数据安全治理该怎么落地?全套实践指南来了

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:2021-07-22
《数据安全法》即将实施,明确提出要建立健全数据安全治理体系,提高数据安全保障能力。

如何协调政府、行业、企业、个人等多元主体,形成协同共治机制?如何平衡数据开发利用和数据安全保护?如何构建覆盖数据全生命周期安全的治理框架?如何在各组织中落实治理的具体要求?这些都是当前数据安全治理面临的重要问题。

近日,中国信通院发布《数据安全治理实践指南(1.0)》,参考数据安全领域相关标准,根据多家企业数据安全治理最佳实践,为广大企业落地数据安全治理提供全方位的指引。

一、数据安全治理内涵与要点

数据安全治理是指在组织数据安全战略的指导下,为确保数据处于有效保护和合法利用的状态,多个部门协作实施的一系列活动集合。包括建立组织数据安全治理团队,制定数据安全相关制度规范,构建数据安全技术体系,建设数据安全人才梯队等。它以保障数据安全、促进开发利用为原则,围绕数据全生命周期构建相应安全体系,需要组织内部多利益相关方统一共识,协同工作,平衡数据安全与发展。

1.以数据为中心
构建以数据为中心的数据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。

2.多元化主体共同参与
对组织机构而言,从组织战略层面出发,协调管理层、执行层等各相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。

3.兼顾发展与安全
数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。

二、数据安全治理总体视图


数据安全治理目标是在合规保障及风险管理的前提下,实现数据的开发利用,保障业务的持续健康发展,确保数据安全与业务发展的双向促进。

三、数据安全治理参考框架


1、数据安全战略
从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。数据安全规划是指结合组织业务发展需要,对当前面临的数据安全风险现状进行梳理,并制定组织整体的发展规划。机构人员管理是指建立负责组织数据安全治理的团队及人员,并通过在人员入职、转岗、离职等环节设置安全控制措施,防范由人员本身带来的数据安全风险。

2、数据全生命周期安全
数据安全治理应围绕数据全生命周期展开,以采集、传输、存储、使用、共享、销毁各个环节为切入点,设置相应的管控点和管理流程,以便于在不同的业务场景中进行组合复用。

3、基础安全
基础安全能力作为数据全生命周期安全能力建设的基本支撑,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。

四、数据安全治理实践路线

1、治理规划

现状分析——一是外部合规遵从,对业务适用的外部监管要求进行梳理,将重要条款与现有情况进行对比,分析其差距,确定合规需求。二是现状风险分析,结合业务场景,梳理并形成组织风险问题清单,明确内外部风险形成原因,提炼数据安全建设需求点。三是行业最佳实践对比,将组织数据安全能力现状与国内外或行业先进实践进行横向对比,明确差距所在,找到突出问题。

方案规划——一是组织机构建设,自上而下的建立从各个领导层面至基层执行层面的管理组织架构,以保障数据安全管理方针、策略、制度的统一制定和有效实施。二是制度流程建设,结合自身业务场景,明确需要编制的相关一级、二级、三级、四级管理和技术文件,指导数据安全制度体系的总体建设。三是技术工具建设,应结合业务场景,实现各项数据安全制度要求的自动化落实,为实现数据安全防护总体目标提供技术支撑。四是人员能力建设,人员是数据安全工作开展的主要参与方,应根据人员角色、岗位职责,从安全意识培养、安全能力培训、安全能力考核三方面入手构建相适应的人才培养机制。

2、治理建设

组织架构体系

数据安全组织架构角色及职责分工

制度流程体系

数据安全管理制度体系示意图

技术工具体系

数据安全技术工具部署示意图

人员能力体系
数据安全人员能力培养体系

3、治理运营

风险防范——数据安全治理的目标之一是降低数据安全风险,因此建立有效的风险防范手段,对于预防数据安全事件发生有重要作用,可以从数据安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。

监控预警——数据安全保护以知晓数据在组织内的安全状态为前提,需要组织在数据全生命周期各阶段开展安全监控和审计,以实现对数据安全风险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风险点进行防控,从而降低数据安全风险。

应急处理——一旦风险防范及监控预警措施失效,导致发生数据安全事件,组织应立即进行应急处置、复盘整改,并在内部进行宣贯宣导,防范安全事件的再次发生。

4、治理成效评估

内部评估——组织应形成周期性的内部评估工作机制,内部评估应由管理层牵头,执行层和监督层配合执行,确保评估开展的有效执行,并应将评估结果与组织的绩效考核挂钩,避免评估流于形式。常见的内部评估手段包括评估自查、应急演练、对抗模拟等。

第三方评估——以国家、行业及团体标准等为执行准则,能客观、公正、真实地反映组织数据安全治理水平,实现对标差距分析。结合业务场景和数据全生命周期数据流,可以从组织架构、制度流程、技术工具、人员能力体系的建设情况入手,考察组织数据安全治理能力的持续运转及自我改进能力。

五、数据安全治理未来展望

未来一段时间内,数据安全治理将围绕以下两个核心展开。

一是促进数据安全治理实践的“行业化”和“场景化”。由于不同行业、不同场景面临的数据安全风险与潜在威胁不尽相同,因此需要有针对性的开展数据安全治理。行业、企业需着眼于此,大力推进数据安全治理的“行业化”和“场景化”。

二是探索数据安全治理从“离散”到“体系”的演进路线。数据安全问题由来已久,且愈演愈烈,“离散”的补丁式解决方法已不能完全适应企业当前的发展需要。如何整合有效资源,平衡数据保护与业务发展,推动“体系化”数据安全治理建设,是行业与企业需要考虑的问题。