隨著數(shù)字化時(shí)代的迅猛發(fā)展，大數(shù)據(jù)對企業(yè)、社會(huì)和民生的影響愈發(fā)巨大，大數(shù)據(jù)的應(yīng)用對于國家發(fā)展、企業(yè)運(yùn)營乃至個(gè)體經(jīng)營起到至關(guān)重要的作用，引領(lǐng)大數(shù)據(jù)成為當(dāng)今時(shí)代的主題。然而，當(dāng)下大到政府機(jī)密和行業(yè)敏感數(shù)據(jù)泄露，小到個(gè)人隱私暴露等不良事件對公共和個(gè)人安全造成了巨大的威脅。因此，大數(shù)據(jù)的應(yīng)用既是機(jī)遇也是挑戰(zhàn)，本篇以企業(yè)數(shù)據(jù)安全管控為例，探討有利于保障企業(yè)數(shù)據(jù)安全的防護(hù)體系。

1、數(shù)據(jù)安全標(biāo)準(zhǔn)

國際層面，各國出臺(tái)了如GDPR、CCPA、COPPA、LGPD等。

國內(nèi)層面，近期相繼出臺(tái)了《網(wǎng)絡(luò)安全法》、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》、《數(shù)據(jù)安全管理辦法》(征求意見稿)、《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見稿)和《中華人民共和國數(shù)據(jù)安全法(草案)》等。

2、數(shù)據(jù)生命周期

在GB/T36073—2018《數(shù)據(jù)管理能力成熟度評估模型》中，對大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織業(yè)務(wù)中的流轉(zhuǎn)情況定義了數(shù)據(jù)的6個(gè)生命周期階段，如圖所示。

(1)數(shù)據(jù)產(chǎn)生，指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段。數(shù)據(jù)的產(chǎn)生包括兩種形式：一種是組織內(nèi)部系統(tǒng)生成的數(shù)據(jù);另一種是組織從外部收集的數(shù)據(jù)。

(2)數(shù)據(jù)存儲(chǔ)，指非動(dòng)態(tài)數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)的階段。

(3)數(shù)據(jù)使用，指組織在內(nèi)部針對動(dòng)態(tài)數(shù)據(jù)進(jìn)行的一系列活動(dòng)的組合。

(4)數(shù)據(jù)傳輸，指數(shù)據(jù)在組織內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的過程。

(5)數(shù)據(jù)共享，指數(shù)據(jù)經(jīng)由組織與外部組織及個(gè)人產(chǎn)生交互的階段。

(6)數(shù)據(jù)銷毀，指利用物理或技術(shù)手段使數(shù)據(jù)永久或臨時(shí)性不可用的過程。數(shù)據(jù)的安全防護(hù)過程覆蓋數(shù)據(jù)生命周期的6個(gè)階段，

3、數(shù)據(jù)安全防護(hù)體系

為了使企事業(yè)單位在開展數(shù)據(jù)安全體系建設(shè)時(shí)有所參照，解決建設(shè)前、中、后的顧慮和困惑。騰訊安全結(jié)合自身的應(yīng)用與實(shí)踐經(jīng)驗(yàn)，繪制并發(fā)布數(shù)據(jù)安全能力圖譜，助力企業(yè)規(guī)劃數(shù)據(jù)安全體系的建設(shè)、加強(qiáng)數(shù)據(jù)場景的安全管控能力、指導(dǎo)數(shù)據(jù)安全能力的評估等場景。

騰訊數(shù)據(jù)安全能力圖譜提出了六大能力，即數(shù)據(jù)資產(chǎn)管控能力、數(shù)據(jù)安全運(yùn)營能力、數(shù)據(jù)業(yè)務(wù)安全管控能力、數(shù)據(jù)支撐環(huán)境安全管控能力、數(shù)據(jù)運(yùn)維安全管控能力和數(shù)據(jù)安全感知能力，覆蓋了數(shù)據(jù)全生命周期及重要的數(shù)據(jù)場景，在開展數(shù)據(jù)安全體系建設(shè)時(shí)具有很高的參考價(jià)值。

4、構(gòu)建數(shù)據(jù)安全保障體系

企業(yè)開展數(shù)據(jù)安全建設(shè)工作需從組織架構(gòu)、管理制度、安全團(tuán)隊(duì)建設(shè)、技術(shù)保障等方面構(gòu)建全方位的數(shù)據(jù)安全保障體系

(1)組織架構(gòu)。設(shè)計(jì)數(shù)據(jù)安全組織架構(gòu)時(shí)，可按照決策層、管理層、執(zhí)行層和監(jiān)督層的架構(gòu)進(jìn)行設(shè)計(jì)。

(2)管理制度。參考ISO27001管理體系框架，從方針、管理制度、操作規(guī)范、記錄表單等維度構(gòu)建統(tǒng)一的數(shù)據(jù)安全管理體系。其中，方針是一級(jí)文件，主要描述企業(yè)在數(shù)據(jù)安全管理方面的目標(biāo)、策略、愿景、基本原則和管理要求等。

(3)安全團(tuán)隊(duì)建設(shè)。數(shù)據(jù)安全團(tuán)隊(duì)建設(shè)必須要著眼未來、立足長遠(yuǎn)，可從文化、能力、意識(shí)等方面開展團(tuán)隊(duì)建設(shè)，與時(shí)俱進(jìn)地學(xué)習(xí)新知識(shí)和新技術(shù)，才能更準(zhǔn)確、更高效地識(shí)別企業(yè)新風(fēng)險(xiǎn)，才能更精準(zhǔn)地處理風(fēng)險(xiǎn)，從而適應(yīng)日益嚴(yán)峻的內(nèi)外部環(huán)境，實(shí)現(xiàn)更有效的風(fēng)險(xiǎn)防范。

(4)技術(shù)保障。基于企業(yè)數(shù)據(jù)全流程管理并結(jié)合技術(shù)手段，聚焦數(shù)據(jù)承載平臺(tái)，提升終端數(shù)據(jù)安全、網(wǎng)絡(luò)數(shù)據(jù)安全、平臺(tái)數(shù)據(jù)安全和應(yīng)用數(shù)據(jù)安全的防護(hù)能力，避免數(shù)據(jù)外泄。其中，涉及到的數(shù)據(jù)安全技術(shù)工具包括系統(tǒng)平臺(tái)、工具、功能、算法技術(shù)等，需從整體進(jìn)行規(guī)劃，確保和企業(yè)的信息系統(tǒng)進(jìn)行有效銜接。

(5)風(fēng)險(xiǎn)管理通過建立集安全規(guī)劃、安全監(jiān)控、安全審計(jì)、安全事件管理、業(yè)務(wù)連續(xù)性于一體的風(fēng)險(xiǎn)管控機(jī)制，實(shí)現(xiàn)對系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測和控制，最終實(shí)現(xiàn)安全風(fēng)險(xiǎn)的可控、能控、在控。

5、數(shù)據(jù)安全管控平臺(tái)

1)平臺(tái)規(guī)劃模塊。包括平臺(tái)內(nèi)容規(guī)劃(7項(xiàng)內(nèi)容)、管控體系固化(7項(xiàng)內(nèi)容)、平臺(tái)技術(shù)方案設(shè)計(jì)(5項(xiàng)內(nèi)容)三大模塊的 19項(xiàng)內(nèi)容。如圖展示了平臺(tái)的規(guī)劃詳細(xì)模塊。

上一篇致全市企業(yè)和安全評價(jià)檢測檢驗(yàn)機(jī)構(gòu)的一封信