奇安信安全专家:企业需三阶段六步骤有序推进数据安全建设
The following article is from 数据安全推进计划 Author DSI
近日,由数据安全推进计划联合中国通信标准化协会大数据技术标准推进委员会举办的《数据安全产品与服务观察报告》发布会在北京召开。作为数据安全推进计划首批发起单位,奇安信集团数据安全治理咨询部总监、高级数据安全咨询专家楚赟在会上以“面向数字化保障的大数据安全体系建设”为题,分享了新格局下的数据安全新变化、新思考、新洞察,并介绍了奇安信的数据安全体系建设框架与实践,并提出了政企客户开展数据安全工作的相关建议。
楚赟表示,相较于传统经济形态,数字经济的网络化、数字化、融合化、共享化、智能化和全球化特征更为明显,面临着来自黑客攻击、信息泄露、数据损毁等安全威胁,其风险更泛化、数据安全问题更突出,安全风险防控也更迫切。尤其是数据作为数字经济的核心驱动力,一旦泄露,将造成难以承受的后果。
例如,个人隐私的泄露会影响生活甚至生命财产安危;包括技术资料、经营数据、用户数据在内的商业秘密的泄露可能让企业研发投资付之东流;更为严重是国家机密的泄露,甚至会危及国家安全。
楚赟认为,企业数据始终在不断的动态变化,在这个过程中,就需要通过持续的数据安全的治理和建设,动态地调整安全策略和能力编排,保障数据处于持续安全的状态。
在治理层面,企业数据安全工作可从“管理、技术、运营”三方面来开展数据安全的治理与防护工作,基于数据应用场景、业务逻辑与数据的流转,以数据安全治理为前提,在进行数据安全组织建设、制度建设与数据资产梳理及分级分类的前提下,进行数据安全防护设计,并通过数据安全态势感知进行数据安全运营,从数据资产管理、数据流动态势、数据风险分析、用户行为分析等维度,促进数据安全治理的闭环形成,让数据安全能力与日俱增。
在实施层面,根据政企机构数字化程度、安全建设的不同阶段,数据安全的重点会有不同。因此,数据安全防护体系建设应该可以分三个阶段按六个步骤有序推进,概括来说就是:盘家底,梳理业务,识别重要数据资产,做基础安全防护;分类分级,针对不同级别的数据,制定不同的安全策略;做分级安全保护,持续运营,保障数据安全持续安全状态。
据介绍,目前奇安信数据安全防护体系已经在北京冬奥数据安全保障得到实践验证,可同时满足国内、外双重合规要求,平衡安全和业务运行效率,确保数据处于持续安全防护状态,并构建了以奥运“零事故”为标准的数据安全防护体系蓝本,其方法和经验正在全行业中推广复制,护航数字化发展。
数据安全推进计划由数据安全推进计划是中国信息通信研究院联合三十余家单位于2021年9月1日正式发起的计划,致力于促进数据安全技术交流,提升数据安全能力建设。未来将持续支持数据安全产品及服务厂商的的技术创新与应用,致力于推动构建公平竞争、开放透明的数据安全市场,分析产品与服务市场现状,洞察产品与服务发展风向。