9月1日,《中华人民共和国数据安全法》已正式施行,《个人信息保护法》也将紧随其后,将在11月1日落地生效。随着我国两部法律相继颁布实施,安全合规趋紧,企业加强数据安全能力建设已势所必然。美创科技副总裁受邀解读企业如何实现数据安全合规建设。
为进一步推动《数据安全法》的贯彻落实,提升组织机构的数据安全保障能力,有效应对数据安全风险挑战,构建良好的数据安全产业生态,区块链技术与数据安全工信部重点实验室举办《数据安全法》专题研讨会(线上)。国家工信安全中心领导、业内知名专家学者、企业代表多视角解读当前企业面临的数据安全问题,交流共享数据安全合规经验。
美创科技副总裁王利强受邀参加,并在研讨会上进行《企业数据安全合规技术能力建设》主题演讲,解读企业如何从顶层设计出发实现以数据为对象的安全治理体系建设,数据安全能力如何匹配合规要求。
从框架、方法到工具
推动数据安全合规技术能力建设
日前,广泛关注的《数据安全法》正式实施,对监管、企业单位以及数据安全厂商意义重大。作为我国数据领域的基础法律,数安法对监管部门行使数据治理权力、开展数据安全监管,为企业合法处理数据、保障数据处理安全等,都提供了充分的法律依据。作为数据安全厂商,美创科技也明显感受到企业对数据的重视程度,越来越多的企业也纷纷开启对数据安全治理的探索工作。
王利强表示:美创科技对企业该如何做好数据的安全基建,完善数据安全治理体系,有十多年项目经验和研究积累。在大量实践中,美创结合安全法律规范要求,提炼总结出 数据安全治理体系整体建设框架,数据安全建设六大步骤模块和十大实践指南,以一整套框架体系、方法论和工具,帮助企业构建一条实现数据安全能力全面提升的可行道路。
一、“五大保障”形成数据安全治理体系框架:
数据安全治理体系框架由安全战略保障、安全管理保障、基础支撑能力保障、安全技术保障、建设运营保障五个维度构成,自上而下帮助用户牢筑数据安全治理体系,并实现数据安全状态的持续提升。
-
在数据安全战略保障层面:全面了解法律法规、行业标准规范等,才能更好的指导安全建设,促使数据安全合规性、规范性要求不断提高。
-
在数据安全管理保障层面:安全建设离不开组织管理的保障,需要建立完善的制度流程、组织架构,同时包保障合理的人员配备,从而更好的推进安全工作落地。
-
在数据安全基础支撑保障层面:从身份鉴别、入qin检测、入qin防御、高危操作防护等形成一系列数据安全通用能力,更好的支撑安全技术保障。
-
在数据安全技术保障层面:基于上述安全基础支撑能力,根据数据流动特征,从数据全生命周期和应用场景出发提供相应的安全防护技术,完成针对性数据安全防护措施落地。
-
在数据安全建设运营保障层面:建立数据安全运营中心,汇集关键信息基础设施的安全数据,形成包括资产管理、合规监管、态势感知、通报预警和应急指挥等一系列运营管理能力。
二、“六大步骤、十大实践指南”确保安全合规建设有效落地
基于整体数据安全治理框架,王利强从整理落地实践角度出发,介绍美创科技根据数据安全法合规要求形成的数据安全建设落地的六大步骤和十大实践指南,为企业如何有序开展数据安全落地实施工作提供整体路径指南。
“六大步骤、十大实践指南”贯穿安全治理、规划设计到技术落地,具体涵盖现状梳理、风险评估、数据安全架构、产品技术保障、安全建设运营、数据治理与应用等各个维度。比如:
1 、“五步法:明现状、定规划、立组织、定制、建标准”:美创科技依据《信息安全技术 数据安全能力成熟度模型》以及GartnerDSG、微软DGPC、NIST IPDRR等国外模型,建立了一套轻量、敏捷化的数据安全治理咨询方法论,帮助企业用户快速有效进行现状梳理(数据资产梳理与分类分级)、风险评估,充分了解自身的数据安全合规情况,为安全规划和技术防护提供依据。
数据安全治理咨询方法论
在用户重点关注的数据分类分级保护中,用户实践中普遍存在“无标准难规范,有标准难落地、已落地难应用”的难点问题,美创科技在多年业务实践中形成了一套可操作落地的方法论和配套软件工具,从前期咨询、项目实施和产品沉淀三步实现有效的数据分类分级,并生成可视化的分类分级报告,方便用户筛选和查看不同敏感程度的数据分布和信息。
数据资产梳理
在安全风险评估中,美创科技针对数据资产面临的威胁、存在的弱点、造成的影响以及三者综合作用所带来的风险可能性评估环节。基于数据安全能力成熟度模型,安全数据全生命周期分阶段,采用不同的能力评估等级,从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量,并划分等级,结合数据分类分级结果,最终对敏感数据采取相应的安全策略和防护措施提供有力依据。
2 、“数据安全技术研究和产品能力,做好数据安全基础支撑保障”:美创科技作为零信任数据安全的倡导者和践行者,形成落地更适应数字化转型发展的新一代零信任安全架构,并形成完善的数据安全能力地图(如:数据发现、分类分级、身份鉴别、入qin防护、访问控制、数据脱敏、备份与恢复等),从人员身份的动态鉴别、数据资产精细化动态化授权、用户异常行为预警阻断、威胁风险的持续检测和响应等方面更好应对无边界环境下的数据安全挑战。
3 、“规范数据处理活动,具备保障持续安全状态的能力”:美创科技认为数据安全并非单点保护,需要实现点、线、面的全面保障。对此,针对目前数据面临的安全威胁呈现动态变化的特点,美创科技帮助用户基于数据流向进行覆盖数据全生命周期的安全管理,实现数据全链路的安全保障,实现“数据在哪里,安全在哪里,安全跟着数据走”,基于安全运营与风险监控,实现数据资产全域可管、风险全域可视、策略全域联动,促进数据安全治理的闭环形成,最终实现有序、快速响应的数据安全运营能力。
4 、“统筹发展与安全,促进以数据为关键要素的数字经济发展”:
也就是美创科技在数据治理领域的实践,根据美创数据治理“四定六步”法,帮助用户从数据发现,数据归集,数据清洗、数据建模开发、数据资产管理、数据应用与服务等方面,帮助数据安全合规使用,最终帮助用户在确保数据安全合规的条件下,发挥数据要素价值,实现安全与发展兼顾,推动用户更安全的实现数据驱动下的数字化转型发展。
数据治理“四定六步”法
最后,王利强强调:DT时代,数据作为一种新型的生产要素,广泛地应用在各类数字化场景中,面临的威胁风险更加复杂多样。实现数据安全能力的全方位提升,离不开清晰的全局视角和成熟产品技术的保障,也离不开国家监管部门、行业主管单位、用户单位和数据安全企业多方协作,共同推动数据分类分级、安全评估、重要数据识别等标准制定,实现我国数据安全治理水平持续提升。
——来自国家工信安全中心、对外经济贸易大学、360集团、腾讯科技(深圳)有限公司、武汉东湖大数据交易中心、北京盈科律师事务所、北京炼石网络技术有限公司的专家代表参加此次会议。
美创科技在9月1日启“政企数据安全建设咨询”专项行动,致力于帮助政府企业数据安全建设无从下手、不知道如何开展的困难、帮助用户实现场景化、结合业务的数据安全建设,欢迎合作咨询。