freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

5000字详解数据安全治理
极盾科技 2022-09-27 19:09:38 191690
所属地 浙江省

2010年,针对数据安全治理,微软提出了专门强调隐私、保密和合规的数据安全治理框架(DGPC),希望企业和组织能够以统一的跨学科的方式来实现目标,而非组织内不同部门独立实现。DGPC框架能够与企业现有的IT管理和控制框架(如COBIT),以及ISO/IEC27001/27002和支付卡行业数据安全标准(PCI DSS)等协同工作。DGPC框架围绕3个核心能力领域进行构建,涵盖了人员、流程和技术这三大部分。

DGPC框架提供了一种以隐私、保密和合规为目标的数据安全治理框架,以数据生命周期和核心技术领域为重点关注点,但主要是从方法论层面明确数据安全治理的目标,缺少对在数据生命周期各环节落实数据安全治理措施的详细说明。

到了2017年,在安全与风险管理峰会上,分析师Marc发表了题为“2017年数据安全态势”的演讲,并提及了“数据安全治理”(Data Security Governance)。Marc将其比喻为“风暴之眼”,以此来形容数据安全治理(DSG)在数据安全领域中的重要地位及作用。

Gartner对数据安全治理的基本定义是:“数据安全治理绝不仅是一套用工具组合而成的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全治理的目标和宗旨达成共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。”

那么,国内是怎么做的呢?

2019年8月30日,《信息安全技术-数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。DSMM不仅是一套标准,也是一套方法论,借鉴能力成熟度模型(CMM)的思想,DSMM标准以数据为中心,围绕数据的整个生命周期及数据通用安全,从组织建设、制度流程、技术工具、人员能力四个方面对数据进行定级评估,从而提高自身数据安全水平。

如何开展数据安全治理

1)数据安全治理的原则

企业在开展数据安全治理工作之前,先明确下数据安全治理的原则,这些原则会贯穿我们后续所有的数据安全治理工作当中,有四大原则:

以合规为驱动,充分了解各项法律法规、行业监管、地方政策,满足合规性要求的同时,兼顾业务实际发展状况。

以数据为中心,是数据安全工作的核心技术思想;是将数据的防窃取、防滥用、防误用作为主线,在数据的生命周期内各个不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。

以组织为单位,是数据安全治理的核心管理思想;数据会在不同的服务器、产品、业务中流转,拥有或使用数据的组织是承担数据安全责任的主体,是数据安全治理的基本单位。

以能力成熟度为基本抓手,一个组织的数据安全能力成熟度等级,说明了这个组织在数据安全保护方面的综合能力水平。

2)数据安全治理的建设思路

下面来介绍下数据安全治理的建设思路,我们从组织、制度、技术、运营层面入手,围绕数据生命周期,建立完善的数据安全管理体系。组织和制度是企业开展数据治理工作的前提,技术和运营体系是落实数据安全治理的手段。

组织架构分成四层,包括决策层(数据安全领导小组)、管理层(数据安全管理团队)、执行层(数据安全执行团队)和监督层(数据安全监督小组)。

有了组织架构,还要制定完善的制度流程。制度流程是保障数据安全治理工作落地的重要前提。比如说管理制度、操作规范、工作流程、审计机制等。

有了组织和制度,接下来可以逐步落地相应的技术工具。比如说敏感数据识别、分类分级工具、加解密/脱敏、身份认证、权限控制、操作审计等。

在构建组织架构、制度流程、技术工具的过程中,逐渐形成完善的运营体系,全面提升数据安全的运营能力。同时整个建设思路需以合规为驱动,围绕数据生命周期有效进行。

3)数据安全治理的实施流程

有了建设思路,接下来就可以进行实施工作,我们通常把实施流程分成七步:

Step1企业现状调研。包括企业架构、网络拓扑、安全管理现状、业务流程、数据流程等。

Step2数据资产梳理。通过业务调研、自动扫描发现数据资产,制定数据分类分级标准,同时对数据资产进行梳理和打标。

Step3安全风险评估:围绕数据生命周期进行风险评估,根据各项法律法规对标分析。

Step4安全体系设计:基于风险评估、组织架构、业务流程、数据流程,设计数据安全管理及技术体系,并建立管理体系。

Step5技术工具实施:基于分类分级、风险评估结果,建设数据安全技术工具,敏感数据识别、脱敏加密工具、访问控制、日志审计等。

Step6快速试点验证:通过试点运行,及时发现可能存在的管理漏洞和技术缺陷,并通过定期审计发现可能存在的运营不足。

Step7持续优化改进:设立运营指标、定期审计、持续优化改进,反哺管理、技术、运营体系,不断螺旋式提升数据安全水位。

调研、梳理和评估都是自上而下进行,和我们前面介绍的Gartner “数据安全治理”(Data Security Governance)是契合的,也是完成企业数据安全实施的体系化设计。

