自《黑神话:悟空》问世以来,原著《西游记》再次火爆出圈。在数字经济蓬勃发展的当下,企业犹如踏上西天取经路的行者,满怀憧憬地追寻数字化转型的“真经”。
随着数据的开放共享和开发利用,数据安全问题频发,企业仿若历经九九八十一难。黑客攻击如“妖怪”般凶猛,肆意入侵企业系统,窃取机密数据;数据安全事件则如“白骨精”般变幻莫测,悄无声息却危害巨大。
在企业的数字化征途中,数据安全治理便如唐三藏身上那袭“上嵌七宝、水火不侵、防身趋祟”的锦襕袈裟,以其无上的守护之力,成为企业不可或缺的坚固后盾。
通过数据安全治理体系化建设,为企业编织“数据安全袈裟”,是应对数据安全挑战、实现数字化转型的关键路径。天融信从数据安全评估入手,贯穿治理规划、能力建设、治理运营及监督改进四个阶段,推动企业构建相适应的数据安全治理能力,进而形成完整、持续且高效的数据安全保障机制。
第一阶段治理规划:绘制“袈裟”的蓝图
在治理规划阶段,主要确定企业数据安全治理工作的总体定位和愿景,根据企业整体发展战略,结合实际情况进行评估分析,制定数据安全规划。
01、评估规划:洞察“取经路”上现状与目标差距
如同唐僧师徒在踏上取经路前需对自身能力和面临的困难有清晰认知一样,在治理规划阶段,企业应形成内部评估工作机制,识别业务合规目标、明确安全需求、梳理业务现状、分析安全风险,最终识别出现状与目标的差距。
02、摸清家底:掌握数据资产,筑牢“袈裟”根基
通过全面的业务数据梳理及安全评估,确定数据的分布、使用情况;明确数据流转路径,包括内部不同部门和系统间以及与外部实体的数据流动情况;明确数据所有者和使用者,确定数据的创建者或主要责任主体,分别列出有权访问和使用数据的内部人员、部门和外部合作伙伴,并了解数据访问目的和权限范围。
03、风险分析:识别威胁,强化“袈裟”防护功能
识别当前面临的主要安全风险,重点关注关键数据资产所面临的威胁及所在环境的脆弱性。定期开展数据安全风险分析,结合业务场景,基于数据全生命周期安全防护要求,梳理并形成组织风险问题清单,明确内外部风险形成原因,提炼数据安全建设需求点。
04、策略规划:细化策略,完善“袈裟”设计细节
细化明确数据安全风险、安全能力差距的具体改进方法及控制策略的设定,根据主要能力差距及安全风险开展数据安全技术保护策略的设计工作,指导具体的数据安全技术保护建设工作,包括:主要任务及分工、岗位及职责、管理制度和规程、考核指标、内外部协调机制、时间点要求、控制点及控制能力要求、控制点实施细则、监督检查及改进机制等。
第二阶段能力建设:编织“袈裟”的经纬线
在能力建设阶段,主要对数据安全规划进行落地实施,建成与企业相适应的数据安全治理能力,包括组织架构的建设、制度体系的完善、技术工具的建立和人员能力的培养等。
01、组织建设:搭建“袈裟”的支撑架构
如同构建“袈裟”的骨架,需要为其提供稳定的支撑结构。在实际组织体系建设时,应该从决策层、管理层、执行层、参与层及监督层等几种常见的职责分配方式组织框架构建,并以企业现有网络安全组织架构为基础,进行适度的调整和补充。
02、制度流程:编织“袈裟”的规则纹理
建立数据安全制度流程体系,需从法律法规合规性要求、业务数据安全需求及数据安全风险控制需要等方面进行梳理。就像确定“袈裟”的编织纹理和图案规则一样,确保每一根线都按照规定的方式交织,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
03、技术工具:嵌入“袈裟”的防护丝线
依照企业或组织数据安全建设的方针总则,围绕数据安全生存周期各阶段的安全要求,建立与制度流程相配套的技术和工具,就像在“袈裟”中嵌入具有防火、防水、防虫等特殊功能的丝线,以增强其防护性能。
04、人员能力:注入“袈裟”的守护力量
人员是数据安全建设中最重要的因素,一切数据安全管理规范、技术措施都是以人员为基础开展的。从安全意识提升、制度宣贯、安全能力培训、数据安全能力考核等多个层面,加强对人员的教育培训,如同为“袈裟”注入守护的力量,能够有效提升数据安全治理效能。
