数据安全检查和评估,已经成为现代企业开展数据安全防护工作中不可或缺的一个环节。通过严格、细致的检查,可以发现现有防护体系中的不足,降低数据泄露的隐患。那么,企业到底应该如何做好数据安全检查和评估工作呢?
日前,安全牛特别邀请到思维世纪董事长章明珠,就企业开展数据检查、评估的困难和挑战,进行了讨论。章明珠认为,没有持续的检查评估,就没有真正的数据安全。企业在部署传统数据安全防护措施基础上,还需要通过实施数据安全检查和风险评估这一重要举措,才能够更加全面地了解自身的数据安全状况,及时发现和解决潜在的安全风险,确保企业的信息资产得到更加有效的保护。
安全牛:您认为,我国企业目前对数据安全保护的重视程度和防护意识如何?
章明珠:我国企业的数据安全防护能力正在快速提升。但是,仍然有一些企业组织还是对数据安全不够重视,认为对数据安全的投入不能直接为企业创造价值。然而在数字化技术普及应用的时代,若失去数据安全的保障能力,企业的正常经营活动随时可能会出现问题,并且产生无法估量的后果,甚至可能导致企业丧失生存能力。因此,企业应该定期开展数据安全风险检查和评估,全面了解组织当前的基本数据安全状态,从而更好地进行综合管理和决策,进而保障企业业务的健康运营。
我们也看到,一些企业会错误地将数据安全与网络安全视为同一概念。网络安全侧重于保护计算机网络的整体安全和稳定运行,而数据安全则主要关注数据资产的安全和合规性。在实际应用中,二者相互补充,共同构建了一个全面而复杂的信息安全保障体系。数据安全是一个纵深防御的概念,需要深入到企业的各个部门,并根据企业的业务和数据处理场景进行具体管理。每个企业的业务形态和应用场景都是独特的,行业之间也存在差异。
我们认为,企业在开展数据安全建设时,要根据每个企业的特点、行业和业务形态进行纵深挖掘和防御。企业需要区别对待网络安全和数据安全,从组织安排、人员能力、技术手段和防护方法等方面进行相应调整,以解决数据安全中的隐患问题。
安全牛:当企业部署了先进的数据安全防护措施后,为什么还需要开展数据安全检查和风险评估工作?主要的好处是什么?
章明珠:随着《数据安全法》的出台以及国家对数据安全政策的持续推动,开展数据安全检查已经成为了各地区和行业数据安全管理的一项重要工作,在我们看来,企业开展数据安全检查和风险评估的必要性有以下原因:
第一,合规性要求。根据中国的《网络安全法》、《数据安全法》等法律法规的明确要求,企业需要开展风险评估,可以确保其操作符合法律法规,并避免潜在的法律责任。
第二,保护企业数据安全。通过数据安全检查和风险评估等工作,有助于企业及时发现自身存在的安全风险,并及时进行整改,以更好地保护企业的敏感数据和个人数据等。
第三,防止数据泄露。数据泄露是一个很严重的威胁,导致信息泄露、财务损失和客户流失等问题。通过定期检查和评估,企业可以识别和纠正潜在的漏洞,从而减少数据泄露的风险。
第四,保障业务的连续性。数据丢失或破坏可能导致业务中断。通过数据安全检查和风险评估,能够及时发现数据存储和备份策略的不足,并进行整改,以确保在面临意外情况时能够迅速恢复业务运营,降低业务中断的可能性。
第五,降低企业损失。数据泄露和安全漏洞可能导致巨大的经济损失和法律损失,如法律诉讼、数据恢复、业务终端成本等费用,以及客户流失等现象。通过及时的检查和评估,企业可以降低这些潜在的损失。
最后,应对新的威胁。技术恶意行为不断演变,新的威胁和攻击手法层出不穷。定期进行数据安全检查和风险评估有助于企业及时发现新的威胁,并采取相应的防护措施。
安全牛:企业如何才能做好数据安全检查和风险评估工作?需要重点关注哪些因素?
