為進一步打破信息孤島,、實現(xiàn)數(shù)據(jù)共享,助力“最多跑一次”改革和政府數(shù)字化轉(zhuǎn)型,,各地政府紛紛成立大數(shù)據(jù)管理局,,積極推進政務(wù)云建設(shè),實現(xiàn)政府信息系統(tǒng)整合共享,。
但是,,隨著政務(wù)信息整合共享工作的開展,各委辦局數(shù)據(jù)在不斷匯聚集中,,在這些匯聚集中的海量數(shù)據(jù)中不乏涉及國家安全,、經(jīng)濟發(fā)展與社會民生的重要、敏感及個人隱私數(shù)據(jù),。各種數(shù)據(jù)整合匯聚后,,會涉及數(shù)據(jù)發(fā)布、數(shù)據(jù)加載,、共享交換,、使用和銷毀等諸多環(huán)節(jié),任一環(huán)節(jié)都可能因技術(shù)或人為因素造成敏感信息的泄露,。
數(shù)據(jù)安全問題已成為制約數(shù)據(jù)匯聚集中后數(shù)據(jù)開發(fā)利用,、價值挖掘的主要瓶頸。解決數(shù)據(jù)安全問題最根本的途徑,,就是對數(shù)據(jù)進行有針對性的安全治理,。
Part1 數(shù)據(jù)安全治理總體框架
由于政府數(shù)據(jù)共享平臺具有數(shù)據(jù)規(guī)模龐大,、使用場景復雜、數(shù)據(jù)資產(chǎn)變化快等特點,,在過去“一刀切”式的管理和防護模式下,,防護粒度設(shè)定較粗,存在一定的數(shù)據(jù)安全隱患,,因此需要從頂層設(shè)計數(shù)據(jù)安全體系,。
△ 數(shù)據(jù)安全治理總體框架圖
數(shù)據(jù)安全治理總體框架自上而下貫穿了決策層、管理層,、執(zhí)行層到配合層以及監(jiān)督層等整個組織架構(gòu),,包含了從頂層戰(zhàn)略、政策總綱到管理制度,、流程規(guī)范等各層級的完整制度體系,,涉及到整體的技術(shù)規(guī)劃以及各項技術(shù)工具的落地實施。
明朝萬達認為:數(shù)據(jù)安全治理應(yīng)當以數(shù)據(jù)資產(chǎn)的安全使用為愿景,,通過專業(yè)的數(shù)據(jù)安全治理團隊,、明確的數(shù)據(jù)安全治理策略和流程,從安全管理規(guī)范,、安全技術(shù)支撐,、安全持續(xù)運營三個領(lǐng)域協(xié)同,打造立體防御體系,,全方位保障數(shù)據(jù)全生命周期的安全,。
Part2 數(shù)據(jù)安全治理建設(shè)流程
數(shù)據(jù)安全治理是一個動態(tài)、持續(xù)的過程,,所以在建設(shè)過程中,,不建議一下子把范圍及內(nèi)容圈得那么大,可以從小部分重要業(yè)務(wù)板塊開始梳理,,采取分步建設(shè),、持續(xù)迭代戰(zhàn)略。圍繞“評估服務(wù),、策略制定,、技術(shù)落地”三步走的思路進行方案設(shè)計。
△ 建設(shè)流程圖,,包括6個實踐步驟
數(shù)據(jù)安全治理建設(shè)共包括六個實踐步驟,,六個步驟形成完整的數(shù)據(jù)安全保護建設(shè)閉環(huán),建設(shè)流程是一個系統(tǒng)的,、持續(xù)的改進過程,,該流程可以定期輪詢執(zhí)行,,確保數(shù)據(jù)安全治理建設(shè)持續(xù)更新,,數(shù)據(jù)安全管理處于最佳狀態(tài)。
01組織構(gòu)建
在組織方面,從組織內(nèi)選派合適人員構(gòu)成一支由決策層(組織領(lǐng)導),、管理層(安全部門),、執(zhí)行層(業(yè)務(wù)部門)、監(jiān)督層(審計部門)構(gòu)成的負責推動開展數(shù)據(jù)安全治理工作的團隊,。
02數(shù)據(jù)資產(chǎn)梳理
首先通過數(shù)據(jù)資產(chǎn)梳理工具對政府數(shù)據(jù)共享平臺上的數(shù)據(jù)資產(chǎn)進行摸底,,對數(shù)據(jù)資產(chǎn)的業(yè)務(wù)屬性,使用情況,,權(quán)限狀態(tài),,安全需求,使用分布等進行全面梳理,,對于冗余,、不一致的數(shù)據(jù)進行修正確認,最終形成數(shù)據(jù)資產(chǎn)清單,。
03數(shù)據(jù)分類分級
