共计 3141 个字符,预计需要花费 8 分钟才能阅读完成。
作者丨石秀峰
转载自谈数据
前言:危险是数据安全保障的终点,正是因为有了危险、有了特定威逼动机的威逼源,应用各种攻打办法、利用信息系统的各种脆弱性、对信息资产造成各种影响,才引起了信息安全问题。而数据安全治理就是围绕着危险,针对面临的各种危险,制订针对性的策略,将危险缩小至能够承受的水平。
1 . 平安指标与业务指标对齐
大数据时代,从企业外部到企业关联的上下游产业链中每天都源源不断产生大量数据,这些数据可能给企业带来有限机会。数据也因而被称为新时代企业的“黄金”和“石油”,正成为企业的外围资产、国家的策略资源。保障数据安全能力已成为寰球进入大数据时代的重要竞争力。
传统的数据安全更多的是放在网络入侵零碎数据被窃取,而这只是数据安全的一部分,咱们提到的数据安全是以数据为核心,建设可见、可控、可管的能力,达到让数据看得见,控得住,管得好。
咱们回过头再谈数据安全治理的指标,让数据看得见,控得住,管得好是数据安全治理的伎俩,并不是指标。那么什么才是数据安全治理的指标呢?有专家观点:数据安全治理是实现敏感数据最小化拜访,以保证数据的平安。笔者认为这是战术层面的数据安全治理,而从策略上讲数据安全和敏感信息的爱护要站在企业级数据共享和利用的视角,以合规要求为前提,以数据利用为根底,以满足业务用数需要为驱动,将数据安全指标与企业业务指标对其,来进行统筹规划。换句话说,数据安全治理的指标是通过平安的应用数据以实现业务指标,脱离了“应用”数据安全就没有了意义,脱离了“业务指标”数据资产就没有了价值。
2 . 梳理数据资产,辨认敏感数据
数据资产梳理是数据安全治理的根底,通过对数据资产的梳理,能够确定敏感性数据在零碎外部的散布、确定敏感数据是如何被拜访的、确定以后的数据拜访账号和受权的状况等。
对于数据资产梳理的办法次要有自顶向下的全面梳理和需要驱动的自底向上梳理办法,这两种办法在笔者之前的文章中也有详细描述,详见《主数据管理四部曲》。这个过程也能够借助一些自动化工具帮忙咱们辨认敏感数据,基于用户指定或预约义的敏感数据及特色,工具能够自动识别发现敏感数据并导出清单。同时,还须要借助数据可视化技术,构建企业数据地图,可视化企业数据资产,并能够通过数据地图精确定位敏感数据所在位置,让数据资产和平安危险都能看得见。
3 . 数据认责体系
谁应该对企业的数据安全负责?这是有一个争议性的话题。提到数据安全认责,有人会说:“不是 IT 负责吗?”,然而,咱们从前文中大量的数据泄露案例来看,对于数据安全的责任真的不应该由 IT 背锅,IT 也负不起这个责任。事实上,IT 只是企业信息系统的实施者和维护者或局部数据的管理者,在企业的数据安全治理环境中,数据的生产者、拥有者、使用者同样有数据安全责任。
基于“谁生产、谁领有、谁负责”的数据认责准则,确定数据安全治理工作的相干各方的责任和关系,包含数据安全治理过程中的决策、执行、解释、汇报、协调等流动的参与方和负责方,以及各方承当的角色和职责等,造成由数据治理负责部门牵头的,全员参加的被动认责文化,器重问题的沟通,可能被动分析和疾速响应呈现的认责问题。执行基于数据域的数据认责模式,数据域的划分清晰且正当,理清各部门、各小组以及各参加人所承当的角色职责,在企业中推广数据认责。
4 . 分类分级策略
数据分类分级策略包含数据分类和数据分级。数据分类是依照肯定的准则和办法对数据进行归类,建设起肯定的分类体系,以便更好地治理和应用企业数据的过程。分级属于数据安全领域,依照肯定的分级准则和涉密水平的高下对分类后的企业数据进行定级,从而使企业数据的可能平安合规的进行应用。