章明珠:开展数据安全检查可以有效帮助企业实现数据安全,避免有意或无意的数据泄露。但是由于可借鉴的检查规范少、技术标准少、工具少,因此在实际开展数据安全检查工作时也会存在工作周期长,检查结果难以汇总等情况。
我们认为,企业在进行数据安全检查和评估时,需要关注以下四个要点:
首先,数据要素及分级分类的识别,包括确定哪些数据是关键数据,这些数据存储在哪里,以及对应的数据类型和级别。
其次,数据处理的活动要素识别,包括业务场景、数据处理主体、处理方式、处理环境等方面的识别。其中涉及数据的类型、数据分析分类、数据量级、处理行为、处理目的、处理结果、处理活动等要素的管理。
再者,数据合规性的识别,根据国家法律法规的要求,分析数据处理活动的合法性和必要性,并从组织保障、数据分级分类、权限管理、日志管理、风险监测预警、应急处置、教育培训以及数据全生命周期安全等方面进行基础安全合规性分析,以确保数据处理活动符合合规要求。
最后,安全和风险识别,包括识别风险源和安全影响的风险。全面分析数据安全事件发生的可能性,以及安全事件发生后可能对国家、个人和企业的安全产生的影响,从而综合识别企业面临的安全风险。
安全牛:数据安全检查和风险评估工作是否需要持续开展?
章明珠:是的,数据安全检查只有持续开展,才能取得预期的防护效果。在实际工作中,我们也看到很多企业错误地认为只要进行一次数据安全检查和风险评估就足够了,认为一次评估就完全掌握了企业数据安全状态,就可以制定相应的策略和措施,从而保障企业的安全。然而,企业的组织、业务和经营都是动态变化的,攻击技术也在不断发展,数据安全风险不可预测。因此企业需要建立常态化的数据安全检查和风险评估机制,及时调整安全策略和措施确保企业的正常经营顺利进行。
对企业组织而言,数据安全检查和风险评估必须是一项持续进行的工作,而不是一次性的任务。检查和评估是执行政策要求的验证者,不定期地进行检查,以提升企业的能力并发现潜在短板。同时,这些结果也为国家的执法监管部门提供管理依据。从某种意义上说,没有常态化的数据安全检查和评估,企业很难真正获得持续、可靠的数据安全防护效果。
安全牛:企业在开展数据安全检查时,会遇到哪些困难?
章明珠:数据安全检查和评估的第一个难点是配合的问题。由于检查和评估工作势必会增加被检查单位的一些工作量,有时被检查单位可能会认为是在“找茬”,为了应付检查,可能会编造或篡改数据,这给准确辨别问题的真伪带来了挑战。
第二个难点是缺乏自动化的评估工具。数据安全检查和评估主要依赖人工完成,而数据安全涉及的组织机构、制度流程和技术能力等诸多方面是一个综合性的问题。业务系统的多样性和数据处理场景的复杂性,从而对执行的人员要求比较综合比较高,不同能力和经验的人员,千人千面,可能会导致执行效果存在较大差异。
为了更好地应对数据安全检查和评估,我们建议企业从两个方面着手:一是加强引导和提升对数据安全重要性的认知;二是通过制度和行政命令的执行来推动。同时加强培养机制,提高数据安全能力水平。这意味着提升被检查单位对数据安全的认知和技能水平。同时,尽可能通过技术手段来提高检查的能力。利用工具化、标准化、轻量级的方法,配合人工实施检查,以提高效率和降低出错率。
安全牛:针对以上困难,是否能够给出一些具体的措施和建议呢?
章明珠:就具体措施而言,我们认为企业组织首先要关注业务所在地区法律法规的动态,及时调整和更新企业的数据安全政策,确保业务符合合规要求;并且定期进行数据安全评估和检查,验证和评估数据安全策略的执行情况,及时发现薄弱环节,并动态调整数据安全策略。同时,企业应该建立动态数据流转安全风险监测机制,结合内外部数据,并利用AI大模型等技术,实现数据全链路和全场景的安全风险监控。此外,企业应该采用精细的访问控制策略,实现精准的数据分级保护,确保只有经过授权的人员才能访问敏感数据。
安全牛:有哪些先进的技术手段和工具,能够为企业的数据安全检查和评估提供帮助?
章明珠:开展数据安全检查和评估工作的核心是发现问题并进行完善,在数据安全行业中,任何工作的前提都是要建立在国家和行业规范要求基础上,要满足各种法律规范要求,仅依靠人工就完全解决数据安全问题是不可能且不现实的,需要采取一系列技术手段和先进的检查措施。检查工具箱就是一个很有效的支撑工具,可以解决专家团队能力不齐或人力不足、效率低下以及难以保证一致的质量等问题。特别是在监管部门或大型国有企业等需要对全国范围或整个行业进行排查的情况下,使用工具箱可以提高检查的效率、速度和准确性,从而在短期内实现长期工作的目标。
思维世纪从2013年就开始从事数据安全领域。早在两年前就开始研发数据安全检查工具箱,我们充分结合之前积累的技术和行业经验,顺应市场需求,落地出来一款轻量级的数据安全检查工具,在检查评估方面,工具箱提供了数据安全评估工具,用于执行数据安全评估的工作。
