随着国家数据安全相关要求及标准不断丰富,如何保障数据安全已成为近几年各个组织不断关注的焦点,数据安全重要性已不言而喻,目前很多组织是以网络为中心的安全建设,虽具有数据安全防护手段,但多为单点方式,现有建设方式已不能满足现今数据安全需求。组织应体系化建立数据安全防护手段,从管理、运维、技术三个维度,实现数据的可管、可控、可视。
数据安全流程应是管理指导运维、运维使用技术,管理是数据安全体系的指引和基础,所以本文主要介绍数据安全管理体系的建设。
文章从内部梳理及安全建设两部分进行考虑。内部梳理包括对组织内部管理体系、运维内容、业务流程、防护手段等进行全面梳理;安全建设是在现状梳理及组织对安全建设目标基础上,结合外界合规、规范形成的建设内容。
本篇文章的编写意义也是自我的考虑和梳理,后期会随着自身知识容量的不断丰富进行再次修改。
内部梳理是管理体系是否可落地的基础条件,脱离现状的管理体系是无意义、无价值的,所以对组织内部的梳理范围及梳理深度对管理体系建设影响非常巨大。
梳理包含两个阶段,第一是摸查、第二是梳理。
针对内部摸查可从管理、技术、业务、运维、数据安全战略目标四个层面进行。前三个层面是内部现在、第四个层面是规划目标。
管理体系梳理包括:现有管理制度、管理规章、管理规范、应急响应等。
技术体系梳理包括:现有安全防护技术、现有业务系统使用技术、现有数据库技术等;
业务体系梳理包括:现有业务系统间调用关系、现有数据流向、业务资产等;
运维体系包括:现有运维体系、现有运维流程、现有运维人员构成、组织内部资产等。
数据安全战略目标包括:期望实现的数据安全目标,包括管理、技术、运维。
摸查时需要注意数据安全管理体系的应用级别,因为不同层级的部门关注数据安全管理内容不一致。
信息中心更多关注点主要在如何防护、如何应急响应、人员岗位及责任;组织战略层更多关注主要在信息中心基础上关注组织架构(业务与安全职能部门之间关系)、人员管理培训(人员安全能力)等。
以数据生命周期为基础对调研内容进行切分,然后再进行全面梳理整合。具体关键点如下:
1.理清业务及数据流向;
2.在数据生命周期的基础上对调研内容进行整合。包括:管理、技术、运维,形成目前现状。
3.在数据生命周期的基础上对环境目前存在的风险进行梳理,理清薄弱点。
4.在数据生命周期的基础上拆解组织安全战略目标,形成安全建设目标。
通过以上四步是对摸查内容的加工,可直观了解目前数据安全现状、薄弱点以及建设目标。指导下一步的数据安全管理的建设。
数据安全管理体系建设需满足4个方面且缺一不可,即需要了安全现状、需要了解客户建设目标、需要了解法律法规和行业规范、需要具有丰富的数据安全经验。通过第一步的梳理,可解决第一、二点问题。后两点需要组织自身或者建设单位具有多年的技术沉淀。
数据安全管理建设应充分考虑合规性及可落地性,避免出现“空中楼阁”现象。
数据安全管理体系建设思路可从广度与深度两个维度作为切入点。广度可参考外界相关法律法规及标准规范,深度是在外界相关标准上,结合自身的安全需求及行业最佳实践进行点状强化。为了加强数据管理体系可落地性,在对数据资产分类分级后,需要将不同类别、不同级别数据资产的安全要求融入至管理体系中。
数据安全管理可分为4层架构。每一层是上一层支撑。第一层为组织内部数据安全战略目标。第二层是内部安全制度该制度需要内外结合。第三次是制度下的具体规范和指南,第四层是数据安全落地运维过程中产生的表单。
1.战略。组织安全战略导向。具体建设内容包括:管理规范、管理指南等。
2.制度。组织安全体系建设导向(合规为基础)。具体建设内容包括:管理制度、岗位职责、应急响应等。
3.各种规范。组织安全规范导向(合规为基础)。具体建设内容包括:如分类分级、运维、审计、防护等。
4.落地表格。组织安全执行导向。具体建设内包括:机房出入记录表、安全审计记录表、安全防护记录表、数据使用变更申请表等。
数据安全管理体系并不是摒弃组织内部建设以网络为中心的安全管理规范,而是在此基础上融合数据安全管理要求,形成全面的管理规范。
1.在数据生命周期的基础上对结合国家法律法规、行业标准、业务最佳实践、风险内容进行全面整合,并与梳理时的薄弱点进行对比分析与内容完善,形成强化点。
2.在数据生命周期的基础上将目前现状与强化点进行融合,形成最终要建设内容。
3.持续性对管理体系进行修正、完善等操作。
数据安全管理建设需要充分梳理内部安全情况,确定安全管理建设目标(需考虑实际性),否则很难形成有效的管理体系。