在数据治理畛域,提到分类分级都是与数据的合规应用无关。基于企业数据的分类分级制订数据拜访控制策略,造成敏感分级数据与用户角色的访问控制矩阵,为数据的平安合规应用提供撑持。数据分类分级不仅可能确保具备较低信赖级别的用户无法访问敏感数据以爱护重要的数据资产,并防止对不重要的数据采取不必要的安全措施。
分类分级除了能够满足合规需要,更是晋升企业信息化程度和经营能力的良方。基于业务主题的分类能够更好地将数据资产化,持续性为企业提供精准的数据服务;同时数据分级能够在平安角度为企业保驾护航,哪些数据能够应用、哪些不能够应用、哪些能对外开放、哪些不能凋谢、不同等级的数据在不同场景应用哪种安全策略,高深莫测。
依据已分类的数据资产由业务部门依据数据的价值、敏感水平、影响范畴进行敏感分级,将分类的数据资产划分公开、外部、敏感等不同的敏感级别;对不同等级的数据调配给相应的用户角色,建设敏感分级数据与用户角色的访问控制矩阵。
5 . 拜访控制策略
当然,保障数据安全仅靠数据分类分级是不够的,企业须要创立一个数据拜访控制策略,该策略指定拜访类型,基于分类分级的数据拜访条件,明确有权拜访数据的用户或用户组,定义正确应用数据的形成等。
拜访控制策略是数据安全畛域的一个重要概念,通常是指批准或者限度任何对数据资源的拜访,监控和记录拜访日志,进行拜访用户身份的认证和辨认,并且确定其拜访是否失去了受权的策略。
用户身份认证
用户明码策略
配置拜访权限
最小受权准则
在设计数据拜访权限时,要联合数据安全等级并且要切合业务理论,将数据安全治理回归到业务中去,以达到数据应用的平安合规。
6 . 平安审计策略
数据安全审计是平安治理部门的重要职责,以此保障数据安全治理的策略和标准被无效执行和落地,以确保疾速发现潜在的危险和行为。数据所面临的威逼与危险是动态变化的过程,入侵环节、入侵形式、入侵指标均随着工夫一直演进。
通过数据安全审计来帮忙企业把握威逼与危险的变动,明确咱们的防护方向,进而调整和优化数据安全治理策略,补足进攻薄弱点,使防护体系具备动静适应能力,真正实现数据安全防护。
7 . 组织与人员
组织建设。数据安全治理作为企业数据治理的一个子集,其组织的建设应在数据治理组织机构的整体框架下进行,数据治理委员会仍然数据数据安全治理的决策机构,负责数据安全策略的制订。
文化建设。通过营造一种文化,使员工承受定期培训帮忙企业员工辨认并防止勒索软件攻打,网络钓鱼欺骗以及对数据和 IT 资源的其余威逼。同时,让企业的相干人员分明晓得本人在数据安全治理的责任和势力,以实现数据的合规性拜访。
8 . 制度与流程
数据认责。为了爱护企业财务数据、客户数据和其余敏感数据的平安,以保障数据的保密性、完整性和可用性。无论规模大小,企业都须要明确定义其业余人员的角色和职责。
平安审核。数据安全审核可帮忙企业理解存在的数据安全漏洞。尽管很多企业已意识数据安全对企业的重要性,并建设了数据安全的定期审核机制,但实际上大多企业的精力还是放在解决数据自身上,而定期审核机制成为了一个陈设。
全生命周期治理。数据的平安治理应贯通于数据的整个生命周期,在数据的布局、设计、创立、存储、应用、销毁的各个阶段应设置相应的管控点和治理流程。数据的布局和设计阶段,应答涉密、敏感数据进行辨认、分类和分级,并定义数据平安窃密管制的规定。整个治理过程须要充分调动业务部门,通过业务流程把敏感信息的解决要求落到具体的业务环节中去。
9 . 技术与工具
严格来说数据资产梳理、敏感数据辨认、数据分类分级、数据访问控制、数据安全审计都是数据安全治理技术的领域。除此之外,还包含:破绽扫描、备份与复原、数据加密、数据脱敏脱密等。
最初:在企业数据安全治理中,这些为爱护企业数据或应答数据泄露而采取的措施该当造成文件,以便在企业范畴内进行流传。这将是数据安全治理的纲领性文件,针对所有与敏感数据有接触的人员的权限进行定义,就人员对数据拜访的过程提出管制流程。借由这些动作来发展数据安全治理工作,确保数据安全治理工作有纲有领,稳步推动。