把數(shù)據(jù)安全交給網(wǎng)絡(luò)安全部門(mén)就行了?專(zhuān)家?guī)湍迩鍞?shù)據(jù)安全三大誤區(qū)

  • 人閱讀
  • 2022-04-12 12:37:21

  • 來(lái)源:中關(guān)村網(wǎng)

  • 相關(guān)關(guān)鍵詞

  繼《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》之后,各大數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范相繼出臺(tái),數(shù)據(jù)安全成為組織熱議的核心話(huà)題。數(shù)據(jù)安全如何做?是否都是網(wǎng)絡(luò)安全部門(mén)的工作呢?

  今年全國(guó)兩會(huì)中,多位代表、委員就“東數(shù)西算”、“數(shù)據(jù)要素”進(jìn)行熱議,不禁讓眾多組織預(yù)測(cè):數(shù)據(jù)產(chǎn)業(yè)發(fā)展的風(fēng)口來(lái)了!

  但隨著“兩法”的出臺(tái),“數(shù)據(jù)安全到底該怎么開(kāi)展”成為了所有組織共同關(guān)注的問(wèn)題。深信服總結(jié)了數(shù)據(jù)安全落地的幾大常見(jiàn)誤區(qū)供大家參考。

  誤區(qū)一 數(shù)據(jù)安全要求太多了,要謹(jǐn)慎開(kāi)展數(shù)據(jù)共享與開(kāi)發(fā)

  2021年,我國(guó)先后頒布并施行了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》,不少人對(duì)這兩部法律的理解有一個(gè)誤區(qū):兩部法律的施行是為了制約數(shù)據(jù)的使用。事實(shí)上恰恰相反,這兩部法律本質(zhì)上是為了促進(jìn)數(shù)據(jù)的開(kāi)發(fā)利用和相關(guān)產(chǎn)業(yè)的發(fā)展。

  “十四五”規(guī)劃綱要將“加快數(shù)字化發(fā)展建設(shè)數(shù)字中國(guó)”單獨(dú)成篇,并首次提出數(shù)字經(jīng)濟(jì)核心產(chǎn)業(yè)增加值占GDP比重這一新經(jīng)濟(jì)指標(biāo),明確要求我國(guó)數(shù)字經(jīng)濟(jì)核心產(chǎn)業(yè)2025年增加值占GDP的比重要由2020年的7.8%提升至10%。

  今年全國(guó)兩會(huì)上,一個(gè)數(shù)字被反復(fù)提及——48.6ZB,這是預(yù)計(jì)到2025年我國(guó)將產(chǎn)生的數(shù)據(jù)總量,占全球總量的27.8%。如此規(guī)模的“數(shù)據(jù)富礦”,其潛力極其巨大,《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》作為數(shù)據(jù)安全和隱私保護(hù)的法律依據(jù),對(duì)數(shù)據(jù)合理利用,有序自由流動(dòng),促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展有著極其重要意義。

  借助相關(guān)要求,組織對(duì)數(shù)據(jù)要更加“以共享為前提、不共享為例外”、“敢開(kāi)發(fā)、敢利用”、“讓數(shù)據(jù)多跑路,產(chǎn)生更大的業(yè)務(wù)價(jià)值”。

  誤區(qū)二 數(shù)據(jù)安全是網(wǎng)絡(luò)安全的一部分,交給網(wǎng)絡(luò)安全部門(mén)就行了

  過(guò)去,承接網(wǎng)絡(luò)安全工作的往往是網(wǎng)絡(luò)安全團(tuán)隊(duì)。碰到復(fù)雜的問(wèn)題時(shí),也只需網(wǎng)絡(luò)安全部門(mén)與相關(guān)部門(mén)聯(lián)動(dòng)便可實(shí)現(xiàn)問(wèn)題的閉環(huán)處理。

  而數(shù)據(jù)安全與之最大的區(qū)別,在于數(shù)據(jù)散落在組織各處,企業(yè)很多部門(mén)都是數(shù)據(jù)處理活動(dòng)的參與者,所以這些參與者都需要承擔(dān)一定的數(shù)據(jù)安全職責(zé)。

  以某大型企業(yè)為例,其擁有銷(xiāo)售部門(mén)、采購(gòu)部門(mén)、財(cái)務(wù)部門(mén)、信息化運(yùn)行維護(hù)部門(mén)和應(yīng)用開(kāi)發(fā)部門(mén)等多個(gè)業(yè)務(wù)單元,每個(gè)業(yè)務(wù)單元都獨(dú)立運(yùn)轉(zhuǎn)并管理或參與管理著大量的部門(mén)數(shù)據(jù),這些數(shù)據(jù)在組織內(nèi)有序流轉(zhuǎn),并產(chǎn)生多樣的交匯與共享,其中業(yè)務(wù)部門(mén)是數(shù)據(jù)的所有者,IT部門(mén)只有在和業(yè)務(wù)部門(mén)高效協(xié)同的背景下,才能真正保障好數(shù)據(jù)安全。

