數據安全是當前的熱門話題、共性話題,提升企業自身數據安全防護能力已成為行業共識。12月21日,中國信息通信研究院“ICT深度觀察”大會-數據安全產業分論壇舉行,騰訊安全云鼎實驗室高級研究員劉海洋出席會議,從數據場景角度切入,深度剖析數據安全體系建設面臨的挑戰與發展趨勢,分享企業數據安全評估的最佳實踐。
數據安全體系建設的發展趨勢應是一體化和輕量化
數據已成為新的生產要素,在經濟發展中發揮的作用越來越大。相應地,數據面對的安全風險和挑戰也越來越多。今年9月施行的《數據安全法》,更標志著數據安全和數據利用正式提升到國家法規層面。
在劉海洋看來,數據安全最大的難點在于便捷使用和安全管控之間的平衡。在數據安全工作中可以發現,數據安全管控措施往往與數據業務是交織在一起的。因此,數據安全并不是一味地去防、去控,而是要充分考慮其業務場景和處理活動,既要能用,還要安全。
如何更好地平衡數據使用和數據安全之間的矛盾?一體化、輕量化,將會是數據安全體系建設的發展趨勢。
一體化,主要體現在數據安全能力融合上。將眾多數據安全能力通過組件化的方式進行融合,形成企業的統一管控平臺,不僅可以降低投入成本,同時其靈活性也可適應復雜的數據場景。
輕量化,主要體現在能力接入方面。數據安全工作不是邊界類防護,需要業務深度參與,甚至有時為了安全要損失業務功能的便捷性。因此,數據安全能力的接入要充分考慮對業務流程的影響,盡量做到免改造、微改造。
數據安全體系建設的目的是讓數據遵規守序
在目前強監管態勢下,一體化、輕量化地進行數據安全體系建設,最終目的是讓數據管理遵循法規,讓數據流動遵守秩序。數據安全體系構建需要先進靈活的底座,才能應對多樣性的法規。從數據生命周期角度來看,企業數據安全評估及安全體系建設的最終路徑,概括起來則是:厘清數據資產——掌握使用狀況——明確差距與風險——理清建設思路。
在啟動數據安全評估之前,首先要明確數據安全現狀,做好數據資產盤點和數據分類分級工作。有哪些數據?數據在哪里?現階段基本架構情況如何?是否符合數據安全合規的要求?回答了這些問題,才能在后續,結合業務發展與合規要求,制定適合企業自身需求的數據安全方案和策略。
對于最重要的數據安全評估,為掌握數據使用狀況,保證調研工作的效率和準確性,建議采用“面對面為主,遠程為輔”、“工具為主,人工為輔”的工作策略。從過往數據處理活動梳理的實踐經驗來看,一個數據場景可能有一個或多個處理活動,最好的辦法便是按數據流向開展梳理,以數據跨場景為邊界,關注每個處理活動中的數據角色和權限。
而明確當前數據安全建設的差距與風險,不僅需要結合實踐經驗對當前數據運營狀況進行風險分析,形成風險評估報告,還要結合現行數據安全相關法律法規,對應評估點,發現自身數據安全體系在合規方面的差距。根據《數據安全法》和《個人信息保護法》等相關條款,企業還應定期對數據安全情況開展風險評估,定期合規審計。
事實上,數據安全體系構建并非一蹴而就,而是不斷進行經驗總結、能力提升、工具完善,不斷完善評估體系,使其更高效、更準確。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