05、评估验证:检验“袈裟”的质量成色
能力建设取得一定成果后,可在组织内部开展数据安全管理制度和技术资料收集,定期执行检查工具,进行数据全生命周期的安全控制策略验证、安全合规要求符合性检查和技术工具能力验证等。如同检验“袈裟”是否具备预期的防护功能,是否符合相关的标准和规范,及时发现存在的问题并进行整改,保证数据安全治理能力建设的有效性。
第三阶段治理运营:身着“袈裟”,勇闯漫漫“取经路”
在治理运营阶段,通过不断适配业务环境和风险管理需求,针对风险防范、监控预警、应急处理等内容形成一套持续化运营机制,并持续优化安全策略措施,强化整个数据安全治理体系的有效运转。
01、风险防范:以“袈裟”抵御风险侵袭
建立有效的风险防范手段,对于预防数据安全事件发生有重要作用,可以从数据安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。
02、监控预警:让“袈裟”感知安全隐患
数据安全保护以知晓数据在组织内的安全状态为前提,在数据全生命周期各阶段开展安全监控和审计,建立数据安全监测预警和数据安全事件通报机制,以实现对数据安全风险的防控。
03、应急处置:修复“袈裟”的应急措施
制定数据安全事件应急预案,包括启动条件、处理流程、恢复流程以及事后教育和培训等。根据组织应急规划和规程,按照数据安全事件的危害程度、影响范围等因素对数据安全事件进行分级,定期进行应急预案演练。
04、评估发现:优化“袈裟”的持续改进
定期开展数据安全事件追踪溯源、审计分析、策略优化及持续改进工作。对溯源、审计及优化过程进行综合分析,作为数据安全技术保护体系的改进依据,常态化推进体系持续改进。针对评估发现的各能力域弱项、缺项问题,制定改进计划,进行查漏补缺,完成问题整改及能力提升。
第四阶段监督改进:守护“袈裟”,确保持久效力
在监督改进阶段,主要是通过内部评估与第三方评估相结合的方式,对企业的数据安全治理能力进行评估分析,根据评估成效进行改进,实现数据安全工作的持续优化及闭环工作机制的建立。
01、安全审计:监督“袈裟”的日常保养
定期开展数据安全监督审计,对数据安全建设过程及数据安全运营管理过程进行审计,建立数据安全治理考核指标体系,对各相关方的数据安全工作结果进行评价;对数据安全技术保护措施的实际执行效果及能力进行评价,确保数据安全治理体系规划得到有效的建设和落实。
02、评估改进:提升“袈裟”的品质韧性
通过内部评估和第三方评估,客观、公正、真实地反映组织数据安全治理能力及自我改进能力。目前数据安全方面主要的评估包括:数据安全能力成熟度评估(DSMM)、数据安全治理能力评估、个人信息影响评估、数据出境安全评估、数据安全风险评估等。
实践案例 | 某能源企业数据安全保障体系研究项目
在某能源企业项目中,天融信以法规政策为指引,围绕客户需求为其定制化打造了数据安全治理咨询服务,全面覆盖了客户4大平台及其下的12个子系统。服务内容包含数据资产梳理、应用场景流向分析、企业整体的数据安全管理组织架构和人员能力分析。
聚焦典型业务信息系统数据资产,天融信选用STRIDE模型建立数据安全风险模型,深度剖析数据全生命周期安全风险分析,并且以此为基础规划构建数据安全保障体系,明确关键举措和实施计划,制定详尽的工作指引,协助客户精准识别薄弱环节、明确发展路径、制定改进措施,持续提升数据安全防护水平。
在数字化的漫长“取经路”上,企业应该如同唐僧师徒一样,将数据安全治理视为不可或缺的“袈裟”,从治理规划、能力建设、治理运营到监督改进各个环节精心打造、用心呵护,如此方能克服数据安全的重重挑战,顺利取得数字化转型的“真经”。
作为国家网络空间安全建设的中坚力量,天融信将不断提升技术实力和服务水平,紧跟数据安全领域的发展趋势,持续迭代核心能力与解决方案,帮助企业灵活应对市场的风云变幻,在数字化的征途中实现高质量、可持续发展。