  所以要做好數(shù)據(jù)安全工作,就需要組織內(nèi)多個(gè)部門(mén)共同參與,網(wǎng)絡(luò)安全部門(mén)是組織內(nèi)承擔(dān)基礎(chǔ)設(shè)施及公共安全能力建設(shè)的主要部門(mén),但其缺乏對(duì)各個(gè)業(yè)務(wù)部門(mén)數(shù)據(jù)的深入理解,另一方面也難于直接參與到數(shù)據(jù)資源管理和應(yīng)用開(kāi)發(fā)建設(shè)的過(guò)程中,所以在數(shù)據(jù)安全上能發(fā)揮的作用相對(duì)有限。

  因此,數(shù)據(jù)安全絕不僅是信息化組織或網(wǎng)絡(luò)安全部門(mén)的獨(dú)立工作任務(wù),而是一項(xiàng)由組織決策層到執(zhí)行層,自上而下覆蓋組織整體架構(gòu)的完整任務(wù)。網(wǎng)絡(luò)安全部門(mén)在數(shù)據(jù)安全上的工作更多應(yīng)集中在數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)與公共能力建設(shè)上。

  數(shù)據(jù)安全保護(hù)需要組織自上而下,統(tǒng)籌開(kāi)展

  什么是自上而下,統(tǒng)籌開(kāi)展?就是要把組織作為一個(gè)整體進(jìn)行數(shù)據(jù)安全工作布局,而非依靠某個(gè)人或某個(gè)部門(mén)的力量來(lái)獨(dú)立處理數(shù)據(jù)安全問(wèn)題。

  從法律的角度來(lái)說(shuō),擁有或使用數(shù)據(jù)的組織才是承擔(dān)數(shù)據(jù)安全責(zé)任的主體。所以,數(shù)據(jù)安全工作需要統(tǒng)籌各個(gè)部門(mén)參與,保障數(shù)據(jù)在特定組織內(nèi)全生命周期的安全。不論數(shù)據(jù)在這個(gè)組織中的生命周期涉及多少產(chǎn)品業(yè)務(wù)或人員,最終衡量數(shù)據(jù)是否安全,都需要把組織作為整體來(lái)考慮。

  數(shù)據(jù)安全保護(hù)工作需要建立牽頭+認(rèn)責(zé)體系

  前面提到,數(shù)據(jù)安全與每個(gè)部門(mén)都息息相關(guān),那是不是所有部門(mén)、所有人都該對(duì)組織的數(shù)據(jù)安全負(fù)責(zé)呢?為了厘清責(zé)任主體,數(shù)據(jù)安全保護(hù)工作需要建立牽頭+認(rèn)責(zé)體系,由一個(gè)組織單元牽頭負(fù)責(zé),再由數(shù)據(jù)的其他相關(guān)角色(生產(chǎn)者、使用者等)共同認(rèn)責(zé)。

  核心牽頭者的職能是推進(jìn)數(shù)據(jù)安全治理工作,完善數(shù)據(jù)標(biāo)準(zhǔn)化管理,實(shí)施常態(tài)化指導(dǎo)監(jiān)督等。認(rèn)責(zé)則是基于“誰(shuí)生產(chǎn)、誰(shuí)擁有、誰(shuí)負(fù)責(zé)”的數(shù)據(jù)認(rèn)責(zé)原則,確定數(shù)據(jù)安全保護(hù)工作的相關(guān)各方的角色、責(zé)任和關(guān)系,典型如數(shù)據(jù)安全保護(hù)過(guò)程中的決策、執(zhí)行、解釋、匯報(bào)、協(xié)調(diào)等角色和職責(zé)。

  2021年8月,深圳發(fā)布的《深圳市推行首席數(shù)據(jù)官制度試點(diǎn)實(shí)施方案》(以下簡(jiǎn)稱(chēng)《方案》),就是牽頭+認(rèn)責(zé)體系的一個(gè)范例。

圖片來(lái)源:深圳市政務(wù)服務(wù)數(shù)據(jù)管理局官方網(wǎng)站

  根據(jù)《方案》,首席數(shù)據(jù)官有六個(gè)方面的主要職責(zé),分別為推進(jìn)智慧城市和數(shù)字政府建設(shè)、完善數(shù)據(jù)標(biāo)準(zhǔn)化管理、推進(jìn)數(shù)據(jù)融合創(chuàng)新應(yīng)用、實(shí)施常態(tài)化指導(dǎo)監(jiān)督、加強(qiáng)人才隊(duì)伍建設(shè)和開(kāi)展特色數(shù)據(jù)應(yīng)用探索等。

  有了政府部門(mén)的率先嘗試,企業(yè)數(shù)據(jù)首席官制度是不是也可以做一些試驗(yàn)?zāi)?

