更多
隨著互聯(lián)網(wǎng)的迅猛發(fā)展,個人和組織產(chǎn)生的數(shù)據(jù)呈指數(shù)型增長,大數(shù)據(jù)時代隨之到來。數(shù)據(jù)成為許多組織賴以生存的生產(chǎn)要素,越來越多的業(yè)務(wù)決策基于數(shù)據(jù)進行,而數(shù)據(jù)安全也成了用戶亟待解決的重點難點之一。數(shù)據(jù)合規(guī)成為數(shù)據(jù)安全中尤為重要的一環(huán),不僅關(guān)系到用戶的業(yè)務(wù)發(fā)展,甚至被提升為國家戰(zhàn)略的高度。
一、如何梳理當前數(shù)據(jù)安全現(xiàn)狀
在建設(shè)數(shù)據(jù)安全合規(guī)體系之前首先應(yīng)通過數(shù)據(jù)安全風險評估、數(shù)據(jù)安全專項檢查等梳理數(shù)據(jù)安全的現(xiàn)狀,做到準確把脈,對癥下藥。
1. 數(shù)據(jù)安全風險評估服務(wù)
數(shù)據(jù)安全風險評估可對數(shù)據(jù)流轉(zhuǎn)過程進行多個風險維度的評估和檢測,其核心是平衡數(shù)據(jù)價值和數(shù)據(jù)風險之間的蹺蹺板。依據(jù)相關(guān)信息安全風險評估規(guī)范文件并結(jié)合行業(yè)特征、DSMM(數(shù)據(jù)安全能力成熟度模型),以及數(shù)據(jù)應(yīng)用場景,對每個環(huán)節(jié)進行評估,最終形成數(shù)據(jù)安全風險評估報告。
針對報告,從數(shù)據(jù)管理的組織、制度、技術(shù)、人員等多個維度進行差距分析形成差距報告并提供整改建議。
依據(jù)《數(shù)據(jù)安全法》、《民法典》、等保2.0等相關(guān)規(guī)定,針對數(shù)據(jù)的泄露、違規(guī)收集、非法使用等情況不定期地進行巡檢,協(xié)助組織快速定位問題,形成檢查報告,提供整改建議。
二、怎么建設(shè)數(shù)據(jù)安全合規(guī)體系?
數(shù)據(jù)安全合規(guī)體系建設(shè)是一個系統(tǒng)工程,在進行數(shù)據(jù)資產(chǎn)梳理之后,首先要進行數(shù)據(jù)分類分級,搭建數(shù)據(jù)安全總體架構(gòu),并分階段推進數(shù)據(jù)安全體系建設(shè)。
突破傳統(tǒng)網(wǎng)絡(luò)安全或IT部門獨立履行數(shù)據(jù)安全合規(guī)治理職責的瓶頸,建立跨領(lǐng)域、懂數(shù)據(jù)、為數(shù)據(jù)安全合規(guī)端到端負責的新組織,實時掌控重要數(shù)據(jù)流向變化。
以外部法律監(jiān)管和企業(yè)內(nèi)部數(shù)據(jù)管理應(yīng)用為著眼點,形成規(guī)范性、可執(zhí)行的管理體系。包含但不限于以下四類管理制度清單:
數(shù)據(jù)的安全合規(guī)、風險可控的終極目標是數(shù)據(jù)價值體現(xiàn)。數(shù)據(jù)安全不可僅滿足一次合規(guī),只有以運營指標為基礎(chǔ),考核監(jiān)督為改進依據(jù),實現(xiàn)“事前、事中、事后”的全過程覆蓋,加大事前預防能力,減少“亡羊補牢”,構(gòu)建自適應(yīng)、自運營的安全能力,才能讓數(shù)據(jù)在實現(xiàn)價值的路上無后顧之憂。
三、為什么要建設(shè)數(shù)據(jù)安全合規(guī)體系?
1. 滿足合規(guī)性要求
2. 細化數(shù)據(jù)安全能力建設(shè)
3. 增強內(nèi)部管理能力
4. 適應(yīng)業(yè)務(wù)發(fā)展需求
