隨著《國家安全法》《數據安全法》《個人信息保護法》《數據出境安全評估辦法》等法律和辦法的推出和落地,數據安全治理擺脫過去“無法可依”的困境,“依法治數”成為數據安全治理行業的共識。數據安全技術作為防范數據安全風險能力底座,基于數據安全技術的產品為企業數據安全治理提供有力的支撐。在不同行業的數據安全治理實踐中,數據安全組織、數據安全管理制度、數據安全運營體系等方面的建設和發展同樣值得我們關注
數據安全治理過程中,包括組織、制度、技術、產品等安全工作落地執行后,對于這類數據安全工作的合法性、正確性以及有效性等方面的稽核評估,是防范和化解數據安全風險必不可少的步驟。
針對數據安全治理過程中數據安全稽核面臨的挑戰,從制度管理和技術產品兩個角度提出解決方案。
在數據安全治理過程中建立數據安全稽核管理制度、流程標準體系,保障實行數據安全規劃、計劃、實施、運行、督查的全過程管控。在這個建設過程中需要持續不斷地對信息安全制度、標準等進行調整修訂,持續夯實自身數據安全標準化管理基礎。
通過部署包括數據安全稽核等成熟的產品,通過標準化、體系化的產品手段實現數據安全的的稽核管控。數據安全稽核主要核查接入系統環境內各類安全產品策略和安全過程管控執行情況,判斷各安全產品的狀態及其防護能力效果。針對稽核過程中發現的風險和異常能夠做到及時預警和提供相關的應對修復建議,也可以對接其他安全評估能力單元,實現動態評估系統環境數據安全防護能力。
在數據安全治理過程中,通過制度管理、產品技術等手段的融合形成定期常態化的數據安全稽核策略,提升系統數據安全系數。針對當前數據安全稽核面臨的挑戰,數據安全稽核策略主要包括以下內容。
數據安全稽核是數據安全治理的核心工作之一,是防范和化解數據安全風險不可或缺的工作。數據安全稽核的目的和價值在于通過稽核手段來保障數據安全防范策略的落地執行以及數據安全產品的有效發揮,精準快速識別和發現潛在安全風險和行為,保障數據安全治理工作的有效落地。
數據安全稽核能夠對系統內已接入的安全產品進行能力和效果評估稽核,包括已建設分類分級、數據加密、數據脫敏、數據水印以及數據庫審計等安全能力單元,實現對整個數據安全能力加固后的安全成熟度進行監測、評估和稽核,還能支持輸出數據安全稽核報告以及針對安全能力薄弱項進行響應處置,有效提升系統內數據安全防護系數。
數據安全稽核適用對象廣泛,不僅能夠為個體用戶提供自查依據、協助大體量資產的用戶做好資產梳理工作,也能為測評機構提供檢測手段,為科研機構提供研究依據,在滿足商用數據安全稽核基礎上,同樣適用于數據安全監管、評測和教學等場景。
