数据安全治理实践一般路线-翻译

数据安全治理是一项体系化工程,需要以数据为中心,结合业务场景和风险分析情况,构建可持续运转的闭环数据安全防护体系,实现组织数据安全治理能力建设。本文从实践角度出发,围绕参考框架,探讨数据安全治理规划、建设、运营、成效评估等方面的 工作路线。

(一) 第一步:治理规划

1.现状分析

如前所述,数据安全治理的目标是在合规保障和风险管理的前提下,实现数据的充分开发利用,确保安全和发展的双向促进。因此,在规划初期就需要充分考虑组织现状,分析差距,从而得出针对性的需求点,作为组织数据安全治理规划设计的依据。一是外部合规遵从,对业务适用的外部法律法规、监管要求进行梳理,将重要条款与现有情况进行对比,分析其差距,确定合规需求。二是现状风险分析,结合业务场景,基于数据全生命周期安全防护要求,梳理并形成组织风险问题清单,明确内外部风险形成原因,提炼数据安全建设需求点。三是行业最佳实践对比,将组织数据安全能力现状与国内外或行业先 进实践进行横向对比,明确差距所在,找到突出问题。

2.方案规划

根据现状分析结果,结合上述参考框架,应从以下方面着手规划适用于本组织的数据安全治理体系,防范数据泄露、数据篡改、数据非法使用等风险,保障数据安全。一是组织机构建设,通过成立专门的数据安全治理团队,自上而下的建立从各个领导层面至基层执行层面的管理组织架构,以保障数据安全管理方针、策略、制度的统一制定和有效实施。二是制度流程建设,应在遵循现有相关国家要求的基础上,结合自身业务场景,明确需要编制的相关一级、二级、三级、四级管理和技术文件,指导数据安全制度体系的总体建设。三是技术工具建设,应结合业务场景,通过建立围绕数据全生命周期的安全防护技术体系,实现各项数据安全制度要求的自动化落实,为实现数据安全防护总体目标提供技术支撑。四是人员能力建设,人员是数据安全工作开展的主要参与方,应根据人员角色、岗位职责,从安全意识培养、安全能力培训、安全能力考核三方面入手构建相适应的人才培 养机制。

3.方案论证

为保障规划方案在建设过程的顺利实施,应从以下方面进行论证分析。一是可行性分析,根据组织现状,明确人力、物力、资金的投入与产生的效益对比,确保在业务发展与安全保障之间达到平衡。二是安全性分析,通过对方案的各项实施内容进行安全性分析,确保方案的引入不会带来额外的安全风险。三是可持续性分析,数据安全治理是持续性过程,无法一蹴而就,随着业务拓展和技术进步,规划方案在保证与当前组织现有体系兼容的同时,也要考虑与后续的发展相 适应。

(二) 第二步:治理建设

1.组织架构体系

明晰的组织建设是保障数据安全治理工作顺利开展的首要条件。决策层。为保证数据安全工作的顺利开展及持续保持,建议数据安全管理采取“一把手负责制”,由各业务、技术、法务等部门的直接领导共同组成“数据安全领导小组”,负责组织数据安全整体目标及发展规划等的制定。
管理层。由数据安全领导小组指派中高层管理人员作为数据安全负责人,并组建数据安全管理团队。为保证数据安全管理的独立性、客观性,建议数据安全负责人应为专职人员。管理团队应结合行业监管及组织业务发展需要,制定与组织整体目标相适应的数据安全管理策略,形成规范化管理体系等。
执行层。由各业务部门中与数据处理活动相关的人员,以及风控、技术、运营等团队的人员组成数据安全执行团队,需要与管理团队紧密配合。针对各数据安全场景,负责按照既定的数据安全管理策略、管理要求,在不同的业务流程中进行落地及运营维护。
监督层。由风控、合规、审计等多部门组成数据安全监督小组,负责对管理层、执行层的工作进行定期审核监督,并将发现的问题及 时反馈给决策层,对违规行为予以纠正。

2.制度流程体系

数据安全相关制度流程一般会从业务数据安全需求、数据安全风险控制需要,以及法律法规合规性要求等几个方面进行梳理,最终确 定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工 作。
一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本原则。二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。四级文件属于辅助文件,是各项具体制度执行时产生的过程性文档,一般包括工作计划、 申请表单、审核记录、日志文件、清单列表等内容。

为保证数据安全管理制度的落实,基于数据安全管理制度体系各级文件要求,应制定相应的执行流程规范及审核规范,保障数据安全 管理的高效运行。

3.技术工具体系

技术工具是落实各项安全管理要求的有效手段,也是支撑数据安全治理体系建设的能力底座。围绕参考框架,结合实际场景,构建完善的技术工具,可以体系化的解决数据全生命周期各阶段安全隐患。 数据安全技术工具的部署 进行展开。

4.人员能力体系

数据安全治理离不开相应人员的具体执行,因此,加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色,明确相应的能力要求,并建立适配的数据安全人员能力培 养机制
数据安全意识提升。可以结合业务开展的实际场景,以及数据安全事件实际案例,通过数据安全事件宣导、数据安全事件场景还原、数据安全宣传海报、数据安全月活动等方式,定期为员工开展数据安全意识培训,纠正工作中的不良习惯,降低因意识不足带来的数据安 全风险。
数据安全能力培训。一方面,构建组织内部的数据安全学习专区,营造培训环境,通过线上视频、线下授课相结合的方式,按计划、有主题的定期开展数据安全技能培训,夯实理论知识。另一方面,通过开展数据安全攻防对抗等实战演练,将以教学为主的静态培训转为以实践为主的动态培训,提高人员参与积极性,有助于理论向实践转化, 切实提高人员数据安全技能。
数据安全能力考核。结合人员角色及岗位职责,构建数据安全能力考核试题库,通过考核平台分发日常测验及各项考核内容,评估人员数据安全理论基础。同时将人员在实战演练中的实际操作能力作为重要考核指标,以综合评估数据安全人员能力水平,实现人员培养的 闭环建设。

