來源：談數(shù)據(jù)

導(dǎo)讀：當(dāng)前，全球數(shù)字化轉(zhuǎn)型正在以爆發(fā)性速度快速發(fā)展，數(shù)據(jù)作為數(shù)字化的核心已經(jīng)成為新時代的核心生產(chǎn)要素之一。9月1日《數(shù)據(jù)安全法》正式施行，如何做數(shù)據(jù)安全建設(shè)成為當(dāng)前各行業(yè)負(fù)責(zé)人最為關(guān)心、關(guān)注的問題。本文提出數(shù)據(jù)安全保障體系“六步走”建設(shè)思路，旨在為客戶數(shù)據(jù)安全建設(shè)提供體系化思路及參考。

構(gòu)建數(shù)據(jù)安全保障體系需要厘清如下思路：

首先，需要明確《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》、《個人信息保護(hù)法》以及“等保2.0”之間的關(guān)系。這幾者是關(guān)聯(lián)關(guān)系，即在保證網(wǎng)絡(luò)安全的前提下，覆蓋數(shù)據(jù)安全及個人信息安全，在行業(yè)領(lǐng)域建設(shè)相關(guān)安全體系時，特別涉及到關(guān)鍵信息基礎(chǔ)設(shè)施時，必須要遵從“等保2.0”相關(guān)規(guī)范。在關(guān)聯(lián)性基礎(chǔ)之上，建設(shè)單位需要結(jié)合具體場景、行業(yè)特性、數(shù)據(jù)屬性量等，綜合判斷自身業(yè)務(wù)特點應(yīng)該參照哪一部或哪幾部法律法規(guī)。

其次，數(shù)據(jù)安全保障體系建設(shè)需要明確“技術(shù)”與“管理”并重思路，把“技術(shù)”作為“管理”的延續(xù)，即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標(biāo)，借助豐富的數(shù)據(jù)安全監(jiān)測手段以及快速響應(yīng)機制等，通過技術(shù)手段的不斷進(jìn)步逐一落實數(shù)據(jù)安全管理目標(biāo)。

數(shù)據(jù)安全保障體系六步走，共分為數(shù)據(jù)安全治理評估、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)、數(shù)據(jù)安全管理制度建設(shè)、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)、數(shù)據(jù)安全運營管控建設(shè)、數(shù)據(jù)安全監(jiān)管建設(shè)。

01??數(shù)據(jù)安全治理評估

區(qū)別于合規(guī)要求的網(wǎng)絡(luò)安全建設(shè)，數(shù)據(jù)安全保障體系應(yīng)建立在事實依據(jù)的基礎(chǔ)上，才能對自身業(yè)務(wù)最核心的數(shù)據(jù)安全風(fēng)險采取技防監(jiān)測、控制手段解決，所以第一步，即開展數(shù)據(jù)風(fēng)險發(fā)現(xiàn)過程-數(shù)據(jù)安全治理評估。

PS：數(shù)據(jù)安全治理的九大要素

通過數(shù)據(jù)安全治理專家團(tuán)隊，從業(yè)務(wù)視角出發(fā)，對業(yè)務(wù)應(yīng)用的現(xiàn)狀、使用情況進(jìn)行調(diào)研、分析，確定業(yè)務(wù)的關(guān)聯(lián)關(guān)系、訪問的關(guān)鍵路徑、數(shù)據(jù)的流向及演變過程，結(jié)合對基礎(chǔ)安全管控措施的分析，找出主要業(yè)務(wù)所面臨的管理、技術(shù)及運營風(fēng)險。其次，集合多個業(yè)務(wù)系統(tǒng)的調(diào)研結(jié)果，找出系統(tǒng)間的共性問題，為制定業(yè)務(wù)的數(shù)據(jù)安全管理規(guī)范提供第一手的參考依據(jù)。針對業(yè)務(wù)各系統(tǒng)及數(shù)據(jù)資產(chǎn)全面開展評估梳理工作，形成《數(shù)據(jù)資產(chǎn)清單》，明確相關(guān)平臺各系統(tǒng)的輸入輸出，數(shù)據(jù)所在位置及其處理、共享、交換等使用過程中數(shù)據(jù)重要度等內(nèi)容。

基于業(yè)務(wù)場景梳理數(shù)據(jù)操作過程中的主體（人、用戶、賬號）、客體（數(shù)據(jù)）、過程（操作的時域、地域、權(quán)限、結(jié)果等）屬性；以角色控制為視角，明確被審計用戶（賬號）的類型、角色，包括應(yīng)用程序所有者（業(yè)務(wù)賬號）、應(yīng)用程序終端用戶（業(yè)務(wù)終端）、數(shù)據(jù)管理賬戶（數(shù)據(jù)庫管理員）等；建立符合業(yè)務(wù)最小夠用的安全策略模型。

02?數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)

數(shù)據(jù)安全管理是一項需要多方聯(lián)動型的復(fù)合型工作，在開展組織架構(gòu)建設(shè)時，需要考慮組織層面實體的管理團(tuán)隊及執(zhí)行團(tuán)隊，同時也要考慮虛擬的聯(lián)動小組，所有部門均需要參與安全建設(shè)當(dāng)中。同時，需要根據(jù)部門職責(zé)建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設(shè)的需求。

03??數(shù)據(jù)安全管理制度建設(shè)?