4)数据安全治理的技术体系

整个数据安全实施流程的工作重点在于技术工具的落地,数据安全技术体系可以分成四个部分: 风险识别、安全防御、安全监测、安全处置,围绕整个数据生命周期开展的。

5)数据安全治理的技术实施路线

数据安全治理的技术体系相对比较复杂,所以数据安全治理的技术实施不是一蹴而就,可以分成三个阶段完成:

第一阶段主要为数据资产梳理与数据资产的风险识别,通过敏感数据识别实现数据资产的分类分级,再针对不同分级数据,进行安全风险核查。

第二阶段更加侧重数据应用的各个场景下安全能力的建设,初步实现重点场景下的数据安全全面可管、可控,并建立数据安全风险感知,完善内控安全保障。主要包括用户与实体行为分析、应用网关建设、api网关建设、数据脱敏、水印溯源。通过技术工具对重点安全场景实现全方位的保护。

第三阶段全面完成数据安全建设,覆盖制度落地到数据应用的各个场景。在数据安全使用环节中,都有相关的数据安全技术可以对数据的安全进行保障,所有操作都有审计和保护措施。通过数据安全风险感知的完善,实现数据安全风险全局可视,从全局视角大幅度提升对数据安全威胁的识别、理解、分析和响应的综合防护能力。

值得一提的是,在整个技术实施路线中,有两点是需要好好把握的,一个是数据安全治理切入点的选择,另一个是数据安全治理重点和难点的克服。

数据安全治理挑战及展望

鉴于目前整体的数据安全外部环境,以及发生的勒索、数据泄露等安全事件;当前和未来几年将面临更严峻的数据安全挑战,因数据安全问题和事件而导致的品牌名誉受损、直接和间接财务损失、对外业务中断、法律后果和监管机构通报惩罚、敏感数据信息外泄等情况都是无法接受的结果。

2022年,全球网络安全威胁态势进入高度不确定的“黑天鹅”时代,企业数据安全和风险管理面临前所未有的挑战,其原因主要有:

  • 企业缺乏统一指引

数据安全技术相关的国家标准当前出台较少,还无法对企业形成有效的指引,例如数据加密、脱敏尚未形成统一标准,各企业理解存在偏差。

  • 数据安全人才紧缺

数据安全井喷式需求爆发,各领域数据安全隐患亟待解决,行业内缺少业务领域的数据安全人才。

  • 安全技术有待实践

传统的网络安全技术无法满足数据安全要求,数据本身具有可分享、可复制、流转快的特点,部分技术与解决方案处在研究发展阶段,缺乏应用实践。

  • 业务场景复杂

业务先于安全,业务形态已固化,众多企业面临数据安全改造难题,改造难度大,且各企业场景差异大,数据安全治理存在多样化业务场景复杂数据安全治理挑战。

直面挑战,我们可以总结一些比较清晰的发展趋势:

1、国家法律法规和标准体系日趋完善

2、数据安全执法力度逐步增强

3、数据安全治理从合规驱动走向自驱动

4、建立持续迭代的数据安全治理体系

5、提升数据安全评估 / 审查自动化水平

6、新兴技术的逐步发展和应用,持续激发数据安全新需求

# 网络安全 # 数据泄露 # 数据安全 # 企业安全
本文为 极盾科技 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
安全管理
数据安全相关技术或治理方案
极盾科技 LV.7
极盾科技是一家以“人”为中心,围绕业务场景构建检测和响应能力的新兴网络安全公司。依托自主研发的智能安全决策平台,助力客户一站式适配多种安全风险场景,打破安全数据边界,构建实时自适应计算能力,搭建以人员和业务为核心的安全体系。
  • 98 文章数
  • 37 关注者
2024Q4数据安全政策、法规、标准、报告汇总(附下载)
2025-02-20
62项“网络安全等级保护”标准大合集(文末附下载)
2025-02-20
App数据安全政策汇总(附下载)
2025-02-20
文章目录