数据安全是当前的热门话题、共性话题,提升企业自身数据安全防护能力已成为行业共识。12月21日,中国信息通信研究院“ICT深度观察”大会-数据安全产业分论坛举行,腾讯安全云鼎实验室高级研究员刘海洋出席会议,从数据场景角度切入,深度剖析数据安全体系建设面临的挑战与发展趋势,分享企业数据安全评估的最佳实践。
数据安全体系建设的发展趋势应是一体化和轻量化
数据已成为新的生产要素,在经济发展中发挥的作用越来越大。相应地,数据面对的安全风险和挑战也越来越多。今年 9 月施行的《数据安全法》,更标志着数据安全和数据利用正式提升到国家法规层面。
在刘海洋看来,数据安全最大的难点在于便捷使用和安全管控之间的平衡。在数据安全工作中可以发现,数据安全管控措施往往与数据业务是交织在一起的。因此,数据安全并不是一味地去防、去控,而是要充分考虑其业务场景和处理活动,既要能用,还要安全。
如何更好地平衡数据使用和数据安全之间的矛盾?一体化、轻量化,将会是数据安全体系建设的发展趋势。
一体化,主要体现在数据安全能力融合上。将众多数据安全能力通过组件化的方式进行融合,形成企业的统一管控平台,不仅可以降低投入成本,同时其灵活性也可适应复杂的数据场景。
轻量化,主要体现在能力接入方面。数据安全工作不是边界类防护,需要业务深度参与,甚至有时为了安全要损失业务功能的便捷性。因此,数据安全能力的接入要充分考虑对业务流程的影响,尽量做到免改造、微改造。
数据安全体系建设的目的是让数据遵规守序
在目前强监管态势下,一体化、轻量化地进行数据安全体系建设,最终目的是让数据管理遵循法规,让数据流动遵守秩序。数据安全体系构建需要先进灵活的底座,才能应对多样性的法规。从数据生命周期角度来看,企业数据安全评估及安全体系建设的最终路径,概括起来则是:厘清数据资产——掌握使用状况——明确差距与风险——理清建设思路。
在启动数据安全评估之前,首先要明确数据安全现状,做好数据资产盘点和数据分类分级工作。有哪些数据?数据在哪里?现阶段基本架构情况如何?是否符合数据安全合规的要求?回答了这些问题,才能在后续,结合业务发展与合规要求,制定适合企业自身需求的数据安全方案和策略。
对于最重要的数据安全评估,为掌握数据使用状况,保证调研工作的效率和准确性,建议采用“面对面为主,远程为辅”、“工具为主,人工为辅”的工作策略。从过往数据处理活动梳理的实践经验来看,一个数据场景可能有一个或多个处理活动,最好的办法便是按数据流向开展梳理,以数据跨场景为边界,关注每个处理活动中的数据角色和权限。
而明确当前数据安全建设的差距与风险,不仅需要结合实践经验对当前数据运营状况进行风险分析,形成风险评估报告,还要结合现行数据安全相关法律法规,对应评估点,发现自身数据安全体系在合规方面的差距。根据《数据安全法》和《个人信息保护法》等相关条款,企业还应定期对数据安全情况开展风险评估,定期合规审计。
事实上,数据安全体系构建并非一蹴而就,而是不断进行经验总结、能力提升、工具完善,不断完善评估体系,使其更高效、更准确。
(推广)
