创意市政护栏CYH-C
创意市政护栏CYH-C

爱游戏体育官网入口【网安智库】企业数据安全能力框架 ——数据安全能力成熟度模型

发布时间: 2022-08-20 02:00:07 来源:爱游戏体育官网 作者:爱游戏体育官网网站
产品详情

  原标题:【网安智库】企业数据安全能力框架 ——数据安全能力成熟度模型的构建及应用

  安全的目的是为了保障发展,如何衡量一个拥有数据的组织的数据安全保护能力是十分重要的。本文探讨了拥有数据的组织面临的数据问题及挑战,介绍了大数据环境下数据安全发展趋势和完整的组织级数据安全能力框架,阐述了数据安全保护能力的实现路径及实践过程中可能遇到的难点,最后以某互联网金融企业为例,分析了利用数据安全能力成熟度模型指导企业进行数据安全保护能力建设的过程和方法。

  数据被称为新时代的“黄金”或者“石油”,正在成为企业的核心资产,成为创新的关键来源,成为国家的战略资源。数据越来越值钱,自然成为违法犯罪分子的重点关注目标。他们除了直接盗取数据进行倒卖之外,也会用全面的数据构建精准诈骗活动,甚至对用户数据进行加密,然后勒索赎金,这也成为了当今的主流攻击行为之一。在我国,以营利为目的的网络黑灰产活动从2004 年底就开始了。随着网络中的应用日渐广泛和深入,犯罪分子能够攫取利益的地方也越来越多,因此团伙的人员规模也在不断膨胀。在网络黑灰产业链中,窃取用户数据是非常重要的一环。但是,直到2016 年“徐玉玉事件”的发生才真正让我国全社会开始重视电信诈骗以及背后的数据泄露问题。随后,从各种不断披露的案例中可以发现一个现象:很多数据泄露的渠道,都是通过买通内部人员来实施的,这完全不同于大家想象的“黑客范儿”。

  2016 年4 月,欧洲议会通过了《一般数据保护条例(General Data Protection Regulation,GDPR)》,该条例将在2018 年5 月25 日生效。该条例规定对欧盟公民的隐私保护做出了极为严格的要求,违规企业可能最高被处以2 000 万欧元或者前一年全球总年营业额的4% 作为罚款。GDPR 对全球众多企业都会产生非常大的影响。经过长时间的酝酿和讨论,2016 年11 月7 日我国颁布了《中华人民共和国网络安全法》,该法律于2017 年6 月1 日实施。保护个人信息和重要数据的安全是这部法律的重要内容,相关的执行细则和标准,包括个人信息如何保护、数据跨境如何评估等,也在紧锣密鼓地制定中。

  数据安全问题受到全世界从政府到普通消费者的各种不同角度的关注,但随着数据安全的受关注度越来越高,人们似乎正在陷入另外一种风险之中,那就是“数据恐慌”。这种“数据恐慌”表现为对数据采集和使用的过度限制或者禁止,而不是通过数据保护能力的提升来改善数据安全水平。如果这种趋势不能扼制,会导致法律法规、政策标准严重制约数字经济的发展,会导致广大消费者对新经济的信心丧失从而导致各种创业创新严重受挫,这对于数字经济的发展是很危险的。安全的目的是为了保障发展,在目前的大数据应用和安全的环境下,非常迫切的一项工作是,如何衡量一个拥有数据的组织的数据安全保护能力。

  数据只有流通共享,才能促进产业间协同,优化资源配置,更好地激活生产力。可以说,大数据时代下的生产过程就是数据在采集、产生、应用、流通共享的过程,这是一个以数据为中心的经济时代,以数据为中心的安全能力至关重要。

  伴随着信息化的开展,各组织机构的业务被大量数据化,数据被广泛应用于组织的业务支撑、经营分析与决策、新产品研发、外部合作,数据也不再只是管理者拥有的权利,上至管理者,下至一线业务岗位,都需要使用数据。

  组织内部的核心业务系统、内部办公系统、外部协同系统不再是竖井式的架构,数据的共享使得各系统间存在大量的数据接口,系统间呈网状结构,互为上下游,每个系统都是其他系统的一部分,同时,其他系统也是自身系统的一部分。数据的流通共享也进一步促进了组织间的协同,组织间的部分职能也互为上下游。

  大数据技术使得数据的采集、使用更加便利,数据的种类丰富,可被关联的数据要素大大增加,同时,运算能力的提升加大、加快了数据关联或聚合的效率和吞吐量。

  实时数据处理技术的发展使得数据的流动和处理更加实时,在提升效率的同时,也加剧了安全的挑战。

  组织内沉淀了大量的数据,涉密数据量也远远超出以往的数量,传统的数据加密手段开始捉襟见肘,如何在灵活使用数据的同时还能高效安全的保护数据,也是需要解决的问题。

  数据成为核心生产资料,其价值被高度重视,数据的交换、交易行为以及相关的市场孕育而生,如何确保这些行为的安全,进而维护好国家、组织、个人的合法权益,是巨大的挑战。

  目前行业里主流的数据相关方有数据主体、数据生产者、数据提供者、数据管理者、数据加工者、数据消费者,数据权利不停转换,而数据的所有者及相关权利的界定至今未能达成一致意见。