  誤區(qū)三 數(shù)據(jù)安全關(guān)鍵是體系化建設(shè),要主抓建設(shè),看看還有啥沒(méi)買(mǎi)

  數(shù)據(jù)安全保護(hù)工作不是一勞永逸的事,需要結(jié)合業(yè)務(wù)需求和技術(shù)發(fā)展不斷夯實(shí)、加固、完善數(shù)據(jù)安全的保護(hù)能力。

  以數(shù)據(jù)分類(lèi)分級(jí)為例——數(shù)據(jù)分類(lèi)分級(jí)并非一次性工作,只要有新數(shù)據(jù)的產(chǎn)生,分類(lèi)分級(jí)工作就需要不斷重復(fù)進(jìn)行,數(shù)據(jù)分類(lèi)分級(jí)越細(xì),需要投入的資源就越多。

  在IT時(shí)代,企業(yè)的信息化建設(shè)是以系統(tǒng)和網(wǎng)絡(luò)為中心的,對(duì)應(yīng)的安全防護(hù)也是以系統(tǒng)和網(wǎng)絡(luò)邊界的防護(hù)為重心,更多關(guān)注邊界處的數(shù)據(jù)泄露和外部攻擊,只要攔住了,就沒(méi)事了。

  但現(xiàn)在,數(shù)據(jù)的種類(lèi)極其豐富,數(shù)據(jù)存儲(chǔ)、流轉(zhuǎn)及使用已構(gòu)成一個(gè)復(fù)雜的數(shù)據(jù)生態(tài)。數(shù)據(jù)安全的風(fēng)險(xiǎn)更多在內(nèi)部積聚,內(nèi)部敏感數(shù)據(jù)的存儲(chǔ)、擴(kuò)散風(fēng)險(xiǎn)到了失控的狀態(tài)時(shí),邊界的防護(hù)壓力就會(huì)增大,防護(hù)效果顯著降低。而且,敏感數(shù)據(jù)違規(guī)濫用本身就不是發(fā)生在邊界處,大部分產(chǎn)品對(duì)于這種風(fēng)險(xiǎn)既無(wú)檢測(cè)感知能力,也沒(méi)有響應(yīng)保護(hù)能力。

  因此,增加數(shù)據(jù)安全運(yùn)營(yíng)視角為解決數(shù)據(jù)安全問(wèn)題提供了一個(gè)新的解題思路。既然安全風(fēng)險(xiǎn)產(chǎn)生于數(shù)據(jù)運(yùn)營(yíng)的各個(gè)環(huán)節(jié),那防護(hù)就不應(yīng)該再盯著各個(gè)系統(tǒng)和網(wǎng)絡(luò),而是回到問(wèn)題的本質(zhì),以數(shù)據(jù)為核心,圍繞數(shù)據(jù)的全流程來(lái)展開(kāi)安全的防護(hù)和運(yùn)營(yíng)工作。

  數(shù)據(jù)安全也有和網(wǎng)絡(luò)安全相似的一面,需要持續(xù)的風(fēng)險(xiǎn)監(jiān)測(cè)與運(yùn)營(yíng)改進(jìn),通過(guò)不斷發(fā)現(xiàn)、分析、研判可疑的數(shù)據(jù)安全事件,并積極響應(yīng)、快速處置,推動(dòng)數(shù)據(jù)安全的保護(hù)工作不斷進(jìn)行改進(jìn)。

  持續(xù)監(jiān)測(cè)、不斷響應(yīng)是數(shù)據(jù)安全工作永恒不變的主題。

  那有了這些大方向,各組織單位開(kāi)展數(shù)據(jù)安全工作該從哪里開(kāi)始,具體步驟又分別是什么呢?

  關(guān)注深信服科技官方微信公眾號(hào),不同行業(yè)如何開(kāi)展數(shù)據(jù)安全工作,后續(xù)#數(shù)據(jù)安全#內(nèi)容版塊為您一一解答。

  深信服數(shù)據(jù)安全解決方案基于《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)的要求和實(shí)際的數(shù)據(jù)安全風(fēng)險(xiǎn)場(chǎng)景,通過(guò)人工智能和機(jī)器學(xué)習(xí)等先進(jìn)技術(shù),為政府、教育、醫(yī)療等各個(gè)行業(yè)用戶(hù)提供面向數(shù)據(jù)全生命周期的數(shù)據(jù)安全建設(shè)體系,讓數(shù)據(jù)使用變得更加合規(guī)、安全。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )