Redian新闻
>
企业数据安全建设“六步走”,打造完备数据安全体系

企业数据安全建设“六步走”,打造完备数据安全体系

公众号新闻

每天两块钱,实时获取全球数据合规风险预警

👇

来源:天融信;数据学堂整理


当前,全球数字化转型正在以爆发性速度快速发展,数据作为数字化的核心已经成为新时代的核心生产要素之一。2021年9月1日《数据安全法》正式施行,如何做数据安全建设成为当前各行业负责人最为关心、关注的问题。


经过多年项目经验,并基于经验进行凝练,本文提出数据安全保障体系“六步走”建设思路,旨在为企业数据安全建设提供体系化思路及参考。


构建数据安全保障体系需要厘清如下思路:


首先,需要明确《数据安全法》和《网络安全法》、《个人信息保护法》以及“等保2.0”之间的关系。这几者是关联关系,即在保证网络安全的前提下,覆盖数据安全及个人信息安全,在行业领域建设相关安全体系时,特别涉及到关键信息基础设施时,必须要遵从“等保2.0”相关规范。在关联性基础之上,建设单位需要结合具体场景、行业特性、数据属性量等,综合判断自身业务特点应该参照哪一部或哪几部法律法规。


其次,数据安全保障体系建设需要明确“技术”与“管理”并重思路,把“技术”作为“管理”的延续,即基于数据全生命周期构建数据安全指标,借助丰富的数据安全监测手段以及快速响应机制等,通过技术手段的不断进步逐一落实数据安全管理目标。


数据安全保障体系六步走,共分为数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建设。

01

数据安全治理评估


区别于合规要求的网络安全建设,数据安全保障体系应建立在事实依据的基础上,才能对自身业务最核心的数据安全风险采取技防监测、控制手段解决,所以第一步,即开展数据风险发现过程-数据安全治理评估。
 


通过数据安全治理专家团队,从业务视角出发,对业务应用的现状、使用情况进行调研、分析,确定业务的关联关系、访问的关键路径、数据的流向及演变过程,结合对基础安全管控措施的分析,找出主要业务所面临的管理、技术及运营风险。

其次,集合多个业务系统的调研结果,找出系统间的共性问题,为制定业务的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开展评估梳理工作,形成《数据资产清单》,明确相关平台各系统的输入输出,数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。


基于业务场景梳理数据操作过程中的主体(人、用户、账号)、客体(数据)、过程(操作的时域、地域、权限、结果等)属性;以角色控制为视角,明确被审计用户(账号)的类型、角色,包括应用程序所有者(业务账号)、应用程序终端用户(业务终端)、数据管理账户(数据库管理员)等;建立符合业务最小够用的安全策略模型。

02

数据安全组织结构建设


数据安全管理是一项需要多方联动型的复合型工作,在开展组织架构建设时,需要考虑组织层面实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,所有部门均需要参与安全建设当中。

同时,需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。

03

数据安全管理制度建设


前期的数据安全组织结构体系建设为后续数据安全建设提供了角色支撑,接下来需要从管理制度手段上进行梳理。(详见:某企业数据安全及权限管理制度办法

数据安全保障体系的规范一般从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
 


一般情况下,数据安全管理规体系文件可分为四个层面:
  • 一级文件是由决策层确定管理要求、目标及基本原则;
  • 二级文件是由管理层根据一级管理要求制定通用的管理办法、制度及标准。二级文件作为上层的管理要求,应具备科学性、合理性、完善性及普遍的适用性;
  • 三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范;
  • 四级文件属于辅助文件,一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。四级文件是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。



(点击放大查看高清图)


例如,数据安全分级指南的建设过程属于数据安全管理制度建设中最为基础的一环,首先要从行业中找到参考的数据分类分级指南(若没有,可采用国标等相关具备参考价值的指南),其次结合自身业务实际情况,对业务数据进行管理层面的分类分级流程,最后基于自身的业务场景,形成自身的数据安全分级指南。

详见:3个案例看数据分类分级如何落地应用

04

数据安全技术保护体系建设


不同安全级别的数据,可参照数据生命周期的原则进行数据安全应用执行。具体保护要求及措施,可参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。