依據(jù)國家和省公共數(shù)據(jù)分類分級相關(guān)規(guī)定以及業(yè)務(wù)場景制定內(nèi)部的分類分級標準,,并按照一定的策略和方法進行分類和標識,形成數(shù)據(jù)資產(chǎn)分類清單,,明確數(shù)據(jù)安全主體責任及防護邊界,;在分類的基礎(chǔ)上,綜合分析數(shù)據(jù)的保密性,、完整性,、可用性和可控性等屬性遭到破壞后,對國家安全,、公眾權(quán)益,、個人隱私、企業(yè)合法權(quán)益的危害程度,,進行數(shù)據(jù)的逐類定級和標識,。最終通過自動化技術(shù),將分類分級的專家經(jīng)驗和方法固化為規(guī)則模型和識別引擎,,實現(xiàn)政務(wù)信息資源數(shù)據(jù)自動化分類分級,,大大提升了準確率,并且降低了人力成本,。
04風險評估,、差距分析
對政務(wù)信息資源數(shù)據(jù)全生命周期的每一個環(huán)節(jié)所面臨的風險威脅進行識別判定,進而對每一個風險點進行賦值計算最終輸出風險評估報告以及風險清單,;針對數(shù)據(jù)在采集,、傳輸、使用,、交換,、銷毀環(huán)節(jié)的安全防護要求,,對比訪談和調(diào)研結(jié)果,進行評價對比,,找到當前現(xiàn)狀與管控目標間的差距,,尤其是管控缺失項和薄弱項,并形成差距分析匯報,。
05安全管控策略
根據(jù)數(shù)據(jù)分類分級結(jié)果,,從管理、流程和技術(shù)等方面,,制定基于數(shù)據(jù)安全視角的全生命周期數(shù)據(jù)安全管控策略,,管理方面包括不限于規(guī)范管理決策職責、規(guī)范日常維護職責,、規(guī)范崗位人員職責等,;流程方面包括不限于制定數(shù)據(jù)安全管理整體機制流程安全管控策略、權(quán)限管理操作流程管控策略等,;技術(shù)方面包括不限于制定基礎(chǔ)架構(gòu)的整體安全支撐技術(shù),、加密、脫敏,、審計,、水印、數(shù)據(jù)防泄漏等的管控策略,。
06數(shù)據(jù)安全持續(xù)運營
通過建設(shè)數(shù)據(jù)安全監(jiān)控與審計平臺,,對現(xiàn)有的敏感數(shù)據(jù)在動態(tài)使用流轉(zhuǎn)中的監(jiān)控、分析,、可視與統(tǒng)計,,并基于UEBA行為分析模型識別數(shù)據(jù)的安全風險,一旦過程中發(fā)現(xiàn)風險行為及時預警,,并針對風險施加動態(tài)響應(yīng)及防護手段協(xié)同聯(lián)動,。通過優(yōu)化數(shù)據(jù)安全防護策略,進而持續(xù)地提升數(shù)據(jù)安全防護能力,,達到數(shù)據(jù)安全治理的最佳實踐,。
Part3 數(shù)據(jù)安全治理方案的價值
數(shù)字化經(jīng)濟的到來,離不開數(shù)據(jù)的開放共享與有序使用,。數(shù)據(jù)安全廠商需要能夠幫助用戶確定本單位的數(shù)據(jù)安全分類分級管理制度,、標準,協(xié)助用戶完成數(shù)據(jù)定權(quán)分級,,提供基于數(shù)據(jù)分類分級后的安全防護方案設(shè)計和建設(shè)服務(wù),,提升平臺的數(shù)據(jù)安全防護能力,也為推動各市直單位將更多數(shù)據(jù)共享至大數(shù)據(jù)共享平臺增添信心,。先進的數(shù)據(jù)安全治理方案應(yīng)具備以下價值:
符合合法合規(guī)要求
滿足《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》,、《政務(wù)信息資源目錄編制指南(試行)以及政務(wù)信息數(shù)據(jù)分類分級等相關(guān)政策法規(guī)要求,。
實現(xiàn)安全運營常態(tài)化
通過人工+工具的方式高效率完成數(shù)據(jù)摸底,持續(xù)掌握數(shù)據(jù)資產(chǎn)動態(tài),;通過從數(shù)據(jù)視角的全生命周期風險分析,,構(gòu)建統(tǒng)一的數(shù)據(jù)安全管控機制,;通過對敏感數(shù)據(jù)使用流轉(zhuǎn)監(jiān)控,,數(shù)據(jù)安全態(tài)勢感知,持續(xù)優(yōu)化安全策略和管理制度規(guī)范,,實現(xiàn)數(shù)據(jù)安全常態(tài)化運營,。
符合合法合規(guī)要求推進政務(wù)數(shù)據(jù)資源開發(fā)利用
通過對海量數(shù)據(jù)的梳理及分類分級,做到對數(shù)據(jù)庫,、數(shù)據(jù)資產(chǎn)分布及數(shù)據(jù)敏感級別情況的一目了然,,將有利于促進數(shù)據(jù)在各單位間的開放共享,進一步挖掘數(shù)據(jù)價值,,從而提升業(yè)務(wù)效益,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
