随着国家数据安全相关要求及标准不断丰富,如何保障数据安全已成为近几年企业和组织不断关注的焦点。数据安全管理体系作为让技术体系发挥作用的制度保障,其重要性已不言而喻。但目前多数单位多是以传统安全管理体系用于数据安全管理,已不能满足如今的需求。本文简要梳理了数安管理体系的建设需求、体系结构、建设流程,进一步的,为保证管理的合规性、数据的可用性、数据全生命周期的安全性、业务的运行效率,并对重点内容做了简要介绍。本文介绍的方案有助于确保数据可用,防止数据泄露,并帮助组织满足法律法规等合规要求,从而降低风险并提高组织业务运行效率。
数据安全的本质是对于数据安全风险的防范。在数据安全技术体系之上,需要有管理体系来保证技术体系的实施和运行,同时对相关人员进行管理,达到防范数据安全风险的目的。
随着国内外数据泄露事件频发、数据安全法律法规相继颁布、监管力度不断升级,企业和组织应该意识到数据安全管理的重要性与紧迫性,并开始逐步建立针对于数据安全的管理体系。在明确人员的具体职责与分工的同时,重视数据安全人才培养等方面的管理工作。但是目前,大部分企业和组织的数据安全管理制度尚不完善,难以适应数据安全管理的新形势与新要求。
管理体系的建立需要同时考虑合规性和有效性两方面的要求。
在合规性方面,对数据安全管理体系方面的要求已经并正在密集出台,例如:
第二十一条 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。
第六条 数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。所以对于企业和组织,应遵守国家相关法律要求及行业标准规范。
在有效性层面,通过完善数据安全管理办法、数据分类分级管理体系、数据全生命周期安全管理、数据安全人员管理这四个层面来保证数据安全管理体系的可用,满足管理人员使用数据安全管理体系时达到数据安全风险防范的目的。
数达安全建议数据安全管理体系的建设路线为:从业务性需求、安全性需求、连续性需求和合规性需求出发,建立包括总体方针、管理制度、技术规范以及细化落地等方面,形成共计四级体系,保障业务的持续性安全,同时驱动业务发展。
![浅谈数据安全体系建设]( "浅谈数据安全体系建设")
一级体系:数据安全战略导向,建立数据安全管理办法,确立了总体的目标、方针、原则。
二级体系:数据安全体系建设导向,制定通用的管理办法、制度及标准。
三级体系:数据安全规范导向,确定各业务、各环节的具体操作指南。
四级体系:数据安全执行导向,对各种操作和管理记录形成记录表,保障事后溯源。
数据安全管理体系建设流程可以帮助企业和组织系统性地分析和优化各项数据安全管理中存在的问题,建设高效、规范的数据安全管理体系。通过全面、有序地实施这些步骤,可以提升管理能力,加强沟通和合作,优化资源配置和风险控制,从而制定完善的数据安全管理体系。
(1)了解目前企业内的制度现状和业务现状,以此为依据进行下一步的管理体系架构制定;
(2)由专业人员进行企业整体制度架构的搭建,通过探讨内容,编制形成管理制度架构;
(3)进行细化编写相关管理制度内容,形成相关的管理办法、行为指南,以及相关记录表单内容;
(4)在企业内进行试运行,试运行过程中要不断收集员工意见,完善相关制度内容,直到形成标准化管理制度;
(5)将形成的制度面向企业进行正式发布,保证各部门接收相关内容,并依照相关标准制度规范以后的工作行为;
(6)整个管理制度落地以后,需企业持续完善,收集人员意见,并由专业人员进行审核,不断完善修改制度内容,形成长效管理机制。
为保证管理的合规性,制定数据安全管理办法尤为重要,它指导了数据安全战略规划下的各项数据安全管理制度的战术落地,是保障企业战略有效执行的基石。
明确数据安全管理所参与的机构人员的职能、职责,确立数据安全统筹管理部门,督促各单位落实数据安全主体责任。
明确数据全生命周期流程,包括:数据采集、数据传输、数据存储、数据使用、数据销毁,及各环节的数据安全管控措施和要求。
明确数据安全基础管理所包含的各技术和管理维度,并针对各维度要求在业务应用过程中提出了具体的指导。
为保证数据的可用性,保障数据使用的便捷和数据管理的安全,促进数据利用与数据安全的协同发展,需要对数据资产进行分类分级,采用精细的差异化管控手段。
(1)以合规要求、风险需求、业务要求为驱动,形成数据分类分级清单,实现差异化管控;
(2)生成数据分类分级操作指南,确定数据分类分级工作流程和操作规范;
(3)制定数据分类分级管理办法,明确分类分级管控要求。
为保证数据全生命周期的安全性,在数据的整个生命周期中,需要对数据的采集、传输、存储、使用、共享、销毁等过程进行安全管理,同时保障数据的机密性、完整性、可用性和合规性。安全管理需要涵盖数据的所有环节,防范数据泄露、损毁或其他安全事件的发生。数据全生命周期安全管理的关键是要制定相应的政策和措施,并落实执行。
建立数据收集相关制度,明确采集目的,确保数据源合法正当。
建立数据存储相关制度,针对加密存储、数据库账号权限制定管理制度。
建立数据使用加工相关管理制度,针对数据访问审计、访问控制、数据脱敏等设置适配流程,同时数据访问管理制度。
建立数据共享相关制度,设置共享审批流程,规定公开场景中的展示状态。
建立数据销毁制度和操作流程规范,设置数据销毁工作记录和资源回收清单。
为保障业务的运行效率,需要进行数据安全人员管理,针对数据安全场景下的组织架构改进及人员协作。组织架构改进包括数据安全组织架构建设、数据安全组织定岗定员、数据安全教育培训工作制度、第三方人员管理,和对各流程实例的执行情况和数据操作行为进行审计和监督。
确认数据安全主要责任人和监督者等角色,进行组织架构优化,明确角色在数据安全场景下的权责义务。
制定可行的操作规程和管理制度,并实现制度规范的高效运作和部门职责的有效达成。
确认数据安全人员培训内容,每年至少组织开展一次数据安全集中教育培训,并进行相关的考核。
对软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外来人员进行指定区域范围内进行业务活动、信息核查等手段进行管理。
数据安全管理体系至关重要,数据安全防护任重道远,在数据安全技术体系以外,需要通过数据安全管理体系相结合,才能从根本上解决数据破坏和数据泄露的保护问题。在攻防对抗日益强烈的今天,只有不断的技术创新、管理创新才能最终有效的保障数据的安全。
原文始发于微信公众号(安全帮):浅谈数据安全体系建设
评论