天天看點

企業資料安全怎麼才能被保證?懂法規根本不夠,5大政策才是王道

企業資料安全怎麼才能被保證?懂法規根本不夠,5大政策才是王道

或許資料洩露事件的頻繁發生是壓倒企業的一棵稻草。

目前大部分企業都在數字化浪潮中快速發展,資料成為企業的核心資産,然而資料安全問題卻日益嚴峻。“從使用者資訊被盜用到企業商業機密洩露,我們企業對資料安全的擔憂與日俱增”某企業CEO在行業論壇上如是說:“現在企業面臨着巨大的資料安全風險,稍有不慎就可能遭受滅頂之災,之前投入大量資源用于業務拓展,現在不得不重新審視資料安全的保障措施”。無獨有偶,今天又有企業負責人找到我訴苦:高層上司又在開會讨論如何加強資料安全防護,原因是資料一旦洩露,企業将面臨巨額損失和聲譽受損!

其實,說實話,大部分企業在資料安全問題上都是如履薄冰,資料安全問題可不同于我們之前讨論的數字化轉型、數字化建設之類的問題,數字化轉型和建設更多是着眼于企業業務的拓展和效率的提升,是企業積極主動求發展的表現。而資料安全問題則像一顆隐藏在暗處的炸彈,随時可能爆炸,給企業帶來災難性的後果。今天,這篇文章,我就和大家聊一聊資料安全的問題,希望給大家帶來新的啟示!

一、資料安全概述

1. 什麼是資料安全

資料安全可以看作是資料的品質屬性,資料安全的目标就是資料安全三要素模型。什麼是資料安全三要素模型?保障資料資産的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),簡稱CIA,就是資料安全三要素模型。可以看到,這三性構成了非常穩定的三角形,任何一性的缺失都會導緻穩定的打破,結果呢,就是資料不再安全。

企業資料安全怎麼才能被保證?懂法規根本不夠,5大政策才是王道

下面,我來進一步解釋一下三性的内涵:

1)保密性:保密,就是說隻有授權人員才能通路資料,這就好比門禁卡,隻有真正需要資料的人員才能持卡進入進行通路。這就如同我們日常生活中常見的門禁卡系統一樣,隻有那些真正因工作需要而必須擷取資料的人員,才能夠像持有有效門禁卡一樣進入相關系統進行資料通路。這種嚴格的授權機制是確定資料保密性的關鍵所在,它能夠有效防止未經授權的人員擷取敏感資訊,進而避免資料洩露的風險。

2)完整性:完整性其實可以從兩個方面來了解,一方面就是保障資料不被篡改,這是最理想的狀态,然而,實際上,資料完全不被篡改是難以絕對保證的。是以,資料被篡改可以,但你必須能夠保證資料在被篡改後能夠迅速被發現,進而確定資訊可靠且準确。

3)可用性:確定資料即可用又可通路。換句話說,就是資料應該随時處于一種可以被合法使用者擷取和利用的狀态,無論是在正常的業務營運過程中,還是在面臨一些突發情況時,都要確定資料的可用性不受影響。

2. 資料安全的脆弱性

你以為資料是絕對安全的?實際上,資料的脆弱性超乎想象。而且,資料安全這一複雜屬性的形成不是由單一因素導緻,而是多種因素共同作用的結果。在這裡,我給大家總結了一個表格,從管理方面和技術方面這兩種類型出發,解釋一下資料安全脆弱性的原因。

企業資料安全怎麼才能被保證?懂法規根本不夠,5大政策才是王道

二、資料安全治理政策

資料安全重要卻脆弱,不少朋友可能就想了:資料安全這一塊到底怎麼保證?有哪些行之有效的資料安全的治理政策?其實,資料安全治理的政策相對來說是有些複雜的,建構一個資料安全治理體系是一個系統工程,一般來說,資料安全治理體系主要分為五部分,資料安全治理目标、資料安全管理體系、資料安全技術體系、資料安全運維體系、資料安全基礎設施。其中:

