把數(shù)據(jù)安全交給網(wǎng)絡(luò)安全部門就行了?專家?guī)湍迩鍞?shù)據(jù)安全三大誤區(qū)

  • 人閱讀
  • 2022-04-12 12:37:21

  • 來源:中關(guān)村網(wǎng)

  • 相關(guān)關(guān)鍵詞

  繼《數(shù)據(jù)安全法》、《個人信息保護(hù)法》之后,各大數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范相繼出臺,數(shù)據(jù)安全成為組織熱議的核心話題。數(shù)據(jù)安全如何做?是否都是網(wǎng)絡(luò)安全部門的工作呢?

  今年全國兩會中,多位代表、委員就“東數(shù)西算”、“數(shù)據(jù)要素”進(jìn)行熱議,不禁讓眾多組織預(yù)測:數(shù)據(jù)產(chǎn)業(yè)發(fā)展的風(fēng)口來了!

  但隨著“兩法”的出臺,“數(shù)據(jù)安全到底該怎么開展”成為了所有組織共同關(guān)注的問題。深信服總結(jié)了數(shù)據(jù)安全落地的幾大常見誤區(qū)供大家參考。

  誤區(qū)一 數(shù)據(jù)安全要求太多了,要謹(jǐn)慎開展數(shù)據(jù)共享與開發(fā)

  2021年,我國先后頒布并施行了《數(shù)據(jù)安全法》、《個人信息保護(hù)法》,不少人對這兩部法律的理解有一個誤區(qū):兩部法律的施行是為了制約數(shù)據(jù)的使用。事實上恰恰相反,這兩部法律本質(zhì)上是為了促進(jìn)數(shù)據(jù)的開發(fā)利用和相關(guān)產(chǎn)業(yè)的發(fā)展。

  “十四五”規(guī)劃綱要將“加快數(shù)字化發(fā)展建設(shè)數(shù)字中國”單獨成篇,并首次提出數(shù)字經(jīng)濟核心產(chǎn)業(yè)增加值占GDP比重這一新經(jīng)濟指標(biāo),明確要求我國數(shù)字經(jīng)濟核心產(chǎn)業(yè)2025年增加值占GDP的比重要由2020年的7.8%提升至10%。

  今年全國兩會上,一個數(shù)字被反復(fù)提及——48.6ZB,這是預(yù)計到2025年我國將產(chǎn)生的數(shù)據(jù)總量,占全球總量的27.8%。如此規(guī)模的“數(shù)據(jù)富礦”,其潛力極其巨大,《數(shù)據(jù)安全法》、《個人信息保護(hù)法》作為數(shù)據(jù)安全和隱私保護(hù)的法律依據(jù),對數(shù)據(jù)合理利用,有序自由流動,促進(jìn)數(shù)字經(jīng)濟發(fā)展有著極其重要意義。

  借助相關(guān)要求,組織對數(shù)據(jù)要更加“以共享為前提、不共享為例外”、“敢開發(fā)、敢利用”、“讓數(shù)據(jù)多跑路,產(chǎn)生更大的業(yè)務(wù)價值”。

  誤區(qū)二 數(shù)據(jù)安全是網(wǎng)絡(luò)安全的一部分,交給網(wǎng)絡(luò)安全部門就行了

  過去,承接網(wǎng)絡(luò)安全工作的往往是網(wǎng)絡(luò)安全團隊。碰到復(fù)雜的問題時,也只需網(wǎng)絡(luò)安全部門與相關(guān)部門聯(lián)動便可實現(xiàn)問題的閉環(huán)處理。

  而數(shù)據(jù)安全與之最大的區(qū)別,在于數(shù)據(jù)散落在組織各處,企業(yè)很多部門都是數(shù)據(jù)處理活動的參與者,所以這些參與者都需要承擔(dān)一定的數(shù)據(jù)安全職責(zé)。

  以某大型企業(yè)為例,其擁有銷售部門、采購部門、財務(wù)部門、信息化運行維護(hù)部門和應(yīng)用開發(fā)部門等多個業(yè)務(wù)單元,每個業(yè)務(wù)單元都獨立運轉(zhuǎn)并管理或參與管理著大量的部門數(shù)據(jù),這些數(shù)據(jù)在組織內(nèi)有序流轉(zhuǎn),并產(chǎn)生多樣的交匯與共享,其中業(yè)務(wù)部門是數(shù)據(jù)的所有者,IT部門只有在和業(yè)務(wù)部門高效協(xié)同的背景下,才能真正保障好數(shù)據(jù)安全。

