今年全國兩會中,多位代表、委員就“東數(shù)西算”、“數(shù)據(jù)要素”進行熱議,不禁讓眾多組織預測:數(shù)據(jù)產(chǎn)業(yè)發(fā)展的風口來了!
但隨著“兩法”的出臺,“數(shù)據(jù)安全到底該怎么開展”成為了所有組織共同關注的問題。深信服總結了數(shù)據(jù)安全落地的幾大常見誤區(qū)供大家參考。
誤區(qū)一 數(shù)據(jù)安全要求太多了,要謹慎開展數(shù)據(jù)共享與開發(fā)
2021年,我國先后頒布并施行了《數(shù)據(jù)安全法》、《個人信息保護法》,不少人對這兩部法律的理解有一個誤區(qū):兩部法律的施行是為了制約數(shù)據(jù)的使用。事實上恰恰相反,這兩部法律本質(zhì)上是為了促進數(shù)據(jù)的開發(fā)利用和相關產(chǎn)業(yè)的發(fā)展。
“十四五”規(guī)劃綱要將“加快數(shù)字化發(fā)展建設數(shù)字中國”單獨成篇,并首次提出數(shù)字經(jīng)濟核心產(chǎn)業(yè)增加值占GDP比重這一新經(jīng)濟指標,明確要求我國數(shù)字經(jīng)濟核心產(chǎn)業(yè)2025年增加值占GDP的比重要由2020年的7.8%提升至10%。
今年全國兩會上,一個數(shù)字被反復提及——48.6ZB,這是預計到2025年我國將產(chǎn)生的數(shù)據(jù)總量,占全球總量的27.8%。如此規(guī)模的“數(shù)據(jù)富礦”,其潛力極其巨大,《數(shù)據(jù)安全法》、《個人信息保護法》作為數(shù)據(jù)安全和隱私保護的法律依據(jù),對數(shù)據(jù)合理利用,有序自由流動,促進數(shù)字經(jīng)濟發(fā)展有著極其重要意義。
借助相關要求,組織對數(shù)據(jù)要更加“以共享為前提、不共享為例外”、“敢開發(fā)、敢利用”、“讓數(shù)據(jù)多跑路,產(chǎn)生更大的業(yè)務價值”。
誤區(qū)二 數(shù)據(jù)安全是網(wǎng)絡安全的一部分,交給網(wǎng)絡安全部門就行了
過去,承接網(wǎng)絡安全工作的往往是網(wǎng)絡安全團隊。碰到復雜的問題時,也只需網(wǎng)絡安全部門與相關部門聯(lián)動便可實現(xiàn)問題的閉環(huán)處理。
而數(shù)據(jù)安全與之最大的區(qū)別,在于數(shù)據(jù)散落在組織各處,企業(yè)很多部門都是數(shù)據(jù)處理活動的參與者,所以這些參與者都需要承擔一定的數(shù)據(jù)安全職責。
以某大型企業(yè)為例,其擁有銷售部門、采購部門、財務部門、信息化運行維護部門和應用開發(fā)部門等多個業(yè)務單元,每個業(yè)務單元都獨立運轉(zhuǎn)并管理或參與管理著大量的部門數(shù)據(jù),這些數(shù)據(jù)在組織內(nèi)有序流轉(zhuǎn),并產(chǎn)生多樣的交匯與共享,其中業(yè)務部門是數(shù)據(jù)的所有者,IT部門只有在和業(yè)務部門高效協(xié)同的背景下,才能真正保障好數(shù)據(jù)安全。
所以要做好數(shù)據(jù)安全工作,就需要組織內(nèi)多個部門共同參與,網(wǎng)絡安全部門是組織內(nèi)承擔基礎設施及公共安全能力建設的主要部門,但其缺乏對各個業(yè)務部門數(shù)據(jù)的深入理解,另一方面也難于直接參與到數(shù)據(jù)資源管理和應用開發(fā)建設的過程中,所以在數(shù)據(jù)安全上能發(fā)揮的作用相對有限。
因此,數(shù)據(jù)安全絕不僅是信息化組織或網(wǎng)絡安全部門的獨立工作任務,而是一項由組織決策層到執(zhí)行層,自上而下覆蓋組織整體架構的完整任務。網(wǎng)絡安全部門在數(shù)據(jù)安全上的工作更多應集中在數(shù)據(jù)安全風險監(jiān)測與公共能力建設上。
數(shù)據(jù)安全保護需要組織自上而下,統(tǒng)籌開展
什么是自上而下,統(tǒng)籌開展?就是要把組織作為一個整體進行數(shù)據(jù)安全工作布局,而非依靠某個人或某個部門的力量來獨立處理數(shù)據(jù)安全問題。
從法律的角度來說,擁有或使用數(shù)據(jù)的組織才是承擔數(shù)據(jù)安全責任的主體。所以,數(shù)據(jù)安全工作需要統(tǒng)籌各個部門參與,保障數(shù)據(jù)在特定組織內(nèi)全生命周期的安全。不論數(shù)據(jù)在這個組織中的生命周期涉及多少產(chǎn)品業(yè)務或人員,最終衡量數(shù)據(jù)是否安全,都需要把組織作為整體來考慮。