企業資料安全怎麼才能被保證?懂法規根本不夠,5大政策才是王道

資料安全治理目标:強調安全目标與業務目标一緻,它是為業務目标的實作保駕護航的。

資料安全管理體系:主要包括組織與人員、資料安全認責政策、資料安全管理制度等。

資料安全技術體系:主要包括資料全生命周期的敏感資料識别、資料分類與分級、資料通路控制、資料安全審計等。

資料安全運維體系:主要包括定期稽核政策、動态防護政策、資料備份政策、資料安全教育訓練等。

資料安全基礎設施:重點強調資料所在主控端的實體安全和網絡安全。

1. 資料安全治理目标

資料安全治理目标是什麼?一句話:看得見、控得住、管得好。

(1)看得見:看什麼?看資料資産的梳理和敏感資料的識别。資料資産的梳理就像是給家裡的東西做個清單,你把企業所有的資料都找出來,知道有哪些資料存在,這樣就完成了梳理。敏感資料識别就是要從一堆資料裡找出比較重要、敏感的部分,比如使用者的密碼、銀行卡号之類的,把這些重要資料先标記出來。

(2)控得住:控什麼?控安全認責、分類分級、細粒度通路。安全認責控制就是确定誰對資料安全負責,出了問題能找到人,說白了就是建立問責機制,出了問題找不到人,結果就是互相推诿,企業管理亂成一鍋粥。分類分級控制是把資料按照重要程度和敏感程度分成不同的類别和級别,有等級的資料才是漂亮的資料。而細粒度通路控制是說要非常精細地規定誰能看什麼資料、誰能改什麼資料,這裡就是權限問題。

(3)管得好:管什麼?管組織與人員、制度與流程、技術與工具。企業得有專門負責資料安全的部門和人員,有人還不夠,還要制定一些規則和做事的流程來保障資料安全,例如資料使用前要審批這種規定。此外,要學會利用一些專業的技術和工具來管理資料安全,像加密軟體、防火牆之類的東西來保護資料。

企業資料安全怎麼才能被保證?懂法規根本不夠,5大政策才是王道

2. 資料安全流程各角色分工以及職責

企業資料安全怎麼才能被保證?懂法規根本不夠,5大政策才是王道

上圖已經給大家很清晰地展示了一個完整的資料安全流程中各角色分工以及職責,在具體解釋一下:

(1)資料使用者

資料使用者在操作資料時,必須嚴格遵循既定的資料安全流程和制度。這裡使用就是通路、處理和分析資料,說換句話說,他們在使用資料的過程中,一旦察覺到存在資料安全方面的問題,例如資料出現異常通路、可能存在洩露風險或者資料完整性受到威脅等情況,要立即向上彙報,不能隐瞞或忽視這些問題。

(2)資料所有者

資料所有者雖然不一定直接參與資料安全的日常管理,但當其他相關角色,例如資料管理者、生産者和使用者在執行資料安全管理流程時需要他們協助時,他們必須積極配合。這種配合可能是多方面的,比如說提供資料相關的背景資訊、授權操作或者參與解決一些資料歸屬相關的問題等等。

(3) 資料生産者

資料生産者的主要任務就是按照預先設定的規則、制度和流程來生成資料。這個過程的最終結果是什麼呢?生産出來合格的資料,那什麼是合格的資料呢?就是資料的準确性、完整性和一緻性這些品質名額要達到要求。同時,他們對所生産的資料的安全也要負有責任。

(4)資料管理者

資料管理者承擔着重要的資料安全管理職責。他們負責将資料安全管理流程付諸實施,確定所有相關人員都按照流程操作。這包括對資料的通路控制、安全政策的執行等方面。同時,他們還要對整個資料安全管理流程進行監督,及時發現和糾正可能出現的違規行為或安全隐患。此外,資料管理者還需要組織資料安全教育訓練活動,提升所有涉及資料操作的人員的資料安全意識和操作技能,進而保障整個資料管理環境的安全。