  所以要做好數(shù)據(jù)安全工作,就需要組織內(nèi)多個部門共同參與,網(wǎng)絡(luò)安全部門是組織內(nèi)承擔(dān)基礎(chǔ)設(shè)施及公共安全能力建設(shè)的主要部門,但其缺乏對各個業(yè)務(wù)部門數(shù)據(jù)的深入理解,另一方面也難于直接參與到數(shù)據(jù)資源管理和應(yīng)用開發(fā)建設(shè)的過程中,所以在數(shù)據(jù)安全上能發(fā)揮的作用相對有限。

  因此,數(shù)據(jù)安全絕不僅是信息化組織或網(wǎng)絡(luò)安全部門的獨立工作任務(wù),而是一項由組織決策層到執(zhí)行層,自上而下覆蓋組織整體架構(gòu)的完整任務(wù)。網(wǎng)絡(luò)安全部門在數(shù)據(jù)安全上的工作更多應(yīng)集中在數(shù)據(jù)安全風(fēng)險監(jiān)測與公共能力建設(shè)上。

  數(shù)據(jù)安全保護(hù)需要組織自上而下,統(tǒng)籌開展

  什么是自上而下,統(tǒng)籌開展?就是要把組織作為一個整體進(jìn)行數(shù)據(jù)安全工作布局,而非依靠某個人或某個部門的力量來獨立處理數(shù)據(jù)安全問題。

  從法律的角度來說,擁有或使用數(shù)據(jù)的組織才是承擔(dān)數(shù)據(jù)安全責(zé)任的主體。所以,數(shù)據(jù)安全工作需要統(tǒng)籌各個部門參與,保障數(shù)據(jù)在特定組織內(nèi)全生命周期的安全。不論數(shù)據(jù)在這個組織中的生命周期涉及多少產(chǎn)品業(yè)務(wù)或人員,最終衡量數(shù)據(jù)是否安全,都需要把組織作為整體來考慮。

  數(shù)據(jù)安全保護(hù)工作需要建立牽頭+認(rèn)責(zé)體系

  前面提到,數(shù)據(jù)安全與每個部門都息息相關(guān),那是不是所有部門、所有人都該對組織的數(shù)據(jù)安全負(fù)責(zé)呢?為了厘清責(zé)任主體,數(shù)據(jù)安全保護(hù)工作需要建立牽頭+認(rèn)責(zé)體系,由一個組織單元牽頭負(fù)責(zé),再由數(shù)據(jù)的其他相關(guān)角色(生產(chǎn)者、使用者等)共同認(rèn)責(zé)。

  核心牽頭者的職能是推進(jìn)數(shù)據(jù)安全治理工作,完善數(shù)據(jù)標(biāo)準(zhǔn)化管理,實施常態(tài)化指導(dǎo)監(jiān)督等。認(rèn)責(zé)則是基于“誰生產(chǎn)、誰擁有、誰負(fù)責(zé)”的數(shù)據(jù)認(rèn)責(zé)原則,確定數(shù)據(jù)安全保護(hù)工作的相關(guān)各方的角色、責(zé)任和關(guān)系,典型如數(shù)據(jù)安全保護(hù)過程中的決策、執(zhí)行、解釋、匯報、協(xié)調(diào)等角色和職責(zé)。

  2021年8月,深圳發(fā)布的《深圳市推行首席數(shù)據(jù)官制度試點實施方案》(以下簡稱《方案》),就是牽頭+認(rèn)責(zé)體系的一個范例。

圖片來源:深圳市政務(wù)服務(wù)數(shù)據(jù)管理局官方網(wǎng)站

  根據(jù)《方案》,首席數(shù)據(jù)官有六個方面的主要職責(zé),分別為推進(jìn)智慧城市和數(shù)字政府建設(shè)、完善數(shù)據(jù)標(biāo)準(zhǔn)化管理、推進(jìn)數(shù)據(jù)融合創(chuàng)新應(yīng)用、實施常態(tài)化指導(dǎo)監(jiān)督、加強人才隊伍建設(shè)和開展特色數(shù)據(jù)應(yīng)用探索等。

  有了政府部門的率先嘗試,企業(yè)數(shù)據(jù)首席官制度是不是也可以做一些試驗?zāi)?

