台,数据安全运营的效率和准确性都能得到有效保障。
全面构建数据安全“护城河”,助力企业数智化升级| 极客星球
文章图片

夯实数据安全运营能力
自研数据安全运营平台 当然,大数据行业数据安全体系建设不是单一的数据安全运营工具的使用,而是包含数据安全治理和数据安全防护在内的一套完整的数据安全体系。通过管理与技术的融合、多方协作的融合、业务与安全的融合,建立起符合数据安全监管要求的保障体系。从数据安全治理出发,建设管理组织和制度,为数据安全防护技术落地提供依据,通过不断的数据安全运营,持续对数据安全建设进行审计、分析,完成PDCA闭环化的数据安全建设,最终构建合规、有效的数据安全防护体系。作为深耕开发者服务的领军企业,MobTech十分重视数据安全、数据合规与个人信息的隐私保护。公司曾多次获得国家与行业在数字安全方面的认可,率先通过国家网络安全等级保护三级测评、ISO27001信息安全管理体系认证、中国信通院“安全专项评测”等多项权威认证,并积极参与编制数据安全与治理指南2.0、数据安全运营管理平台技术标准等多个中国信通院项目。MobTech也将在未来继续提升、完善产品和服务水平,助力企业和社会数智化升级,还将在信息安全保护、数据合规等问题上持续发力,共建数智化生态。

    推荐阅读