近年来,随着国家大数据发展战略加快实施,大数据技术创新与应用日趋活跃,产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据,成为数字经济发展的关键生产要素。与此同时,数据过度采集滥用、非法交易及用户数据泄露等数据安全问题日益凸显,做好电信和互联网行业(以下简称行业)网络数据安全管理尤为迫切。
用户在建设、运营重要业务系统时,应首先进行数据安全治理风险评估,坚持“先评估、后治理”的原则。通过安全评估流程,并在充分考虑咨询评估意见的基础上作出决策,可为后续数据安全治理执行维度建设和场景维度建设提供支撑。
数据安全评估作为数据安全治理体系的监督层,具有对治理层、管理层、执行层监督、审计和评价的作用。将数据安全合规性评估作为企业数据安全管理的重要内容和抓手,开展企业整体数据安全保护水平评估并形成评估报告。
如上图,数据安全评估作为一个重要抓手起到了推动和指导数据安全体系建设的作用。
评估流程
建立评估对象、调研评估、风险处理和评估决策是数据安全风险评估的4个基本步骤:
1)建立评估对象阶段:确立数据安全评估依据的法律法规和技术规范,确定据安全风险评估的对象和范围,对涉及业务数据的数据库、服务器、文档等进行相关信息的调查分析,并准备数据风险管理的实施。
2)风险评估阶段:根据数据安全风险评估的范围识别数据资产,分析业务系统数据所面临的威胁以及脆弱性,结合采用数据安全控制措施,在技术和管理两个层面对业务系统数据所面临的风险进行综合判断,并对风险评估结果进行等级划分。
3)风险处置阶段:综合考虑风险控制的成本和风险造成的影响,从技术、组织和管理。层面分析业务系统数据的安全需求,提出实际可行的数据安全措施。明确业务系统数据可接受的风险程度,采取接受、降低、规避或转移等控制措施。
4)实施及后评估阶段:包括处置实施和持续监督两部分。依据评估的结果完善安全治理体系。数据安全管理责任部门对业务部门、业务系统、业务数据相关环境的变化进行持续监督,判断能否满足业务系统数据的安全要求。
评估规划与准备
作为风险管理的起点,安全风险评估对于了解安全现状。明确安全目标,制定安全对策都具有至关重要的意义。
面向业务数据风险评估的实施过程如下图所示:
数据安全治理评估服务人员(以下简称评估服务人员)结合业务对象进行分类,对业务数据进行梳理、业务威胁进行识别、脆弱性识别,并通过国家相关信息安全评估标准,计算风险生成评估结果。根据风险计算结果针对业务数据安全能力出具治理评估报告和安全治理建议,从而帮助用户建立近些年的业务数据治理安全能力整体规划。
在此应建立面向业务风险评估方法将各类业务系统中的数据直接作为安全评估对象,通过开展各类调查对业务系统数据风险做出评价。
确立评估对象
数据安全风险评估建设需要以业务数据为核心的数据安全治理框架,在框架建立过程中以业务数据安全能力咨询评估为基础、设计出业务数据安全治理总体规划,并建立以数据分类分级方法论,建立以数据分类分级、数据管控、数据行为审计等角度的主动防御措施,落实国家相应的法律、标准和规范要求,严格保障用户业务数据的安全合规使用。
调研评估
数据安全风险评估实施团队由用户和我方共同组建,数据安全风险评估小组由用户相关决策层、数据安全责任部门及我方组成,并由相关专业技术专家和技术骨干组成专家组。
数据安全风险评估小组完成评估前表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理规定,编制应急预案等。
风险评估与整改建议
通过分析评估数据,充分考虑数据资产风险利用难易程度以及对业务的影响情况,对安全漏洞进行风险等级评估。当评估服务方获得风险内容及风险等级后,通过数据安全治理分析模型输出风险评估报告,报告内容包含该风险对单位、业务、系统及数据的影响范围、影响程度,并依据国家的法规标准形成风险评估结论。安全整改建议根据业务数据安全风险的严重程度、加固措施难易程度、所投入人员力量及资金成本等因素综合考虑。
治理体系建设与实施
当完成了风险的发现与分析后,就需要进行治理体系的建设与实施:
· 制度体系设计
为便于管理,制度需要按照体系化的方式进行建设,可以参考《数据安全建设指南-2013数据安全治理体系要求》,将制度分为四级,如下图所示:
一级文件为方针政策、二级文件为制度规范、三级文件为操作明细、四级文件为基础模板。除一级文件外,其它级别的文件在制定的时候具有唯一上级,同级文档内容不能重复,最终形成树状结构。
·数据安全治理体系设计
数据安全治理强调的是技术能力的运用,而不是产品的堆积和平台的建设,具有良好的灵活性,目标是将数据安全技术融入到数据使用场景中。
实施部署
根据管理体系和技术体系的设计框架,结合用户数据安全落地管控的各类技术手段和产品,开展实施部署。
协助用户在实施后融入到日常安全运维中,指导安全运维体系的补充。
服务特色及亮点
·结合业务场景的评估
在数据安全评估服务中应对数据全生命周期中各阶段使用情况进行完整分析评估,在实际评估过程中可根据用户单位在生产工作中的实际使用场景对数据流转进行观察检测,结合资产、数据、用户、权限分析,梳理敏感数据的使用场景。例如,可以根据敏感数据对使用者的必要性快速识别出敏感数据的使用是否满足最小化使用原则。
·利用大数据技术审计检测数据
通过对各类技术检测工具的灵活运用,并将各类检测数据采集、汇聚、整理、分析可以发现不易察觉的风险点。在数据审计过程中运营大数据分析的方法可运用单一技术检测工具无法实现的安全审计策略。
·重视安全制度建设
在数据安全评估及后续的数据安全治理中,安全管理制度是不可轻视的环节。数据安全风险中人为风险所占的因素常常超过技术层面的缺陷,所以良好的日常管理的治理效果远胜单一的安全监控工具。在数据安全评估过程中对管理运营制度应予以重视。
作者:北京东方通网信科技有限公司
来源:天翼网信安全产业联盟2021年工作动态(第二期)
推荐阅读
东方通邀您参与openEuler Summit 2021 -操作系统产业峰会生态伙伴分论坛
关于东方通
东方通(股票代码:300379),是国内A股上市的基础软件厂商,以“安全+”和 “数据+”两大产品体系为基础,为客户提供综合解决方案及服务,是国内领先的大安全及行业信息化产品、解决方案提供商。
东方通现拥有东方通网信、泰策科技等全资子公司,面向企业和社会的数字化转型与升级,提供基础软件、信息安全、网络安全、数据安全、通信安全、智慧应急、5G创新应用、工业互联网安全及社会治理等产品和解决方案,帮助用户实现业务创新、安全管控和数据的共享与价值挖掘等。
东方通的产品及解决方案广泛应用于国内数千个行业业务,服务电信、金融、政府、能源、交通等行业领域5000多家企业级用户,与2000多家合作伙伴携手打造合作共赢的产业生态。东方通连续十二年被认定为“国家规划布局内重点软件企业”,承担多项国家重大科技专项的研制任务,是北京软件和信息服务业综合实力百强企业,企业信用评价AAA级信用企业,曾荣获国家科技进步二等奖、 北京市科学技术进步奖二等奖等多项荣誉。
