今年全國兩會中,多位代表、委員就“東數西算”、“數據要素”進行熱議,不禁讓眾多組織預測:數據產業發展的風口來了!
但隨著“兩法”的出臺,“數據安全到底該怎么開展”成為了所有組織共同關注的問題。深信服總結了數據安全落地的幾大常見誤區供大家參考。
誤區一 數據安全要求太多了,要謹慎開展數據共享與開發
2021年,我國先后頒布并施行了《數據安全法》、《個人信息保護法》,不少人對這兩部法律的理解有一個誤區:兩部法律的施行是為了制約數據的使用。事實上恰恰相反,這兩部法律本質上是為了促進數據的開發利用和相關產業的發展。
“十四五”規劃綱要將“加快數字化發展建設數字中國”單獨成篇,并首次提出數字經濟核心產業增加值占GDP比重這一新經濟指標,明確要求我國數字經濟核心產業2025年增加值占GDP的比重要由2020年的7.8%提升至10%。
今年全國兩會上,一個數字被反復提及——48.6ZB,這是預計到2025年我國將產生的數據總量,占全球總量的27.8%。如此規模的“數據富礦”,其潛力極其巨大,《數據安全法》、《個人信息保護法》作為數據安全和隱私保護的法律依據,對數據合理利用,有序自由流動,促進數字經濟發展有著極其重要意義。
借助相關要求,組織對數據要更加“以共享為前提、不共享為例外”、“敢開發、敢利用”、“讓數據多跑路,產生更大的業務價值”。
誤區二 數據安全是網絡安全的一部分,交給網絡安全部門就行了
過去,承接網絡安全工作的往往是網絡安全團隊。碰到復雜的問題時,也只需網絡安全部門與相關部門聯動便可實現問題的閉環處理。
而數據安全與之最大的區別,在于數據散落在組織各處,企業很多部門都是數據處理活動的參與者,所以這些參與者都需要承擔一定的數據安全職責。
以某大型企業為例,其擁有銷售部門、采購部門、財務部門、信息化運行維護部門和應用開發部門等多個業務單元,每個業務單元都獨立運轉并管理或參與管理著大量的部門數據,這些數據在組織內有序流轉,并產生多樣的交匯與共享,其中業務部門是數據的所有者,IT部門只有在和業務部門高效協同的背景下,才能真正保障好數據安全。
所以要做好數據安全工作,就需要組織內多個部門共同參與,網絡安全部門是組織內承擔基礎設施及公共安全能力建設的主要部門,但其缺乏對各個業務部門數據的深入理解,另一方面也難于直接參與到數據資源管理和應用開發建設的過程中,所以在數據安全上能發揮的作用相對有限。
因此,數據安全絕不僅是信息化組織或網絡安全部門的獨立工作任務,而是一項由組織決策層到執行層,自上而下覆蓋組織整體架構的完整任務。網絡安全部門在數據安全上的工作更多應集中在數據安全風險監測與公共能力建設上。
數據安全保護需要組織自上而下,統籌開展
什么是自上而下,統籌開展?就是要把組織作為一個整體進行數據安全工作布局,而非依靠某個人或某個部門的力量來獨立處理數據安全問題。
從法律的角度來說,擁有或使用數據的組織才是承擔數據安全責任的主體。所以,數據安全工作需要統籌各個部門參與,保障數據在特定組織內全生命周期的安全。不論數據在這個組織中的生命周期涉及多少產品業務或人員,最終衡量數據是否安全,都需要把組織作為整體來考慮。
數據安全保護工作需要建立牽頭+認責體系
前面提到,數據安全與每個部門都息息相關,那是不是所有部門、所有人都該對組織的數據安全負責呢?為了厘清責任主體,數據安全保護工作需要建立牽頭+認責體系,由一個組織單元牽頭負責,再由數據的其他相關角色(生產者、使用者等)共同認責。
核心牽頭者的職能是推進數據安全治理工作,完善數據標準化管理,實施常態化指導監督等。認責則是基于“誰生產、誰擁有、誰負責”的數據認責原則,確定數據安全保護工作的相關各方的角色、責任和關系,典型如數據安全保護過程中的決策、執行、解釋、匯報、協調等角色和職責。
2021年8月,深圳發布的《深圳市推行首席數據官制度試點實施方案》(以下簡稱《方案》),就是牽頭+認責體系的一個范例。
根據《方案》,首席數據官有六個方面的主要職責,分別為推進智慧城市和數字政府建設、完善數據標準化管理、推進數據融合創新應用、實施常態化指導監督、加強人才隊伍建設和開展特色數據應用探索等。
有了政府部門的率先嘗試,企業數據首席官制度是不是也可以做一些試驗呢?
誤區三 數據安全關鍵是體系化建設,要主抓建設,看看還有啥沒買
數據安全保護工作不是一勞永逸的事,需要結合業務需求和技術發展不斷夯實、加固、完善數據安全的保護能力。
以數據分類分級為例——數據分類分級并非一次性工作,只要有新數據的產生,分類分級工作就需要不斷重復進行,數據分類分級越細,需要投入的資源就越多。
在IT時代,企業的信息化建設是以系統和網絡為中心的,對應的安全防護也是以系統和網絡邊界的防護為重心,更多關注邊界處的數據泄露和外部攻擊,只要攔住了,就沒事了。
但現在,數據的種類極其豐富,數據存儲、流轉及使用已構成一個復雜的數據生態。數據安全的風險更多在內部積聚,內部敏感數據的存儲、擴散風險到了失控的狀態時,邊界的防護壓力就會增大,防護效果顯著降低。而且,敏感數據違規濫用本身就不是發生在邊界處,大部分產品對于這種風險既無檢測感知能力,也沒有響應保護能力。
因此,增加數據安全運營視角為解決數據安全問題提供了一個新的解題思路。既然安全風險產生于數據運營的各個環節,那防護就不應該再盯著各個系統和網絡,而是回到問題的本質,以數據為核心,圍繞數據的全流程來展開安全的防護和運營工作。
數據安全也有和網絡安全相似的一面,需要持續的風險監測與運營改進,通過不斷發現、分析、研判可疑的數據安全事件,并積極響應、快速處置,推動數據安全的保護工作不斷進行改進。
持續監測、不斷響應是數據安全工作永恒不變的主題。
那有了這些大方向,各組織單位開展數據安全工作該從哪里開始,具體步驟又分別是什么呢?
關注深信服科技官方微信公眾號,不同行業如何開展數據安全工作,后續#數據安全#內容版塊為您一一解答。
深信服數據安全解決方案基于《數據安全法》和《個人信息保護法》等法律法規的要求和實際的數據安全風險場景,通過人工智能和機器學習等先進技術,為政府、教育、醫療等各個行業用戶提供面向數據全生命周期的數據安全建設體系,讓數據使用變得更加合規、安全。
京公網安備 11010502049343號