企業(yè)數(shù)據(jù)安全管理體系建設(shè)“六步走”��!
構(gòu)建數(shù)據(jù)安全保障體系需要理清如下思路:
首先����,需要明確《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》����、《個(gè)人信息保護(hù)法》以及“等保2.0”之間的關(guān)系����。這幾者是關(guān)聯(lián)關(guān)系����,即在保證網(wǎng)絡(luò)安全的前提下,覆蓋數(shù)據(jù)安全及個(gè)人信息安全��,在行業(yè)領(lǐng)域建設(shè)相關(guān)安全體系時(shí)��,特別涉及到關(guān)鍵信息基礎(chǔ)設(shè)施時(shí)�,必須要遵從“等保2.0”相關(guān)規(guī)范。在關(guān)聯(lián)性基礎(chǔ)之上��,建設(shè)單位需要結(jié)合具體場景����、行業(yè)特性、數(shù)據(jù)屬性量等�,綜合判斷自身業(yè)務(wù)特點(diǎn)應(yīng)該參照哪一部或哪幾部法律法規(guī)��。
其次�,數(shù)據(jù)安全保障體系建設(shè)需要明確“技術(shù)”與“管理”并重思路����,把“技術(shù)”作為“管理”的延續(xù),即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標(biāo)�����,借助豐富的數(shù)據(jù)安全監(jiān)測手段以及快速響應(yīng)機(jī)制等����,通過技術(shù)手段的不斷進(jìn)步逐一落實(shí)數(shù)據(jù)安全管理目標(biāo)。
數(shù)據(jù)安全保障體系六步走���,共分為數(shù)據(jù)安全治理評估��、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)��、數(shù)據(jù)安全管理制度建設(shè)�、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)����、數(shù)據(jù)安全運(yùn)營管控建設(shè)��、數(shù)據(jù)安全監(jiān)管建設(shè)�����。
01 數(shù)據(jù)安全治理評估
區(qū)別于合規(guī)要求的網(wǎng)絡(luò)安全建設(shè)�,數(shù)據(jù)安全保障體系應(yīng)建立在事實(shí)依據(jù)的基礎(chǔ)上��,才能對自身業(yè)務(wù)最核心的數(shù)據(jù)安全風(fēng)險(xiǎn)采取技防監(jiān)測�、控制手段解決��,所以第一步�,即開展數(shù)據(jù)風(fēng)險(xiǎn)發(fā)現(xiàn)過程-數(shù)據(jù)安全治理評估。 
通過數(shù)據(jù)安全治理專家團(tuán)隊(duì)��,從業(yè)務(wù)視角出發(fā)�����,對業(yè)務(wù)應(yīng)用的現(xiàn)狀���、使用情況進(jìn)行調(diào)研��、分析��,確定業(yè)務(wù)的關(guān)聯(lián)關(guān)系����、訪問的關(guān)鍵路徑、數(shù)據(jù)的流向及演變過程�����,結(jié)合對基礎(chǔ)安全管控措施的分析�����,找出主要業(yè)務(wù)所面臨的管理�、技術(shù)及運(yùn)營風(fēng)險(xiǎn)。其次����,集合多個(gè)業(yè)務(wù)系統(tǒng)的調(diào)研結(jié)果,找出系統(tǒng)間的共性問題��,為制定業(yè)務(wù)的數(shù)據(jù)安全管理規(guī)范提供第一手的參考依據(jù)��。針對業(yè)務(wù)各系統(tǒng)及數(shù)據(jù)資產(chǎn)全面開展評估梳理工作����,形成《數(shù)據(jù)資產(chǎn)清單》����,明確相關(guān)平臺各系統(tǒng)的輸入輸出�,數(shù)據(jù)所在位置及其處理、共享�����、交換等使用過程中數(shù)據(jù)重要度等內(nèi)容��。
基于業(yè)務(wù)場景梳理數(shù)據(jù)操作過程中的主體(人��、用戶��、賬號)����、客體(數(shù)據(jù))����、過程(操作的時(shí)域、地域�、權(quán)限、結(jié)果等)屬性;以角色控制為視角,明確被審計(jì)用戶(賬號)的類型���、角色��,包括應(yīng)用程序所有者(業(yè)務(wù)賬號)�、應(yīng)用程序終端用戶(業(yè)務(wù)終端)�、數(shù)據(jù)管理賬戶(數(shù)據(jù)庫管理員)等;建立符合業(yè)務(wù)最小夠用的安全策略模型。
02 數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)
數(shù)據(jù)安全管理是一項(xiàng)需要多方聯(lián)動(dòng)型的復(fù)合型工作��,在開展組織架構(gòu)建設(shè)時(shí)�,需要考慮組織層面實(shí)體的管理團(tuán)隊(duì)及執(zhí)行團(tuán)隊(duì),同時(shí)也要考慮虛擬的聯(lián)動(dòng)小組�,所有部門均需要參與安全建設(shè)當(dāng)中。同時(shí)��,需要根據(jù)部門職責(zé)建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設(shè)的需求��。
03 數(shù)據(jù)安全管理制度建設(shè)
