企業(yè)數(shù)據(jù)安全管理體系建設(shè)“六步走”�����!
構(gòu)建數(shù)據(jù)安全保障體系需要理清如下思路:
首先����,需要明確《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》��、《個(gè)人信息保護(hù)法》以及“等保2.0”之間的關(guān)系����。這幾者是關(guān)聯(lián)關(guān)系���,即在保證網(wǎng)絡(luò)安全的前提下,覆蓋數(shù)據(jù)安全及個(gè)人信息安全�����,在行業(yè)領(lǐng)域建設(shè)相關(guān)安全體系時(shí)���,特別涉及到關(guān)鍵信息基礎(chǔ)設(shè)施時(shí)�,必須要遵從“等保2.0”相關(guān)規(guī)范���。在關(guān)聯(lián)性基礎(chǔ)之上���,建設(shè)單位需要結(jié)合具體場(chǎng)景�、行業(yè)特性、數(shù)據(jù)屬性量等����,綜合判斷自身業(yè)務(wù)特點(diǎn)應(yīng)該參照哪一部或哪幾部法律法規(guī)。
其次��,數(shù)據(jù)安全保障體系建設(shè)需要明確“技術(shù)”與“管理”并重思路,把“技術(shù)”作為“管理”的延續(xù)����,即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標(biāo),借助豐富的數(shù)據(jù)安全監(jiān)測(cè)手段以及快速響應(yīng)機(jī)制等����,通過技術(shù)手段的不斷進(jìn)步逐一落實(shí)數(shù)據(jù)安全管理目標(biāo)。
數(shù)據(jù)安全保障體系六步走���,共分為數(shù)據(jù)安全治理評(píng)估����、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)����、數(shù)據(jù)安全管理制度建設(shè)、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)�、數(shù)據(jù)安全運(yùn)營(yíng)管控建設(shè)、數(shù)據(jù)安全監(jiān)管建設(shè)���。
01 數(shù)據(jù)安全治理評(píng)估
區(qū)別于合規(guī)要求的網(wǎng)絡(luò)安全建設(shè)���,數(shù)據(jù)安全保障體系應(yīng)建立在事實(shí)依據(jù)的基礎(chǔ)上�,才能對(duì)自身業(yè)務(wù)最核心的數(shù)據(jù)安全風(fēng)險(xiǎn)采取技防監(jiān)測(cè)���、控制手段解決���,所以第一步,即開展數(shù)據(jù)風(fēng)險(xiǎn)發(fā)現(xiàn)過程-數(shù)據(jù)安全治理評(píng)估�。 
通過數(shù)據(jù)安全治理專家團(tuán)隊(duì),從業(yè)務(wù)視角出發(fā)�����,對(duì)業(yè)務(wù)應(yīng)用的現(xiàn)狀��、使用情況進(jìn)行調(diào)研����、分析,確定業(yè)務(wù)的關(guān)聯(lián)關(guān)系�����、訪問的關(guān)鍵路徑����、數(shù)據(jù)的流向及演變過程,結(jié)合對(duì)基礎(chǔ)安全管控措施的分析�,找出主要業(yè)務(wù)所面臨的管理、技術(shù)及運(yùn)營(yíng)風(fēng)險(xiǎn)�����。其次��,集合多個(gè)業(yè)務(wù)系統(tǒng)的調(diào)研結(jié)果�����,找出系統(tǒng)間的共性問題���,為制定業(yè)務(wù)的數(shù)據(jù)安全管理規(guī)范提供第一手的參考依據(jù)���。針對(duì)業(yè)務(wù)各系統(tǒng)及數(shù)據(jù)資產(chǎn)全面開展評(píng)估梳理工作,形成《數(shù)據(jù)資產(chǎn)清單》���,明確相關(guān)平臺(tái)各系統(tǒng)的輸入輸出�,數(shù)據(jù)所在位置及其處理����、共享�����、交換等使用過程中數(shù)據(jù)重要度等內(nèi)容�。
基于業(yè)務(wù)場(chǎng)景梳理數(shù)據(jù)操作過程中的主體(人�、用戶、賬號(hào))���、客體(數(shù)據(jù))���、過程(操作的時(shí)域、地域�����、權(quán)限��、結(jié)果等)屬性;以角色控制為視角����,明確被審計(jì)用戶(賬號(hào))的類型、角色����,包括應(yīng)用程序所有者(業(yè)務(wù)賬號(hào))、應(yīng)用程序終端用戶(業(yè)務(wù)終端)����、數(shù)據(jù)管理賬戶(數(shù)據(jù)庫管理員)等;建立符合業(yè)務(wù)最小夠用的安全策略模型。
02 數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)
數(shù)據(jù)安全管理是一項(xiàng)需要多方聯(lián)動(dòng)型的復(fù)合型工作�����,在開展組織架構(gòu)建設(shè)時(shí)��,需要考慮組織層面實(shí)體的管理團(tuán)隊(duì)及執(zhí)行團(tuán)隊(duì)����,同時(shí)也要考慮虛擬的聯(lián)動(dòng)小組,所有部門均需要參與安全建設(shè)當(dāng)中�����。同時(shí)�����,需要根據(jù)部門職責(zé)建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設(shè)的需求����。
03 數(shù)據(jù)安全管理制度建設(shè)
前期的數(shù)據(jù)安全組織結(jié)構(gòu)體系建設(shè)為后續(xù)數(shù)據(jù)安全建設(shè)提供了角色支撐����,接下來需要從管理制度手段上進(jìn)行梳理����。數(shù)據(jù)安全保障體系的規(guī)范一般從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要及法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理�,最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)���、規(guī)范�����、程序等���。
