構(gòu)建數(shù)據(jù)安全保障體系需要理清如下思路:
首先,需要明確《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》、《個人信息保護法》以及“等保2.0”之間的關(guān)系。這幾者是關(guān)聯(lián)關(guān)系,即在保證網(wǎng)絡(luò)安全的前提下,覆蓋數(shù)據(jù)安全及個人信息安全,在行業(yè)領(lǐng)域建設(shè)相關(guān)安全體系時,特別涉及到關(guān)鍵信息基礎(chǔ)設(shè)施時,必須要遵從“等保2.0”相關(guān)規(guī)范。在關(guān)聯(lián)性基礎(chǔ)之上,建設(shè)單位需要結(jié)合具體場景、行業(yè)特性、數(shù)據(jù)屬性量等,綜合判斷自身業(yè)務(wù)特點應該參照哪一部或哪幾部法律法規(guī)。
其次,數(shù)據(jù)安全保障體系建設(shè)需要明確“技術(shù)”與“管理”并重思路,把“技術(shù)”作為“管理”的延續(xù),即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標,借助豐富的數(shù)據(jù)安全監(jiān)測手段以及快速響應機制等,通過技術(shù)手段的不斷進步逐一落實數(shù)據(jù)安全管理目標。
數(shù)據(jù)安全保障體系六步走,共分為數(shù)據(jù)安全治理評估、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)、數(shù)據(jù)安全管理制度建設(shè)、數(shù)據(jù)安全技術(shù)保護體系建設(shè)、數(shù)據(jù)安全運營管控建設(shè)、數(shù)據(jù)安全監(jiān)管建設(shè)。
01 數(shù)據(jù)安全治理評估
區(qū)別于合規(guī)要求的網(wǎng)絡(luò)安全建設(shè),數(shù)據(jù)安全保障體系應建立在事實依據(jù)的基礎(chǔ)上,才能對自身業(yè)務(wù)最核心的數(shù)據(jù)安全風險采取技防監(jiān)測、控制手段解決,所以第一步,即開展數(shù)據(jù)風險發(fā)現(xiàn)過程-數(shù)據(jù)安全治理評估。
通過數(shù)據(jù)安全治理專家團隊,從業(yè)務(wù)視角出發(fā),對業(yè)務(wù)應用的現(xiàn)狀、使用情況進行調(diào)研、分析,確定業(yè)務(wù)的關(guān)聯(lián)關(guān)系、訪問的關(guān)鍵路徑、數(shù)據(jù)的流向及演變過程,結(jié)合對基礎(chǔ)安全管控措施的分析,找出主要業(yè)務(wù)所面臨的管理、技術(shù)及運營風險。其次,集合多個業(yè)務(wù)系統(tǒng)的調(diào)研結(jié)果,找出系統(tǒng)間的共性問題,為制定業(yè)務(wù)的數(shù)據(jù)安全管理規(guī)范提供第一手的參考依據(jù)。針對業(yè)務(wù)各系統(tǒng)及數(shù)據(jù)資產(chǎn)全面開展評估梳理工作,形成《數(shù)據(jù)資產(chǎn)清單》,明確相關(guān)平臺各系統(tǒng)的輸入輸出,數(shù)據(jù)所在位置及其處理、共享、交換等使用過程中數(shù)據(jù)重要度等內(nèi)容。
基于業(yè)務(wù)場景梳理數(shù)據(jù)操作過程中的主體(人、用戶、賬號)、客體(數(shù)據(jù))、過程(操作的時域、地域、權(quán)限、結(jié)果等)屬性;以角色控制為視角,明確被審計用戶(賬號)的類型、角色,包括應用程序所有者(業(yè)務(wù)賬號)、應用程序終端用戶(業(yè)務(wù)終端)、數(shù)據(jù)管理賬戶(數(shù)據(jù)庫管理員)等;建立符合業(yè)務(wù)最小夠用的安全策略模型。
02 數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)
數(shù)據(jù)安全管理是一項需要多方聯(lián)動型的復合型工作,在開展組織架構(gòu)建設(shè)時,需要考慮組織層面實體的管理團隊及執(zhí)行團隊,同時也要考慮虛擬的聯(lián)動小組,所有部門均需要參與安全建設(shè)當中。同時,需要根據(jù)部門職責建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設(shè)的需求。
03 數(shù)據(jù)安全管理制度建設(shè)
