9 月 9 日,由腾讯平安联结北京城市大数据研究院有限公司、中安威士(北京)科技有限公司、闪捷信息科技有限公司、北京三未信安科技有限公司、杭州世平信息科技有限公司等生态合作伙伴,独特举办的《政务大数据平台数据安全体系建设指南》(以下简称《指南》)发布会在线上举办。
关注 腾讯平安(公众号 TXAQ2019)
回复 政务数据安全 获取指南
《指南》围绕等保 2.0 的“一个核心、三重防护”的准则,通过调研国内一些政务大数据平台我的项目和钻研数据场景,提炼业内最佳实际,并提出了合乎政务大数据平台特色的数据安全体系建设指南,为今后政务大数据平台建设提供了无益参考。
紧贴四大刚需
政务大数据平台建设亟需“从内抓起”
《指南》指出,大数据时代下的政务数据应用具备场景简单、数据用户多、数据量大、裸露面大等显著特点,传统的单品形式难以应答,这就迫使政务数据建设倒退应该遵循以下四大数据安全需要:
- 数据合规:数据安全合规已成为将来可继续倒退的必然要求,法律法规是保障信息化建设的强制性动作,对于政务大数据平台,平安合规是可继续倒退的首要条件;
- 防泄露:依据平台的性质和业务的不同通常会蕴含大量秘密数据资产,一旦产生泄露,不仅造成数据主体的损失,对政府部门的名誉也会造成重大影响;
- 防篡改:因为利益的驱使,不法分子不免有会逼上梁山篡改信息,达到本身受害的目标,因而政务大数据平台也应该器重数据篡改的防护;
- 防滥用:个别状况下,平台委托第三方负责建设和经营,平台业主方个别负责兼顾,这样就会存在第三方滥用数据的可能,不利于政务数据利用的倒退。
遵循五大准则
“技术 + 治理”强化源头管控
如何均衡公共利益与公民个人信息爱护;如何摸索大数据时代下社会治理平安与效率, 确保公民集体信息安全。《指南》提出,通过将技术防护和平安治理的无效联合,强化源头平安管控、升高数据被滥用或隐衷泄密的危险,并重点从以下五个方面建设和治理。
- 用管拆散:依据不同业务零碎、不同性能和用处将数据应用和数据管理拆散。采取“用管拆散、分权而治”的准则;
- 权限最小化:依据各个业务零碎中不同角色不同业务场景的账户权限调配须要满足最小化准则,确保数据主体仅被授予工作执行和实现工作所必须的权限;
- 全面笼罩:通过技术或管理手段,保证数据在零碎中数据流动的各个阶段是可控的;
- 可控性:通过技术或管理手段,保证数据在零碎中数据流动的各个阶段是可控的;
- 可塑性:通过技术及管理手段,实现数据的起源或泄露点可追溯。
发力六大畛域
构建残缺的数据安全进攻体系
政务数据安全能力的建设是外围,同样也是根底。但如何构建齐备的平安进攻体系,是所有政务及公共数据持有部门目前面临的首要问题。《指南》倡议,围绕等保 2.0 提出的“一个核心、三重防护”的准则,来构建残缺的数据安全进攻体系,并从组织建设、制度标准、根底平安保障、数据安全能力建设、数据场景、数据安全经营六个方面发展进行。
- 组织建设:数据安全组织是数据安全体系建设的前提条件,通过建设专门的数据安全组织,落实数 据平安治理责任,明确数据安全治理的政策、监督执行状况,确保数据安全相干工作可能继续稳固贯彻与执行;
- 制度标准:参考《ISO27001-2013 信息安全管理体系要求》将制度分为四级,以便于依照体系化的办法治理;
- 根底平安保障:密钥管理体系是数据安全防护的外围伎俩,对于密钥的应用国家明码管理局有相应的要求。因而,须要建设一套合规的密钥体系,并通过正当的使用达到数据保护的成果;
- 数据安全能力建设:数据安全能力包含数据定级、数据脱敏、数据加解密、数据安全审计、数据安全态势感知五个方面的能力,通过能力建设和正当的应用,能够无效晋升大数据平台的数据安全防护程度;
- 数据场景:政务大数据的数据源个别来自各厅局、上司事业单位、政务替换平台或社会渠道等,通过政务零碎的接口调用、部署前置机或间接获取数据文件等形式来采集数据。在此过程中,保障采集数据的真实性和完整性十分重要;
- 数据安全经营:数据安全经营即数据安全工作常态化,数据安全经营工作包含制度标准欠缺、日常巡检自查、应急响应、告警解决、资源协调、策略调整、数据应用情况的监控等。数据安全经营能够有效应对数据变动和应用情况变动而产生的危险。
此外,《指南》也提出,数据安全是一项体系化的工程,倡议政务数据平台应基于数据场景,以数据生命周期中的各个环节为次要管控点,从制度标准、技术工具、审计稽核三个维度来增强平安管控,并将数据安全工作进行常态化。
在此次《指南》的指引下,腾讯平安将联合过来 20 多年积攒的技术、人才、教训劣势,踊跃联结生态合作伙伴,助力政务机构建设数据安全保障体系,实现数据全生命周期爱护,护航产业数字化转型降级。