一般情況下,數(shù)據(jù)安全管理規(guī)體系文件可分為四個(gè)層面:
一級(jí)文件是由決策層確定管理要求���、目標(biāo)及基本原則;二級(jí)文件是由管理層根據(jù)一級(jí)管理要求制定通用的管理辦法��、制度及標(biāo)準(zhǔn)����。
二級(jí)文件作為上層的管理要求,應(yīng)具備科學(xué)性����、合理性��、完善性及普遍的適用性;
三級(jí)文件一般由管理層���、執(zhí)行層根據(jù)二級(jí)管理辦法確定各業(yè)務(wù)�、各環(huán)節(jié)的具體操作指南����、規(guī)范;
四級(jí)文件屬于輔助文件,一般包括操作程序�����、工作計(jì)劃�����、資產(chǎn)清單����、過程記錄等過程性文檔��。
四級(jí)文件是對(duì)上層管理要求的細(xì)化解讀��,用于指導(dǎo)具體業(yè)務(wù)場(chǎng)景的具體工作���。
例如,數(shù)據(jù)安全分級(jí)指南的建設(shè)過程屬于數(shù)據(jù)安全管理制度建設(shè)中最為基礎(chǔ)的一環(huán)���,首先要從行業(yè)中找到參考的數(shù)據(jù)分類分級(jí)指南(若沒有�,可采用國(guó)標(biāo)等相關(guān)具備參考價(jià)值的指南)�����,其次結(jié)合自身業(yè)務(wù)實(shí)際情況���,對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行管理層面的分類分級(jí)流程����,最后基于自身的業(yè)務(wù)場(chǎng)景�����,形成自身的數(shù)據(jù)安全分級(jí)指南。
04 數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)
不同安全級(jí)別的數(shù)據(jù)�����,可參照數(shù)據(jù)生命周期的原則進(jìn)行數(shù)據(jù)安全應(yīng)用執(zhí)行���。具體保護(hù)要求及措施����,可參照國(guó)家相關(guān)法律�����、法規(guī)�����、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度��、規(guī)范�、標(biāo)準(zhǔn)執(zhí)行�����。
05 數(shù)據(jù)安全運(yùn)營(yíng)管控建設(shè)
數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性,需要進(jìn)行長(zhǎng)期性服務(wù)���,建立完善的數(shù)據(jù)安全運(yùn)營(yíng)團(tuán)隊(duì)是必然選擇���。數(shù)據(jù)安全運(yùn)營(yíng)主要包括以下內(nèi)容:
數(shù)據(jù)安全運(yùn)維:主要是數(shù)據(jù)安全措施的使用、運(yùn)維�,駐場(chǎng)或定期對(duì)數(shù)據(jù)安全產(chǎn)品的使用情況進(jìn)行分析,并結(jié)合管理要求�,持續(xù)進(jìn)行管控措施策略和配置的優(yōu)化,并定期輸出數(shù)據(jù)安全運(yùn)維報(bào)告和策略優(yōu)化建議等;
應(yīng)急預(yù)案與演練:按照相關(guān)要求���,制定數(shù)據(jù)安全事件應(yīng)急預(yù)案��。并按照制定的應(yīng)急規(guī)劃�,按照安全事件的危害程度��、影響范圍等對(duì)安全事件建分級(jí)����,定期進(jìn)行應(yīng)急預(yù)案演練;
監(jiān)測(cè)預(yù)警:圍繞數(shù)據(jù)安全目標(biāo),依據(jù)相關(guān)安全標(biāo)準(zhǔn)����,建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警和安全事件通報(bào)制度��,收集分析數(shù)據(jù)安全信息����,對(duì)安全風(fēng)險(xiǎn)及時(shí)上報(bào)����,包括按需發(fā)布數(shù)據(jù)安全監(jiān)測(cè)預(yù)警信息等;
應(yīng)急處置:相關(guān)方按照應(yīng)急預(yù)案,在發(fā)生安全事件時(shí)�,采取應(yīng)急處置措施,向主管部門上報(bào)重大安全事件��,定期對(duì)應(yīng)急預(yù)案和處置流程優(yōu)化完善;
災(zāi)難恢復(fù):在數(shù)據(jù)安全事件發(fā)生后���,根據(jù)安全事件的影響和優(yōu)先級(jí),采取合適的恢復(fù)措施�����,確保信息系統(tǒng)業(yè)務(wù)流程按照規(guī)劃目標(biāo)恢復(fù)����。
06 數(shù)據(jù)安全監(jiān)管
移動(dòng)互聯(lián)網(wǎng)時(shí)代下,數(shù)據(jù)承載的價(jià)值越來越高�,數(shù)據(jù)面臨巨大的威脅�,監(jiān)管部門出臺(tái)相關(guān)法律法規(guī)��,對(duì)數(shù)據(jù)從業(yè)者提出了相關(guān)要求�,也明確了監(jiān)管機(jī)構(gòu)的責(zé)任。公安機(jī)關(guān)作為監(jiān)管單位���,將依法履職盡責(zé)�����,對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)與風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全保護(hù)義務(wù)�、遵守國(guó)家核心數(shù)據(jù)管理制度���、向境外提供重要數(shù)據(jù)�����、配合公安機(jī)關(guān)開展數(shù)據(jù)調(diào)取���、向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)等行為依法開展監(jiān)督管理。
