随着《网络安全法》的实施,网络空间安全日益突显。大数据、云计算、人工智能等新技术的推广和应用,开展数据整合、数据分析应用、提升数据价值工作,对提高企业经营管理水平具有重要意义。
数据已经离开其原始产生的系统,在数据传输、集中存储与交换、加工处理等各个环节中流动,数据销毁也不只涉及产生数据的系统,还涉及数据流动的各个环节,数据在流动过程的安全问题有着自身的特点。如:面临业务场景复杂、涉及人员角色多、数据流转环节多等,数据安全面临新的挑战。通过为数据全生命周期提供适当的认证、授权、访问和审计,保证数据全生命周期的安全势在必行。
数据安全巧治理 降低风险生价值
华途信息认为,企业数据安全治理工作是一项系统化的工程,数据安全治理是数据高效安全利用持续改进的一套管理机制和技术辅助工具有机结合的体系,治理工作需要分阶段、分重点建设。
治理目标
>构建数据内容安全管理体系
构建数据内容安全管理体系,基于数据全生命周期进行安全管理,做好安全防护。
> 数据资产分类分级
依据法律法规,结合业务实际,对业务数据进行敏感度分类分级,明确业务数据全生命周期的权属和访问权限,与涉及业务部门对敏感数据的分类分级、角色、权限进行访谈确认,最终形成审批通过的分类分级、角色、权限的定义、映射矩阵等技术方案。
>制定数据安全策略
基于业务数据敏感度的分类分级,结合资产清单中的数据全生命周期中的流转所涉及场景和风险,制定安全策略,开展数据分类分级工作并支撑落地应用。
>设计搭建数据内容安全管理平台
设计数据内容安全管理平台,支撑数据安全自动化、智能化管理,完成数据分类分级和安全管控的试点验证。
治理方案
>实施步骤
华途信息根据对项目需求的理解,结合客户的项目要求,从组织范围、业务范围、系统范围、数据范围等方面开展工作。分为项目启动、现状评估、咨询设计、工具搭建与试点验证、知识转移五个阶段,每个阶段再进行WBS分解,逐步满足项目需求,达到项目目标。
>数据内容安全体系框架
根据咨询阶段形成的管理制度、定义、流程和数据资产,选择其中1-2个系统开展咨询成果验证。通过在应用系统之间逻辑串接数据内容安全管控平台,实现对分类分级好的数据内容打标签、应用系统用户的角色权限、权限与数据内容映射定义、审批流程设置管理、脱敏规则等技术管控措施,实现咨询成果的技术手段验证,评估数据安全内容管控的技术管理效果。
治理价值
通过数据安全治理业务的实施,可以清晰掌握业务数据的现状,明确业务的类型和等级,确定业务系统的属性和权限及数据内容之间的权限映射关系。解决当前业务数据离开原始生产系统后的无法管理难题,降低数据泄漏的风险。
实现“访问内容可定义、访问过程可监控、访问记录可审计”。
▪ 提高合规性 依据法律法规、监管要求,落实数据安全控制手段,规避合规风险。
▪ 实现精细化管理 对数据访问权限的控制,从功能点级别细化到“字段”级。
▪ 实量化管理 通过对业务IT系统内的敏感数据进行分级别管理,量化了管理要求,增强了数据安全管理要求的可操作性,奠定在数据内容安全管理的行业领先地位。
数据产生的价值,是现代化企业的核心命脉之一,华途信息将帮助用户规范数据流通共享,构建数据安全治理体系,提升数据安全治理能力,降低数据泄漏风险,保护企业数据安全。
https://mp.weixin.qq.com/s/0C_dQrnnEBEegGYb68b6NA
来源:freebuf.com 2021-02-07 11:49:34 by: 华途信息007
请登录后发表评论
注册