3. 資料安全治理制度

其實,資料安全方面的制度不少,這裡給大家列舉出來,感興趣的朋友可以看一看,這裡miao君就不過多贅述了。

1)資料安全治理

《敏感資料生産及使用的安全管理規定》

《資料交換共享的安全管理要求》

《資料權限申請和審批的管理規定》

《資料的對外披露安全管理要求》

2)資訊系統安全治理

《資訊系統媒體安全管理規定》

《資訊系統網絡安全管理規定》

《資訊系統資料庫安全管理規定》

《資訊系統應用安全管理規定》

《計算機病毒防範管理規定》

3)人員安全治理

《員工錄用資料安全管理規定》

《員工離職資料安全管理規定》

《資料安全績效考核管理辦法》

《資料安全意識教育和教育訓練管理規定》

《外部人員通路的資料安全管理規定》

《人力資源外包的資料安全管理辦法》

4. 資料安全治理教育訓練

教育訓練其實可以看做是落地的一種表現,教育訓練也可以是多方面的,就拿資料安全治理教育訓練來說,可以從資料安全的意識和資料安全的技能對企業的員工進行教育訓練,意識的教育訓練可以看作是思想的轉變,而技能的教育訓練則是實踐方面。下面,我們分别來看一下:

(1)資料安全意識教育訓練

  • 普及資料安全知識:就是把跟資料安全相關的知識,像什麼是資料洩露、哪些操作可能會導緻資料不安全之類的内容,告訴企業裡的員工。
  • 宣貫資料安全管理制度:把公司制定的資料安全方面的規章制度,一條一條地給員工講清楚,讓他們知道什麼能做,什麼不能做。
  • 提升資料安全管理意識:目的是讓員工從思想上重視資料安全,讓他們知道資料安全對公司很重要,他們的一舉一動都可能影響資料安全。

(2)資料安全技能教育訓練

  • 傳統安全技術教育訓練:就是教員工一些常見的保障資料安全的技術,比如怎麼設定防火牆、怎麼對資料進行簡單的加密之類的,這裡的傳統教育訓練偏向基礎的技術,學習門檻低,學習難度低。
  • 安全治理技術教育訓練:這是教員工一些更進階的、用于管理和維護資料安全的技術,像怎麼對資料安全系統進行整體的監控和優化等。

5. 資料安全運維體系

(1)定期稽核政策

  • 定期的合規性檢查:就像定期檢查你家有沒有按照小區規定來裝修一樣,企業要定期檢視自己的資料操作和管理是不是符合相關法規和内部規定。
  • 定期的使用者行為審計:企業要定時去檢視使用者(包括員工和外部有資料通路權限的人)在操作資料時的行為,比如他們什麼時候登入的、做了什麼操作、有沒有更改賬戶或者權限等,防止有人搞破壞或者誤操作。

(2)資料備份政策

  • 全量備份:好比你在某個時間點把你房間裡所有東西都原封不動地複制一份儲存起來。這種方法的問題是做備份的時候很費時間,而且要占用大量的存儲空間。
  • 增量備份:就是隻備份從上次備份之後新增加或者變化的資料。
  • 差異備份:是在全量備份之後,隻記錄新的資料和全量備份時的資料有什麼不同。當要恢複資料的時候,先把全量備份的資料恢複出來,再把最後一次做的差異備份的資料加進去就可以了。

(3)資料動态防護政策

P2DR模型就是在事先制定好的整體安全政策的指揮下,一方面用一些防護工具(像防火牆來阻擋外部攻擊、通過系統身份認證來防止非法使用者進入、對資料加密讓别人看不懂資料内容等)來保護資料安全,另一方面用一些檢測工具(比如檢查系統有沒有漏洞、有沒有被入侵等)來了解系統目前的安全情況,然後根據檢測結果采取合适的措施(比如加強防護或者修複漏洞等),讓系統一直處于最安全、風險最低的狀态。

總之,資料安全治理問題不是一朝一夕的事情,通過運用合适的資料安全政策,企業可以最大程度的保證資料的安全,僅僅态度上重視是遠遠不夠的,企業高層天天拉會讨論資料安全問題,但這些讨論不能僅僅停留在口頭上,而要切實地将所制定的政策落實到位,把每一項安全措施都精準地用在保障資料安全的關鍵環節上,讓資料安全真正得到有效保障。

最後再分享一份《大資料決策分析平台建設方案》,這份方案在企業資料分析決策平台建設的流程與方法上進行了充分闡釋,為企業數字化轉型給予了有力支撐。更為重要的是,方案中充分考慮了資料安全問題,從各個環節保障資料的安全性,為企業在數字化轉型過程中避免資料安全風險提供了有效指導。點選連結就可以免費領取了:https://s.fanruan.com/n8jhi 「連結」

繼續閱讀