国内数据领域首部基础性、综合性立法来了!
7月6日,《深圳经济特区数据条例》(以下简称《条例》)今天在深圳市人大常委会网站公布,并将于2022年1月1日起实施。
《条例》坚持个人信息保护与促进数字经济发展并重,对市民深恶痛绝的APP“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题说“不”,并给予重罚。随着《数据安全法》等各项法律法规的陆续颁发,对于企业数据安全的整体战略该如何规划?
整体框架要点
●建立框架
管理层必须为制定数据安全战略提供支撑,企业的职权范围和指导原则决定了具体的标准、最佳实践和框架。
●确定愿景
计划的目标是特定于本企业的,聚焦于企业的竞争力、合规性或满足数据主体的需求。
●商定范围
使用确立的愿景,企业需就数据安全的范围或广度达成一致。范围可能涉及多个步骤,并需要数年才能完成。
●制定战略目标
基于数据、人员、流程、技术、规则,使用明确、可衡量、可实现、相关且有时限的目标。
●落实具体行动
为已确立的数据安全战略目标制定行动计划,落实谁来做、做什么以及什么时候做,管理层需保障资源。
●持续安全运营
安全运营是管理和监控战略成果的关键组件,建立安全运营指标以用于监督和协调,同时提高全员的意识和流程参与度。
方法与思路
●场景驱动的方案具备落地性
企业信息化建设的核心目标是提高业务效率,数据的高效传输、分享和交换是实现这个目标的重要途径。如果不能把握好保护的“度”,简单粗暴的保护方法极可能与业务目标是相背离的。企业必须根据数据的类型、使用者、交换频度来区分不同场景,采用不同技术手段予以保护,解决好“度”的问题,取得安全与效率的平衡。因此,企业应当充分考虑业务场景,以数据智能识别和发现为基础,通过授权控制、智能隔离、安全流转、审计追溯等手段,保护企业业务系统和终端上的业务数据,保证数据的高效传输、分享和交换。
●平台化的解决方案会被重视
企业需优先满足最紧急、最迫切的监管,优先保护最重要、最核心的数据。随着数据安全防护、终端补丁管理、安全行为管理、准入控制、基线管理、资产管理等各种安全管理系统在大型机构内部网络中不断部署,这些分散的、不断增多的安全系统加重了管理负担,且因缺乏统一的架构,数据难以集中,系统间缺乏协同,使得安全效果有限。企业需重视总体规划,建立一个企业安全平台,统一框架,数据集中,实现更强更智能的安全保护,可减轻安全管理负担,降低采购和维护成本。
方案与工具
●摸清家底
数据梳理
制度建立
数据分级分类
敏感数据发现
远程办公场景梳理
●风险识别
终端明文留存风险
流转通道泄露风险
内部外发行为风险
外部网络入侵风险
安全意识提升工具
●管控落地
泛终端安全基线管理
数据安全交换通道
安全存储与外发审批
业务系统安全保护
安全水印与可追溯
后记
随着各项数据安全类相关的法律法规的出台和执行,对于企业而言,不管是个人数据还是公共数据都需要做到安全、合规等多项要求,作为网络安全行业的从业者,联软科技也会在数据安全治理等多方面深入挖掘,研发和实践,为更多行业用户打造更加坚实的数据安全未来!
来源:freebuf.com 2021-07-28 11:31:03 by: 联软科技leagsoft
请登录后发表评论
注册