迈出数据安全第一步
作者: 日期:2021年12月29日 阅:2,859

背景

数据作为最重要的生产要素之一已经成为了基础性战略资源,伴随而来的数据安全风险与日俱增,各种数据安全事件频发,为个人、企业和国家带来了各种安全隐患和威胁。

为了维护网络安全、数据安全和保护个人信息权益,国家相继出台《网络安全法》、《数据安全法》和《个人信息保护法》三部上位法, “网络”、“数据”和“个人信息”是它们的核心词,三个法律各有侧重,又有交叉,组成一个有机整体,在法律层面为信息安全、数据安全和个人隐私保护提供法律保障。

企业面临的挑战

随着企业全面数字化转型,数据作为企业的核心资产和生产要素资源,将决定其发展水平和竞争力。严峻的数据安全形势下,频发的数据泄漏和个人信息滥用等事件,技术迭代衍生出新的风险,不断出台的法律和法规,日益趋严的监管,都将企业推向了风口浪尖。

1、数据安全和个人隐私

企业面临越来越多的数据安全风险和潜在的隐患,诸如商业数据泄漏、个人信息泄漏、数据违规滥用、个人信息过度收集、数据共享失控、数据无法溯源审计等等。这些风险和潜在的威胁一旦发生,个别事件极有可能给个人、企业和国家带来了巨大的影响。

2、法律责任和监管压力

今年的《数据安全法》和《个人信息保护法》,为数据安全和个人信息提供了法律依据和保障,明确了企业的法律责任。加上《网络安全法》,企业今后面对来自这三部法律的多重监管压力。11月14日,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称条例),向社会公开征求意见。征求意见稿不仅对网络安全法、数据安全法、个人信息保护法等上位法的相关规定进行了落地和细化,还作出了一定程度的补充。条例不仅详细明确了法律责任,而且几乎每一条都落实到处罚到人。可以预见,随着《网络数据安全管理条例》的定稿,企业越线将会面临重罚,以及日趋严厉的监管将会常态化。

迈出第一步

企业要重视起来,着手数据安全,尤其IT部门,很多时候其将数据安全和个人隐私作为业务部门和合规部门的工作和责任看待,现在是每一个人的责任和义务。

数据安全治理相对新兴,不管是Gartner DSG框架还是DSMM模型,都涉及组织、制度、技术、管理等多个层面。尤其是组织建设涉及多个部门,包括业务、信息安全、运维、法务、审计、人力等;而数据安全的制度流程,没有现场的成熟的可以使用,针对数据安全的法律规范和标准都在进行当中;加上数据安全技术和管理人员较少,这些客观因素会导致数据安全工作的推进艰难。

企业做好数据安全,可以参考这些模型,逐步建立适合企业自己的数据治理机制,这本身是一项长期工作。但是任何时刻都有可能发生数据安全事件,法律已经颁布实施,对于企业来说随时面临追责和监管风险,企业数据安全建议技术先行,方案落地,选取合适的数据安全工具,迈出数据安全第一步,实现如下三个方面的有效功能。

1、数据资产可见

应用和技术推动网络演进到无边界时代,数据的流动更便捷,也更难以管控,企业要能够对网络中无时不刻流动的数据资产具有可见性,包括内部到外部的出网数据、出境数据、内部之间的数据。这在《数据安全法》和《个人信息保护法》中都有明确要求,同时从自身业务发展角度企业更是需要做到数据资产清晰可见。

2、数据活动可视

《数据安全法》中对数据安全的定义,指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。合法利用的状态,也即如何确保数据的处理活动是合法有效的,传统网络安全工具无法有效解决,这也是为什么数据和个人信息安全事件频发的主要原因之一。

企业需要具备全面监控数据处理活动的能力,包括内部到外部的出网数据、出境数据、内部之间的数据都能够有效监控在网络中的流向和路径;不管是企业员工、外包运维、第三方供应链、访客,这些用户访问数据和应用的行为都能够实时可视。全面监测网络数据处理活动,这在《数据安全法》第三十条明确要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。”这是企业做数据安全过程中易被忽视的一点,却又是最关键的一点。

3、数据事件可溯

发生数据安全事件,需要快速分析,还原数据流着路径,回溯事件过程,评估影响,及时纠错;同时提供完整的证据链,界定责任,追责去责,帮助企业后续规避风险。

企业在数据资产可见、数据处理活动可视的基础上,需要具备将数据、用户和行为多维度关联、分析的能力,这是溯源的核心。通过自动化识别用户各种账号,自动化关联用户数据,自动化关联用户和数据行为,构建三位一体的可视化关系图谱至关重要。尤其是在复杂多变的大数据应用环境中面对海量数据、海量用户,数据事件溯源难度更大,更需要高效和适当的工具。

在当前形势下,企业在数据安全治理方面做到上述三个方面,将初步具有了数据安全防御能力。数据安全治理是一个长期过程,在数据资产可见的基础上,进行更精确的分类分级;在数据活动可视的基础上,全面监测行为,定期数据风险评估;依托于用户和实体行为分析能力,提前预警、告警安全风险,高效及时处理和响应安全事件,从而构建企业自己的数据安全一体化防御体系,随着这个过程持续不断的进行,企事将会保护好数据,用好数据。


相关文章