前期的數(shù)據(jù)安全組織結(jié)構(gòu)體系建設(shè)為后續(xù)數(shù)據(jù)安全建設(shè)提供了角色支撐，接下來需要從管理制度手段上進(jìn)行梳理。數(shù)據(jù)安全保障體系的規(guī)范一般從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險控制需要及法律法規(guī)合規(guī)性要求等幾個方面進(jìn)行梳理，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。

一般情況下，數(shù)據(jù)安全管理規(guī)體系文件可分為四個層面：

一級文件是由決策層確定管理要求、目標(biāo)及基本原則；

二級文件是由管理層根據(jù)一級管理要求制定通用的管理辦法、制度及標(biāo)準(zhǔn)。二級文件作為上層的管理要求，應(yīng)具備科學(xué)性、合理性、完善性及普遍的適用性；

三級文件一般由管理層、執(zhí)行層根據(jù)二級管理辦法確定各業(yè)務(wù)、各環(huán)節(jié)的具體操作指南、規(guī)范；

四級文件屬于輔助文件，一般包括操作程序、工作計劃、資產(chǎn)清單、過程記錄等過程性文檔。四級文件是對上層管理要求的細(xì)化解讀，用于指導(dǎo)具體業(yè)務(wù)場景的具體工作。

例如，數(shù)據(jù)安全分級指南的建設(shè)過程屬于數(shù)據(jù)安全管理制度建設(shè)中最為基礎(chǔ)的一環(huán)，首先要從行業(yè)中找到參考的數(shù)據(jù)分類分級指南（若沒有，可采用國標(biāo)等相關(guān)具備參考價值的指南），其次結(jié)合自身業(yè)務(wù)實際情況，對業(yè)務(wù)數(shù)據(jù)進(jìn)行管理層面的分類分級流程，最后基于自身的業(yè)務(wù)場景，形成自身的數(shù)據(jù)安全分級指南。

04?數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)

不同安全級別的數(shù)據(jù)，可參照數(shù)據(jù)生命周期的原則進(jìn)行數(shù)據(jù)安全應(yīng)用執(zhí)行。具體保護(hù)要求及措施，可參照國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標(biāo)準(zhǔn)執(zhí)行。

05 數(shù)據(jù)安全運營管控建設(shè)

數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性，需要進(jìn)行長期性服務(wù)，建立完善的數(shù)據(jù)安全運營團(tuán)隊是必然選擇。數(shù)據(jù)安全運營主要包括以下內(nèi)容：

數(shù)據(jù)安全運維：主要是數(shù)據(jù)安全措施的使用、運維，駐場或定期對數(shù)據(jù)安全產(chǎn)品的使用情況進(jìn)行分析，并結(jié)合管理要求，持續(xù)進(jìn)行管控措施策略和配置的優(yōu)化，并定期輸出數(shù)據(jù)安全運維報告和策略優(yōu)化建議等；

應(yīng)急預(yù)案與演練：按照相關(guān)要求，制定數(shù)據(jù)安全事件應(yīng)急預(yù)案。并按照制定的應(yīng)急規(guī)劃，按照安全事件的危害程度、影響范圍等對安全事件建分級，定期進(jìn)行應(yīng)急預(yù)案演練；

監(jiān)測預(yù)警：圍繞數(shù)據(jù)安全目標(biāo)，依據(jù)相關(guān)安全標(biāo)準(zhǔn)，建立數(shù)據(jù)安全監(jiān)測預(yù)警和安全事件通報制度，收集分析數(shù)據(jù)安全信息，對安全風(fēng)險及時上報，包括按需發(fā)布數(shù)據(jù)安全監(jiān)測預(yù)警信息等；

應(yīng)急處置：相關(guān)方按照應(yīng)急預(yù)案，在發(fā)生安全事件時，采取應(yīng)急處置措施，向主管部門上報重大安全事件，定期對應(yīng)急預(yù)案和處置流程優(yōu)化完善；

災(zāi)難恢復(fù)：在數(shù)據(jù)安全事件發(fā)生后，根據(jù)安全事件的影響和優(yōu)先級，采取合適的恢復(fù)措施，確保信息系統(tǒng)業(yè)務(wù)流程按照規(guī)劃目標(biāo)恢復(fù)。

06 數(shù)據(jù)安全監(jiān)管

移動互聯(lián)網(wǎng)時代下，數(shù)據(jù)承載的價值越來越高，數(shù)據(jù)面臨巨大的威脅，監(jiān)管部門出臺相關(guān)法律法規(guī)，對數(shù)據(jù)從業(yè)者提出了相關(guān)要求，也明確了監(jiān)管機構(gòu)的責(zé)任。公安機關(guān)作為監(jiān)管單位，將依法履職盡責(zé)，對數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險監(jiān)測與風(fēng)險評估等數(shù)據(jù)安全保護(hù)義務(wù)、遵守國家核心數(shù)據(jù)管理制度、向境外提供重要數(shù)據(jù)、配合公安機關(guān)開展數(shù)據(jù)調(diào)取、向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)等行為依法開展監(jiān)督管理。

免責(zé)聲明：
本公眾號所有分享的軟件和資料來自網(wǎng)絡(luò)收集和整理，所有文字和圖片版權(quán)歸屬于原作者所有，且僅代表作者個人觀點，與數(shù)據(jù)工匠俱樂部無關(guān)，文章僅供讀者學(xué)習(xí)交流使用，并請自行核實相關(guān)內(nèi)容，如文章內(nèi)容涉及侵權(quán)，請聯(lián)系后臺管理員刪除

(歡迎大家加入數(shù)據(jù)工匠知識星球獲取更多資訊。)

聯(lián)系我們

掃描二維碼關(guān)注我們

微信：SZH9543

郵箱：[email protected]

QQ：2286075659

企業(yè)數(shù)據(jù)安全管理體系建設(shè)“六步走”！