国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》
2024-12-20
全球数据跨境流动合作倡议
2024-11-22
世界互联网大会|美创数据库保险箱(DBSafe)发布!
2024-11-21
世界互联网大会|美创数据认知与分类分级系统(AICogniSort)重磅发布!
2024-11-21
美创案例|盐城公积金管理中心数据安全创新实践
2024-11-15
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务2019年,党的十九届四中全会首次把数据列为第五大生产要素,此后,国家层面出台了一系列政策,加快构建全国数据要素统一市场,尤其是2022年12月中共中央、国务院印发的《关于构建数据基础制度更好发挥数据作用的意见》(简称“数据二十条”),为充分发挥数据要素价值提出了明确的发展方向和实施路径。2022年,我国数字经济规模达到50.2万亿,数字经济占GDP比重达到41.5%,这一比重相当于第二产业占国民经济的比重(来源:中国信息通信研究院发布的《中国数字经济发展研究报告》(2023年))。
然而,随着《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施保护条例》等法律法规的颁布,对数据安全保护的要求在逐年加大。如何做到对数据保护的同时利用数据促进经济发展,做到数字经济发展与数据安全保护平衡,是一个需要广泛实践和探讨的课题。
基于数据分类分级的
数据安全保护现状分析
国家在数据安全保护方面的政策中提及的比较突出的一项就是要对数据实行分类分级保护,加强对重要数据的保护,对核心数据要实行更加严格的管理制度。数据分类分级工作的重要性已经成为共识,各行业组织机构纷纷出台数据分类分级工作的指导性文件。
在政务行业,贵州、上海、浙江、四川等省市都出台了适合本地的政务数据分类分级指南,力求通过对政务数据的分类分级工作,夯实数据安全保障基础,促进政务数据共享和开放,让数据在安全可控的环境下进行流通,更好地服务公众,造福人民。
在金融、医疗行业也出台了相关的行业分类分级标准,在主管部门已有指导文件的基础上,下级机构深入细化,制定符合本地实际的数据分类分级规范。
在电信运营商、铁路、电力、教育、电网、人社、医保等行业也都积极出台指引性文件,指导本行业实施分类分级工作。
但在以数据分类分级为基础的数据安全保护实践过程中,依然面临不少挑战。最突出的一点就是以数据分类分级为基础的数据安全体系建设滞后。数据分类分级工作与数据安全保护工作脱节,以数据分类分级为基础的数据安全体系建设普遍滞后或不健全,没有形成整体的数据安全体系规划顶层设计,数据全生命周期安全管控措施缺失,缺少动态可监测的运营保障机制,没有形成有效的闭环机制。
基于数据分类分级的
数据安全保护需要多方位探索,综合化、体系化地构建数据防护体系。通过多行业不同类型客户的相关实施经验,总结得出组织在利用数据分类分级成果建立有效的数据安全体系过程中,可以从以下几方面入手建立切实有效的数据防护体系。
数据安全防护体系建设路径
在对数据做安全保护措施前,应该要知道目前有哪些数据,以及这些数据在使用过程中会遇到哪些安全风险,做到“知风险”与“行安全”的辩证统一。
首先,要摸清家底,对数据进行分类分级。厘清数据现状,形成有序清晰的数据资源列表,能够全面直观地知道组织有哪些数据、数据在哪里、数据体量、主要负责部门/负责人、数据使用情况等内容,为数据分类分级打好基础。
通过数据的业务属性和安全属性认知数据的价值和风险,对数据进行分类和定级,这是数据安全保护的前提,基于分类分级的成果,才能更准确地对不同类型、不同安全等级的数据设置不同的安全保护策略。
其次,对数据进行风险识别,精准把脉。从基础环境风险、合规风险、数据安全现有能力评估等维度进行数据风险识别。对现有数据资产风险有了清晰的认知,才能更好地给出风险处置建议及安全保障体系建设规划指导。
数据安全保护措施不仅体现在安全技术能力建设的硬实力上,也包括建立自上而下的管理体系这种软实力。对数据做好分类分级工作后,要围绕数据生命周期(采集、传输、存储、处理、交换、销毁)形成以融合型组织、制度为基础的保障体系。
从数据管理制度、技术制度、安全检查制度等维度出发,综合考虑不同安全等级的数据在不同的生命周期过程中应具备的安全管理能力。如设立数据管理员或数据保护官(DPO)角色,负责数据安全的日常管理和监督;制定数据安全事件应急响应计划,以便在发生数据泄露或其他安全事件时迅速应对。对于安全等级较低的数据,可以实施基本的数据安全管理措施,保障数据的可用性、完整性;对于安全等级较高的数据,可以实施较严格的管理措施,且数据只能由被授权的人员访问,对外共享的数据需满足相关要求。保障数据的可用性、完整性和保密性。
数据安全保障体系包含技术保障和运营保障两方面。
在数据分类分级实施成果及“知风险”的基础上,建立全方位的数据安全技术能力。基于数据分类分级结果,以联动策略为牵引,建立以风险管理为导向的全域、动态的安全联动防御机制。
以数据分类分级为基础,基于分类分级的结果,通过与数据安全管理平台等形成联动策略,数据安全常态化监测和智能风险预警,全面提升数据安全防护能力,构建围绕数据全生命周期各环节的安全技术防护体系,从而实现企业数据安全全域统管、全局可控。形成从终端域、网络域、运维域、业务域、数据域、管理域的全域数据安全技术保障。
联动的全域安全技术能力
同时,建立安全长效的运营体系是强化安全保护的基础。通过数据安全运营,保障数据安全能力的持续更新,可以根据新的威胁、技术和业务需求不断更新数据分类分级和安全保护策略。
数据安全文化建设及安全方面的培训也是不可忽视的内容。组织要在业务发展、数据利用的过程中建立数据安全文化,鼓励员工提高数据安全保护意识、积极参与数据保护。要对不同的岗位、不同级别的人员制定数据安全培训计划,定期开展数据安全培训。从安全培训计划、安全培训教材管理、安全培训实施、安全培训考核、安全培训归档等维度建立培训体系。
数据安全保护工作需要具有全局的视角,多方、综合、差异化地对数据进行保护。从发现问题、制定计划(现状分析)→需求分析、解决问题(安全体系建设)→检查验证、评估效果(成效评估)→固定成绩、问题总结(优化完善)的路径形成有效的数据保护体系。在实践的过程中,要从组织自身实际发展状况和需求出发,逐步建立和完善安全保护体系建设,要具备可动态、敏捷调整的能力,保障安全体系的有效性。
保护并不是限制,要以保护促发展,在安全可靠的环境下推动数字经济的发展,让数据创造更多的经济效益和社会效益。
本文刊登于由工信部主管的《数字经济》杂志
作者:美创数据安全治理咨询专家顾问 闻云霞