  誤區(qū)三 數(shù)據(jù)安全關(guān)鍵是體系化建設(shè),要主抓建設(shè),看看還有啥沒買

  數(shù)據(jù)安全保護(hù)工作不是一勞永逸的事,需要結(jié)合業(yè)務(wù)需求和技術(shù)發(fā)展不斷夯實、加固、完善數(shù)據(jù)安全的保護(hù)能力。

  以數(shù)據(jù)分類分級為例——數(shù)據(jù)分類分級并非一次性工作,只要有新數(shù)據(jù)的產(chǎn)生,分類分級工作就需要不斷重復(fù)進(jìn)行,數(shù)據(jù)分類分級越細(xì),需要投入的資源就越多。

  在IT時代,企業(yè)的信息化建設(shè)是以系統(tǒng)和網(wǎng)絡(luò)為中心的,對應(yīng)的安全防護(hù)也是以系統(tǒng)和網(wǎng)絡(luò)邊界的防護(hù)為重心,更多關(guān)注邊界處的數(shù)據(jù)泄露和外部攻擊,只要攔住了,就沒事了。

  但現(xiàn)在,數(shù)據(jù)的種類極其豐富,數(shù)據(jù)存儲、流轉(zhuǎn)及使用已構(gòu)成一個復(fù)雜的數(shù)據(jù)生態(tài)。數(shù)據(jù)安全的風(fēng)險更多在內(nèi)部積聚,內(nèi)部敏感數(shù)據(jù)的存儲、擴散風(fēng)險到了失控的狀態(tài)時,邊界的防護(hù)壓力就會增大,防護(hù)效果顯著降低。而且,敏感數(shù)據(jù)違規(guī)濫用本身就不是發(fā)生在邊界處,大部分產(chǎn)品對于這種風(fēng)險既無檢測感知能力,也沒有響應(yīng)保護(hù)能力。

  因此,增加數(shù)據(jù)安全運營視角為解決數(shù)據(jù)安全問題提供了一個新的解題思路。既然安全風(fēng)險產(chǎn)生于數(shù)據(jù)運營的各個環(huán)節(jié),那防護(hù)就不應(yīng)該再盯著各個系統(tǒng)和網(wǎng)絡(luò),而是回到問題的本質(zhì),以數(shù)據(jù)為核心,圍繞數(shù)據(jù)的全流程來展開安全的防護(hù)和運營工作。

  數(shù)據(jù)安全也有和網(wǎng)絡(luò)安全相似的一面,需要持續(xù)的風(fēng)險監(jiān)測與運營改進(jìn),通過不斷發(fā)現(xiàn)、分析、研判可疑的數(shù)據(jù)安全事件,并積極響應(yīng)、快速處置,推動數(shù)據(jù)安全的保護(hù)工作不斷進(jìn)行改進(jìn)。

  持續(xù)監(jiān)測、不斷響應(yīng)是數(shù)據(jù)安全工作永恒不變的主題。

  那有了這些大方向,各組織單位開展數(shù)據(jù)安全工作該從哪里開始,具體步驟又分別是什么呢?

  關(guān)注深信服科技官方微信公眾號,不同行業(yè)如何開展數(shù)據(jù)安全工作,后續(xù)#數(shù)據(jù)安全#內(nèi)容版塊為您一一解答。

  深信服數(shù)據(jù)安全解決方案基于《數(shù)據(jù)安全法》和《個人信息保護(hù)法》等法律法規(guī)的要求和實際的數(shù)據(jù)安全風(fēng)險場景,通過人工智能和機器學(xué)習(xí)等先進(jìn)技術(shù),為政府、教育、醫(yī)療等各個行業(yè)用戶提供面向數(shù)據(jù)全生命周期的數(shù)據(jù)安全建設(shè)體系,讓數(shù)據(jù)使用變得更加合規(guī)、安全。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )