浅谈企业数据安全建设

本文作者丨星河安全

数据,正变得越来越重要。

  • 2022年12月19日,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》,从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度,提出20条政策举措。
  • 2023年2月27日,中共中央、国务院发布《数字中国建设整体布局规划》,提出要加快数字中国建设。
  • 2023年3月7日,根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。
随着国家对数据的不断重视、数据利用的不断深入,数据泄露、滥用等风险正日益凸显,保障数据安全正成为数字经济时代最紧迫和最基础的安全问题。

什么是数据安全?

《中华人民共和国数据安全法》中第三条,给出了数据安全的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据安全包括安全策略和过程的规划、建立与执行,为数据和信息资产提供正确的身份验证、授权、访问和设计。虽然数据安全的详细情况因行业和国家有所不同,但是数据安全实践的目标是相同的,即根据隐私和保密法规、合同协议和业务要求来保护信息资产。

企业数据安全的重要性

数据是企业的命脉。
若财务数据一旦丢失,所有的计划与交易可能都会因为财务数据丢失的不明朗因素而导致搁浅,造成企业的直接损失。
人才作为一个企业的重要支持,是企业持续发展的根本,也是核心竞争力的体现,如果人事数据丢失或泄密的话,后果可想而知。
研发能力作为企业核心竞争力之一,所体现的知识产权、专利等数据都是企业的重要财富。

随着企业业务领域的扩展和规模的快速扩张,相关的数据安全风险也随之而来,如病毒、蠕虫、垃圾邮件、间谍软件、流氓软件、数据截获、嗅探、监听、肆意泛滥、内部机密泄露等都时刻威胁着企业数据安全。

因此加强数据安全建设,让企业在市场竞争中处于最佳状态,才能帮助企业立住数据脚跟,走得更长远。

如何筑牢企业数据安全底座?

国际咨询机构Gartner指出:数据安全治理不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。
目前,很多数据安全厂家都通过提供单一化的功能来解决客户在某个方面的问题和需求,无法为客户构建数据全生命周期的一体化安全防护能力。
中新赛克数据安全解决方案以数据为中心,围绕数据全生命周期,从组织建设、制度流程、技术工具和人员能力四个能力维度为企业构建数据安全防护体系,形成闭环可持续的数据安全管理、监控、运营能力。

第一阶段:建设管理体系
通过数据安全管理体系建设,形成数据安全组织职责、制度规范、工作流程,建立数据安全管理机制。
第二阶段:梳理数据资产
通过数据资产盘点工作明确数据安全治理的工作范围及信息依据,按照分类分级标准、管理制度进行定级,输出核心资产清单。
第三阶段:评估安全风险
依据国家、行业等有关数据安全技术与管理标准,从风险管理的角度,对数据资产的重要程度进行分析。
确定重点评估对象,识别评估对象所涉及的各类应用场景,评估数据资产在各应用场景面临的威胁及威胁利用脆弱性导致的安全事件的可能性,分析计算数据资产的风险值,并结合组织实际情况,给出合理化数据资产风险处置建议。
第四阶段:保护数据活动
采用零信任访问机制,对访问行为进行精细化访问控制,实现人员对数据“可用可见、可用不可见、不可用不可见”等状态的统一授权管理,防止恶意用户的横向攻击,在实现数据要素流通的同时保护企业核心数据和个人隐私数据。
第五阶段:持续运营优化
提供体系化、常态化的数据安全运营服务,协助构建7*24小时全天候、全方位的安全运营体系。
通过数据安全策略的持续优化、数据安全规范的持续更新,并针对已发生数据安全事件的处理方式与后续风险提出整改建议等,实现“从制度指导与策略制定,到事件识别与风险处置,再回归到优化改进制度及策略”的运营闭环。