前期的數(shù)據(jù)安全組織結(jié)構(gòu)體系建設(shè)為后續(xù)數(shù)據(jù)安全建設(shè)提供了角色支撐,接下來需要從管理制度手段上進行梳理。數(shù)據(jù)安全保障體系的規(guī)范一般從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風險控制需要及法律法規(guī)合規(guī)性要求等幾個方面進行梳理,最終確定數(shù)據(jù)安全防護的目標、管理策略及具體的標準、規(guī)范、程序等。
一般情況下,數(shù)據(jù)安全管理規(guī)體系文件可分為四個層面:
一級文件是由決策層確定管理要求、目標及基本原則;二級文件是由管理層根據(jù)一級管理要求制定通用的管理辦法、制度及標準。
二級文件作為上層的管理要求,應具備科學性、合理性、完善性及普遍的適用性;
三級文件一般由管理層、執(zhí)行層根據(jù)二級管理辦法確定各業(yè)務(wù)、各環(huán)節(jié)的具體操作指南、規(guī)范;
四級文件屬于輔助文件,一般包括操作程序、工作計劃、資產(chǎn)清單、過程記錄等過程性文檔。
四級文件是對上層管理要求的細化解讀,用于指導具體業(yè)務(wù)場景的具體工作。
例如,數(shù)據(jù)安全分級指南的建設(shè)過程屬于數(shù)據(jù)安全管理制度建設(shè)中最為基礎(chǔ)的一環(huán),首先要從行業(yè)中找到參考的數(shù)據(jù)分類分級指南(若沒有,可采用國標等相關(guān)具備參考價值的指南),其次結(jié)合自身業(yè)務(wù)實際情況,對業(yè)務(wù)數(shù)據(jù)進行管理層面的分類分級流程,最后基于自身的業(yè)務(wù)場景,形成自身的數(shù)據(jù)安全分級指南。
04 數(shù)據(jù)安全技術(shù)保護體系建設(shè)
不同安全級別的數(shù)據(jù),可參照數(shù)據(jù)生命周期的原則進行數(shù)據(jù)安全應用執(zhí)行。具體保護要求及措施,可參照國家相關(guān)法律、法規(guī)、標準及自身的數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標準執(zhí)行。
05 數(shù)據(jù)安全運營管控建設(shè)
數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性,需要進行長期性服務(wù),建立完善的數(shù)據(jù)安全運營團隊是必然選擇。數(shù)據(jù)安全運營主要包括以下內(nèi)容:
數(shù)據(jù)安全運維:主要是數(shù)據(jù)安全措施的使用、運維,駐場或定期對數(shù)據(jù)安全產(chǎn)品的使用情況進行分析,并結(jié)合管理要求,持續(xù)進行管控措施策略和配置的優(yōu)化,并定期輸出數(shù)據(jù)安全運維報告和策略優(yōu)化建議等;
應急預案與演練:按照相關(guān)要求,制定數(shù)據(jù)安全事件應急預案。并按照制定的應急規(guī)劃,按照安全事件的危害程度、影響范圍等對安全事件建分級,定期進行應急預案演練;
監(jiān)測預警:圍繞數(shù)據(jù)安全目標,依據(jù)相關(guān)安全標準,建立數(shù)據(jù)安全監(jiān)測預警和安全事件通報制度,收集分析數(shù)據(jù)安全信息,對安全風險及時上報,包括按需發(fā)布數(shù)據(jù)安全監(jiān)測預警信息等;
應急處置:相關(guān)方按照應急預案,在發(fā)生安全事件時,采取應急處置措施,向主管部門上報重大安全事件,定期對應急預案和處置流程優(yōu)化完善;
災難恢復:在數(shù)據(jù)安全事件發(fā)生后,根據(jù)安全事件的影響和優(yōu)先級,采取合適的恢復措施,確保信息系統(tǒng)業(yè)務(wù)流程按照規(guī)劃目標恢復。
06 數(shù)據(jù)安全監(jiān)管
移動互聯(lián)網(wǎng)時代下,數(shù)據(jù)承載的價值越來越高,數(shù)據(jù)面臨巨大的威脅,監(jiān)管部門出臺相關(guān)法律法規(guī),對數(shù)據(jù)從業(yè)者提出了相關(guān)要求,也明確了監(jiān)管機構(gòu)的責任。公安機關(guān)作為監(jiān)管單位,將依法履職盡責,對數(shù)據(jù)處理者履行數(shù)據(jù)風險監(jiān)測與風險評估等數(shù)據(jù)安全保護義務(wù)、遵守國家核心數(shù)據(jù)管理制度、向境外提供重要數(shù)據(jù)、配合公安機關(guān)開展數(shù)據(jù)調(diào)取、向外國司法或者執(zhí)法機構(gòu)提供數(shù)據(jù)等行為依法開展監(jiān)督管理。