前期的數(shù)據(jù)安全組織結(jié)構(gòu)體系建設(shè)為后續(xù)數(shù)據(jù)安全建設(shè)提供了角色支撐��,接下來需要從管理制度手段上進(jìn)行梳理��。數(shù)據(jù)安全保障體系的規(guī)范一般從業(yè)務(wù)數(shù)據(jù)安全需求��、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要及法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理�,最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)�、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等����。
一般情況下����,數(shù)據(jù)安全管理規(guī)體系文件可分為四個(gè)層面:
一級文件是由決策層確定管理要求、目標(biāo)及基本原則;二級文件是由管理層根據(jù)一級管理要求制定通用的管理辦法�、制度及標(biāo)準(zhǔn)。
二級文件作為上層的管理要求����,應(yīng)具備科學(xué)性、合理性��、完善性及普遍的適用性;
三級文件一般由管理層���、執(zhí)行層根據(jù)二級管理辦法確定各業(yè)務(wù)、各環(huán)節(jié)的具體操作指南���、規(guī)范;
四級文件屬于輔助文件���,一般包括操作程序�、工作計(jì)劃��、資產(chǎn)清單��、過程記錄等過程性文檔��。
四級文件是對上層管理要求的細(xì)化解讀�����,用于指導(dǎo)具體業(yè)務(wù)場景的具體工作�����。
例如���,數(shù)據(jù)安全分級指南的建設(shè)過程屬于數(shù)據(jù)安全管理制度建設(shè)中最為基礎(chǔ)的一環(huán)��,首先要從行業(yè)中找到參考的數(shù)據(jù)分類分級指南(若沒有����,可采用國標(biāo)等相關(guān)具備參考價(jià)值的指南)�,其次結(jié)合自身業(yè)務(wù)實(shí)際情況,對業(yè)務(wù)數(shù)據(jù)進(jìn)行管理層面的分類分級流程����,最后基于自身的業(yè)務(wù)場景���,形成自身的數(shù)據(jù)安全分級指南。
04 數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)
不同安全級別的數(shù)據(jù)�,可參照數(shù)據(jù)生命周期的原則進(jìn)行數(shù)據(jù)安全應(yīng)用執(zhí)行。具體保護(hù)要求及措施��,可參照國家相關(guān)法律�����、法規(guī)�����、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度�、規(guī)范、標(biāo)準(zhǔn)執(zhí)行�����。
05 數(shù)據(jù)安全運(yùn)營管控建設(shè)
數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性���,需要進(jìn)行長期性服務(wù)���,建立完善的數(shù)據(jù)安全運(yùn)營團(tuán)隊(duì)是必然選擇。數(shù)據(jù)安全運(yùn)營主要包括以下內(nèi)容:
數(shù)據(jù)安全運(yùn)維:主要是數(shù)據(jù)安全措施的使用�����、運(yùn)維�����,駐場或定期對數(shù)據(jù)安全產(chǎn)品的使用情況進(jìn)行分析�����,并結(jié)合管理要求�����,持續(xù)進(jìn)行管控措施策略和配置的優(yōu)化���,并定期輸出數(shù)據(jù)安全運(yùn)維報(bào)告和策略優(yōu)化建議等;
應(yīng)急預(yù)案與演練:按照相關(guān)要求�,制定數(shù)據(jù)安全事件應(yīng)急預(yù)案�。并按照制定的應(yīng)急規(guī)劃,按照安全事件的危害程度���、影響范圍等對安全事件建分級�,定期進(jìn)行應(yīng)急預(yù)案演練;
監(jiān)測預(yù)警:圍繞數(shù)據(jù)安全目標(biāo),依據(jù)相關(guān)安全標(biāo)準(zhǔn)����,建立數(shù)據(jù)安全監(jiān)測預(yù)警和安全事件通報(bào)制度,收集分析數(shù)據(jù)安全信息�����,對安全風(fēng)險(xiǎn)及時(shí)上報(bào)���,包括按需發(fā)布數(shù)據(jù)安全監(jiān)測預(yù)警信息等;
應(yīng)急處置:相關(guān)方按照應(yīng)急預(yù)案�,在發(fā)生安全事件時(shí)���,采取應(yīng)急處置措施�����,向主管部門上報(bào)重大安全事件��,定期對應(yīng)急預(yù)案和處置流程優(yōu)化完善;
災(zāi)難恢復(fù):在數(shù)據(jù)安全事件發(fā)生后����,根據(jù)安全事件的影響和優(yōu)先級��,采取合適的恢復(fù)措施�,確保信息系統(tǒng)業(yè)務(wù)流程按照規(guī)劃目標(biāo)恢復(fù)。
06 數(shù)據(jù)安全監(jiān)管
移動(dòng)互聯(lián)網(wǎng)時(shí)代下����,數(shù)據(jù)承載的價(jià)值越來越高,數(shù)據(jù)面臨巨大的威脅�����,監(jiān)管部門出臺相關(guān)法律法規(guī)����,對數(shù)據(jù)從業(yè)者提出了相關(guān)要求,也明確了監(jiān)管機(jī)構(gòu)的責(zé)任����。公安機(jī)關(guān)作為監(jiān)管單位,將依法履職盡責(zé)���,對數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測與風(fēng)險(xiǎn)評估等數(shù)據(jù)安全保護(hù)義務(wù)��、遵守國家核心數(shù)據(jù)管理制度��、向境外提供重要數(shù)據(jù)�����、配合公安機(jī)關(guān)開展數(shù)據(jù)調(diào)取�、向外國司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)等行為依法開展監(jiān)督管理。