05

数据安全运营管控建设


数据安全保障体系因其业务的持续性,需要进行长期性服务,建立完善的数据安全运营团队是必然选择。数据安全运营主要包括以下内容:

  • 数据安全运维:主要是数据安全措施的使用、运维,驻场或定期对数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化,并定期输出数据安全运维报告和策略优化建议等;
  • 应急预案与演练:按照相关要求,制定数据安全事件应急预案。并按照制定的应急规划,按照安全事件的危害程度、影响范围等对安全事件建分级,定期进行应急预案演练;
  • 监测预警:围绕数据安全目标,依据相关安全标准,建立数据安全监测预警和安全事件通报制度,收集分析数据安全信息,对安全风险及时上报,包括按需发布数据安全监测预警信息等;
  • 应急处置:相关方按照应急预案,在发生安全事件时,采取应急处置措施,向主管部门上报重大安全事件,定期对应急预案和处置流程优化完善;
  • 灾难恢复:在数据安全事件发生后,根据安全事件的影响和优先级,采取合适的恢复措施,确保信息系统业务流程按照规划目标恢复。


详见:企业数据安全体系建设指南


06

数据安全监管


移动互联网时代下,数据承载的价值越来越高,数据面临巨大的威胁,监管部门出台相关法律法规,对数据从业者提出了相关要求,也明确了监管机构的责任。

公安机关作为监管单位,将依法履职尽责,对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守国家核心数据管理制度、向境外提供重要数据、配合公安机关开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理。


DPOHUB年度会员,扫码加入!


权益1:一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课(除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程),权益期内新增的在线课程同样免费听。

权益2:一年的鹅圈子“数据合规俱乐部”,第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
买房风波(3)全体注意!10月底前,全体澳人都要做这件事!晚做或重罚222刀!最高可能领取1500刀...引发中概股信任危机的瑞幸先一步走出;地产企业家跌出富豪榜NP完备破解羊了个羊?全体法律人注意!企业合规专家征集中——《<中小企业合规管理体系有效性评价>适用指南》钙离子通道(Calcium Channel)与心脏病美国司法部:对TikTok数据安全问题持续担忧?突发:A股一度直线拉升,背后啥原因?国家重磅:2025年每个居民拥有功能完备的健康码!工作4个多月,薪酬3000多万,监管怒了数据治理:企业数据管理制度怎么写?宁可少活二十年拼命拿下大油田看看排名前十的高薪工作有哪些“饭后百步走”的科学依据;坐着减肥不是梦,坚持一个小动作,脂肪代谢翻倍|本周论文推荐6大肌肉猛男推荐的背部训练动作,打造完美倒三角!李利平:勇做地下工程安全建设守卫者丨奋斗者正青春暖心!班主任为学生打造“治愈系教室”、云南一高校食堂设“无辣窗口”......听,教育早新闻来啦!十问数据安全:我们的手机安全吗?为什么总感觉被“偷听”?6大经典肱三头肌训练教学,打造完美麒麟臂!《证券期货业数据安全管理与保护指引》学习笔记炼石网络:全国一体化政务大数据体系建设指南「弘福天」获百万级天使轮融资,打造数智化养老服务体系|早起看早期中央企业合规管理体系建设,如何才能有效落地?天蓝和玫红论文必备|12个商科生必备数据库推动项目建设“加速跑” 成都高新区一站式审批审查新模式再提服务质效结课 | 张敏《数据安全合规与实践课》11讲 | 最后优惠,欢迎拼团!佩信:2023企业数字化转型组织人才发展建设未央播报 | 六部门发文加大对小微企业贷款延期还本付息支持力度 社会信用体系建设法公开征求意见HTC中国区总裁汪丛青首创元宇宙价值推算公式:与沉浸时长和设备数量成正比锻造铁肩膀 展现新作为,走好新时代建设“工业强省”赶考之路5大肱三头肌训练动作教学,打造完美麒麟臂!赛迪观点:借鉴德国经验打造我国工业数据空间华为云如何打造合作伙伴生态,赋能中小企业数字化转型?七步走,搞定数据安全风险评估《“十四五”全民健康信息化规划》:三级医院核心信息全国互通共享,强调网络与数据安全保障体系专访蚂蚁集团副总裁韦韬:如今谈数据安全,我们在谈些什么?
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。