(三) 第三步:治理运营

1.风险防范

数据安全治理的目标之一是降低数据安全风险,因此建立有效的风险防范手段,对于预防数据安全事件发生有重要作用,可以从数据安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。数据安全策略制定。一方面,根据数据全生命周期各项管理要求,制定通用安全策略,另一方面,结合各业务场景安全需要,制定针对性的安全策略。通过将通用策略和针对性策略结合部署,实现对数据 流转过程的安全防护。
数据安全基线扫描。基于面临的风险形势,定期梳理、更新相关安全规范及安全策略,并转化为安全基线,同时直接落实到监控审计平台进行定期扫描。安全基线是组织数据安全防护的最低要求,各业 务的开展必须满足。
数据安全风险评估。在业务需求阶段开展数据安全风险评估,并将评估结果与安全基线进行对标检查。针对不满足基线要求的评估项, 可以通过改进业务方案或强化安全技术手段的方式实现风险防范。

2.监控预警

数据安全保护以知晓数据在组织内的安全状态为前提,需要组织在数据全生命周期各阶段开展安全监控和审计,以实现对数据安全风险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风 险点进行防控,从而降低数据安全风险。
态势监控。根据数据全生命周期的各项安全管理要求,建立组织内部统一的数据安全监控审计平台,对风险点的安全态势进行实时监 测。一旦出现安全威胁,能够实现及时告警及初步阻断。
日常审计。针对账号使用、权限分配、密码管理、漏洞修复等日常工作的安全管理要求,利用监控审计平台开展审计工作,从而发现 问题并及时处置。

3.应急处理

一旦风险防范及监控预警措施失效,导致发生数据安全事件,组织应立即进行应急处置、复盘整改,并在内部进行宣贯宣导,防范安 全事件的再次发生。
数据安全事件应急处置。根据数据安全事件应急预案对正在发生的各类数据安全攻击警告、数据安全威胁警报等进行紧急处置,确保 第一时间阻断数据安全威胁。
数据安全事件复盘整改。应急处置完成后,应尽快在业务侧组织复盘分析,明确事件发生的根本原因,做好应急总结,沉淀应急手段, 跟进落实整改,并完善相应应急预案。
数据安全应急预案宣贯宣导。根据数据安全事件的类别和级别,在相关业务部门或全线业务部门定期开展应急预案的宣贯宣导,降低 类似数据安全事件风险。

(四) 第四步:治理成效评估

数据安全治理是一个持续性过程,成效评估是考核组织数据安全治理能力的重要环节,其结果也是新一轮数据安全治理的改进依据。如何评价数据安全治理成效,并实现治理体系的优化改进是组织在数 据安全治理能力建设过程中面临的重要问题。

1.内部评估

组织应形成周期性的内部评估工作机制,内部评估应由管理层牵头,执行层和监督层配合执行,确保评估开展的有效执行,并应将评估结果与组织的绩效考核挂钩,避免评估流于形式。常见的内部评估 手段包括评估自查、应急演练、对抗模拟等。
评估自查通过设计评估问卷、调研表、定期执行检查工具等形式,在组织内部开展评估,主要评估内容至少应包括数据全生命周期的安全控制策略、风险需求分析、监控审计执行、应急处置措施、安全合 规要求等内容。
应急演练通过构建内部人员泄露、外部黑客攻击等场景,验证组织数据安全治理措施的有效性和及时止损的能力,并通过在应急演练 后开展复盘总结,不断改进应急预案及数据安全防护能力。
对抗模拟通过搭建仿真环境开展红蓝对抗,或模拟黑产对抗,帮助组织面对数据安全攻击时实现以攻促防,并在这个过程中不断挖掘组织数据安全可能存在的攻击面和渗透点,有针对性的完善数据安全 治理技术能力。

2.第三方评估

除了内部评估外,组织应引入第三方评估。第三方评估以国家、行业及团体标准等为执行准则,能客观、公正、真实地反映组织数据安全治理水平,实现对标差距分析。结合业务场景和数据全生命周期数据流,可以从组织架构、制度流程、技术工具、人员能力体系的建设情况入手,考察组织数据安全治理能力的持续运转及自我改进能力。依托市场化机制,国外已经形成了较为完备的数据安全治理能力第三方评估评测体系,例如美国TRUSTe认证、欧盟GDPR相关认证等,在助力法律法规落地,提升组织数据安全治理水平,推动行业健康有序发展方面发挥了重要的作用。
目前,我国第三方数据安全治理能力评估处于起步阶段。 2020 年12 月,中国信息通信研究院依据团体标准T/ISC- 0011 - 2021 《数据安全治理能力评估方法》推出了国内首个数据安全治理能力评估服务,为实践提供操作指南和度量准则。
《数据安全法》中也明确提出支持专业机构开展数据安全相关评估认证服务工作。

参考文档

信通院 数据安全治理实践指南-1.0
信通院 数据安全风险分析及应对策略研究-2022年

你可能感兴趣的:(数据安全治理,大数据)