数据安全运营阶段通过不断适配业务环境和风险管理需求,持续优化安全策略措施,强化整个数据安全治理体系的有效运转。运营体 系的构建可以从运营对象、管控流程两个方向进行切入建设。
(1)数据的运营 数据作为数据安全的主要管理对象,必然是数据安全运营的关键 内容。通过对数据的运营,可以全面掌握数据的分布及流转情况,为 数据安全的策略制定、风险排查等提供有效输入。一般来说,数据运 营可以从数据资源目录、数据分布地图、数据流转视图等几个方面开 展工作。 数据资源目录。将梳理的数据资源情况进行统一的纳管,明确数 据来源、数据属主、数据类型等情况,形成数据资源的统一目录视图。 一方面有助于解决数据重复、不一致等数据质量问题,另一方面可以 作为数据分类分级工作的范围参照和数据输入。
数据分布地图。数据作为业务的共生体,存在于组织的不同部门、 不同系统、不同存储资源中。当发生数据泄露、篡改等安全事件时, 清晰的数据分布地图有助于快速定位受影响的系统和数据,提高数据 安全措施的针对性,提升事件的应急响应效率。同时也能够快速为业 务指明目标数据资源所在,加快数据协同。 数据流转视图。流动是发挥数据价值的重要环节,也是数据安全 风险的源头之一。数据流转视图一方面呈现了业务流过程,有助于业 务流程优化,另一方面有助于呈现数据使用情况,为数据流动过程的风险防范提供视角。
(2)合规的运营 合规工作是组织数据安全治理的底线要求,如何将法律条文、监 管要求内化为组织可落地的管理指标,并定期开展检查及整改工作是 合规运营的主要内容。因此,可以从合规库管理、合规检查、合规监 管处置三方面开展工作。 合规库管理。明确的合规要求以及清晰的合规理解,是合规实践 工作的重要前提,因此各机构需要依据国家法律法规、行业监管要求 等建立合规知识库,并动态更新管理。与此同时,数据安全部门、合 规部门等需要将以上要求分解为业务可用的数据安全指标,为数据安 全运营活动提供输入与参照。 合规检查。合规检查主要基于合规库,面向组织数据处理活动的 安全合规情况进行定期检查,包括对数据脱敏、数据采集、访问控制 等活动的合规性检查,判断数据安全合规现状与检查指标的符合程度。 合规监管处置。合规整改是合规运营的重要一环,主要实现对合 规检查结果的公布与处理,也可兼顾给上级监管机构的合规数据报送 等工作。
(3)安全的运营 安全是发展的保障,发展是安全的目的。对数据安全的有效运营 才能促进业务更健康的持续发展。通过分析产业界数据安全运营相关 工作,安全策略运营、安全能力管理、协同管理关联分析都是安全运营的重要工作。 安全策略运营。风险的防范离不开相应策略的制定与实施,因此 构建一套安全策略的运营机制是实现风险治理的前提。针对不同的数 据安全风险,需要具备成熟的安全管理策略,同时能从数据安全事件 中吸取经验教训,反哺安全策略的升级。 安全能力管理。据《2022 年数据安全行业调研报告》显示,44% 的组织已应用了 5~8 项的数据安全技术产品,产品的堆叠与管理不仅 为组织带来困扰,不同产品之间的壁垒也为安全作用的发挥带来了阻 碍。因此针对多个数据安全产品的接入与集成管理成为运营工作的关 键。集成的安全能力管理有助于实现不同安全策略的编排、下发,实 现联动防御。 协同关联分析。安全运营通过采集各安全设备和第三方厂商安全 事件信息进行关联分析,建立资产画像、身份画像等威胁模块,提升 风险感知效率,加快风险处置进程。
(1)事前风险防范 数据安全治理的目标之一是降低数据安全风险,因此建立有效的 风险防范手段,对于预防数据安全事件发生有重要作用,可以从数据 安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。 数据安全策略制定。一方面,根据数据全生命周期各项管理要求, 制定通用安全策略,另一方面,结合各业务场景安全需要,制定针对性的安全策略。通过将通用策略和针对性策略结合部署,实现对数据 流转过程的安全防护。 数据安全基线扫描。基于面临的风险形势,定期梳理、更新相关 安全规范及安全策略,并转化为安全基线,同时直接落实到监控审计 平台进行定期扫描。安全基线是组织数据安全防护的最低要求,各业 务的开展必须满足。 数据安全风险评估。通过将日常化定期开展的数据安全风险评估 结果与安全基线进行对标,发现不满足基线要求的评估项,再通过改 进业务方案或强化安全技术手段的方式实现风险防范。
(2)事中监控预警 数据安全保护以知晓数据在组织内的安全状态为前提,需要组织 在数据全生命周期各阶段开展安全监控和审计,以实现对数据安全风 险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风 险点进行防控,从而降低数据安全风险。 态势监控。根据数据全生命周期的各项安全管理要求,建立组织 内部统一的数据安全监控审计平台,对风险点的安全态势进行实时监 测。一旦出现安全威胁,能够实现及时告警及初步阻断。 日常审计。针对账号使用、权限分配、密码管理、漏洞修复等日 常工作的安全管理要求,利用监控审计平台开展审计工作,从而发现 问题并及时处置。
专项审计。以业务线为审计对象,定期开展专项数据安全审计、 个人信息保护合规审计等工作。审计内容包括数据全生命周期安全、 隐私合规、合作方管理、鉴别访问、风险分析、数据安全事件应急、 个人信息保护合规性等多方面内容,从而全面评价数据安全工作执行 情况,发现执行问题并统筹改进。
(3)事后应急处理 一旦风险防范及监控预警措施失效,导致发生数据安全事件,组 织应立即进行应急处置、复盘整改,并在内部进行宣贯宣导,防范安 全事件的再次发生。 数据安全事件应急处置。根据数据安全事件应急预案对正在发生的各类数据安全攻击警告、数据安全威胁警报等进行紧急处置,确保 第一时间阻断数据安全威胁。 数据安全事件复盘整改。应急处置完成后,应尽快在业务侧组织 复盘分析,明确事件发生的根本原因,做好应急总结,沉淀应急手段, 跟进落实整改,并完善相应应急预案。 数据安全应急预案宣贯宣导。根据数据安全事件的类别和级别, 在相关业务部门或全线业务部门定期开展应急预案的宣贯宣导,降低 发生类似数据安全事件的风险。