數(shù)據(jù)安全保護工作需要建立牽頭+認責體系
前面提到,數(shù)據(jù)安全與每個部門都息息相關,那是不是所有部門、所有人都該對組織的數(shù)據(jù)安全負責呢?為了厘清責任主體,數(shù)據(jù)安全保護工作需要建立牽頭+認責體系,由一個組織單元牽頭負責,再由數(shù)據(jù)的其他相關角色(生產(chǎn)者、使用者等)共同認責。
核心牽頭者的職能是推進數(shù)據(jù)安全治理工作,完善數(shù)據(jù)標準化管理,實施常態(tài)化指導監(jiān)督等。認責則是基于“誰生產(chǎn)、誰擁有、誰負責”的數(shù)據(jù)認責原則,確定數(shù)據(jù)安全保護工作的相關各方的角色、責任和關系,典型如數(shù)據(jù)安全保護過程中的決策、執(zhí)行、解釋、匯報、協(xié)調(diào)等角色和職責。
2021年8月,深圳發(fā)布的《深圳市推行首席數(shù)據(jù)官制度試點實施方案》(以下簡稱《方案》),就是牽頭+認責體系的一個范例。
根據(jù)《方案》,首席數(shù)據(jù)官有六個方面的主要職責,分別為推進智慧城市和數(shù)字政府建設、完善數(shù)據(jù)標準化管理、推進數(shù)據(jù)融合創(chuàng)新應用、實施常態(tài)化指導監(jiān)督、加強人才隊伍建設和開展特色數(shù)據(jù)應用探索等。
有了政府部門的率先嘗試,企業(yè)數(shù)據(jù)首席官制度是不是也可以做一些試驗呢?
誤區(qū)三 數(shù)據(jù)安全關鍵是體系化建設,要主抓建設,看看還有啥沒買
數(shù)據(jù)安全保護工作不是一勞永逸的事,需要結合業(yè)務需求和技術發(fā)展不斷夯實、加固、完善數(shù)據(jù)安全的保護能力。
以數(shù)據(jù)分類分級為例——數(shù)據(jù)分類分級并非一次性工作,只要有新數(shù)據(jù)的產(chǎn)生,分類分級工作就需要不斷重復進行,數(shù)據(jù)分類分級越細,需要投入的資源就越多。
在IT時代,企業(yè)的信息化建設是以系統(tǒng)和網(wǎng)絡為中心的,對應的安全防護也是以系統(tǒng)和網(wǎng)絡邊界的防護為重心,更多關注邊界處的數(shù)據(jù)泄露和外部攻擊,只要攔住了,就沒事了。
但現(xiàn)在,數(shù)據(jù)的種類極其豐富,數(shù)據(jù)存儲、流轉(zhuǎn)及使用已構成一個復雜的數(shù)據(jù)生態(tài)。數(shù)據(jù)安全的風險更多在內(nèi)部積聚,內(nèi)部敏感數(shù)據(jù)的存儲、擴散風險到了失控的狀態(tài)時,邊界的防護壓力就會增大,防護效果顯著降低。而且,敏感數(shù)據(jù)違規(guī)濫用本身就不是發(fā)生在邊界處,大部分產(chǎn)品對于這種風險既無檢測感知能力,也沒有響應保護能力。
因此,增加數(shù)據(jù)安全運營視角為解決數(shù)據(jù)安全問題提供了一個新的解題思路。既然安全風險產(chǎn)生于數(shù)據(jù)運營的各個環(huán)節(jié),那防護就不應該再盯著各個系統(tǒng)和網(wǎng)絡,而是回到問題的本質(zhì),以數(shù)據(jù)為核心,圍繞數(shù)據(jù)的全流程來展開安全的防護和運營工作。
數(shù)據(jù)安全也有和網(wǎng)絡安全相似的一面,需要持續(xù)的風險監(jiān)測與運營改進,通過不斷發(fā)現(xiàn)、分析、研判可疑的數(shù)據(jù)安全事件,并積極響應、快速處置,推動數(shù)據(jù)安全的保護工作不斷進行改進。
持續(xù)監(jiān)測、不斷響應是數(shù)據(jù)安全工作永恒不變的主題。
那有了這些大方向,各組織單位開展數(shù)據(jù)安全工作該從哪里開始,具體步驟又分別是什么呢?
關注深信服科技官方微信公眾號,不同行業(yè)如何開展數(shù)據(jù)安全工作,后續(xù)#數(shù)據(jù)安全#內(nèi)容版塊為您一一解答。
深信服數(shù)據(jù)安全解決方案基于《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī)的要求和實際的數(shù)據(jù)安全風險場景,通過人工智能和機器學習等先進技術,為政府、教育、醫(yī)療等各個行業(yè)用戶提供面向數(shù)據(jù)全生命周期的數(shù)據(jù)安全建設體系,讓數(shù)據(jù)使用變得更加合規(guī)、安全。
京公網(wǎng)安備 11010502049343號