  互联网化加剧了“地球村”的发展,网络虽然无国界,但是网络基础设施、网民、网络公司等实体都是有国籍的,各国虽然在网络主权的提法上各执己见,但在实践层面却无一例外对本国网络加以严厉管制,防止受到外部干涉。

  大数据环境下的数据安全具有五大趋势:从注重系统的防护到聚焦数据内容本身的保护;从单一组织的保障到跨组织的联动;从数据的保密到(大)数据经济秩序的保障;从技术风险+ 操作风险到技术风险+ 操作风险+ 商业风险+ 法律风险;从传统的数据技术到大数据技术。因此数据安全的能力必须充分考虑组织保障、管理政策及流程的落地、大数据治理、数据生命周期的安全、数据的风控、数据生态的安全协同六大要素。

  数据安全能力成熟度模型(data securitymaturity model,DSMM)以数据生命周期为主线,聚焦数据安全相关的四大能力:组织建设、人员能力、制度流程、技术工具,针对组织机构的数据安全能力进行评级,能够很好地帮助组织自身及合作伙伴评估数据安全能力,找到差距,有的放矢地提升数据安全能力,并作为数据共享的风险评判依据之一(如图1 所示)。

  能力成熟度等级维度组织的数据安全成熟度模型具有5 个成熟度等级,分别是非正式执行(等级1:随机、被动的安全过程)、计划跟踪(等级2:主动、非正式的安全过程)、妥善定义(等级3:正式的规范的安全过程)、量化控制(等级4:安全过程可控)、持续改进(等级5:安全过程可调整) 。

  1)基于电子数据在组织机构内的数据生命周期,明确定义各阶段特定的数据安全过程域和数据生命周期通用的安全过程域。各阶段特定的数据安全过程域,包括数据采集、数据存储、数据传输、数据处理、数据交换和数据销毁这六个阶段中,各阶段特定的数据安全过程域。数据生命周期通用的安全过程域,是与各个生命周期都相关的,通用的数据安全过程域,比如策略与规程、合规性管理等方面。

  2)本标准对组织机构的数据安全保障能力的成熟度的分级评估,是基于各成熟度等级下的数据安全能力通用实践所定义的分级评估方法,对各阶段特定的数据安全基本实践和数据生命周期通用的安全基本实践的实现的成熟度等级进行评估。

  基于大数据环境下数据在组织机构业务中的流转情况,定义了数据生命周期的6 个阶段,具体各阶段的定义如下:

  ——数据采集:指新的数据产生或现有数据内容发生显著改变或更新的阶段。对于组织机构而言,数据的采集既包含在组织机构内部系统中生成的数据也包含组织机构从外部采集的数据。

  ——数据传输:指数据在组织机构内部从一个实体通过网络流动到另一个实体的过程。

  ——数据交换:指数据经由组织机构内部与外部组织机构及个人交互过程中提供数据的阶段。

  ——数据销毁:指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底丢失且无法通过任何手段恢复的过程。

  特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整的经历六个阶段。

  安全过程域体系覆盖数据生命周期的六个阶段,包含各生命周期阶段通用的安全过程域和各生命周期阶段下的安全过程域,如图2 所示。

  通过对各项安全过程所需具备安全能力的量化,可供组织机构评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。

  从承担数据安全工作的组织机构建设应具备的能力出发,从以下方面进行能力的级别区分:

  从组织机构在数据安全层面的制度流程建设,以及制度流程的执行情况出发,从以下维度进行能力的级别区分:

  从组织机构用于开展数据安全工作的安全技术、应用系统和自动化工具出发,从以下维度进行能力的级别区分:

  ——数据安全技术在数据全生命周期过程中的利用情况,针对数据全生命周期安全风险的检测及响应能力;

  ——利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程的固化执行能力。

  从组织机构内部承担数据安全工作的人员应具备的能力出发,从以下维度进行能力的级别区分:

  ——数据安全人员所具备的数据安全能力是否能够满足复合型能力要求( 对数据相关业务的理解力以及专业安全能力);

  ——数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力的培养。

  在这一级别,数据安全过程域的基本实践通常被执行。但基本实践的执行可能未经严格的计划和跟踪,而是基于个人的知识和努力。组织机构内的个人可标识出一个数据安全过程应被执行,并同意这个数据安全过程会在需要时执行。

  在这一级别上,过程域基本实践的执行是经计划并被跟踪的,并对实践情况进行验证。数据安全管理应符合指定的标准和需求。通过测量来跟踪过程域的执行情况,因此,使组织机构能够基于实际实践活动进行管理。与非正式实践级别间的主要区别是过程实践被计划和管理。

  在这一级别,基本实践按照充分定义的过程执行。充分定义的过程是依据对文档化的标准过程进行裁剪并经批准的过程版本。这一过程与计划跟踪级的主要区别在于利用组织机构范围内的过程标准来管理和规划。

  这个级别收集、分析执行的详细测量。这将获得对过程能力和改进能力的量化理解以预测执行情况。这个级别执行的管理是客观的,数据安全管理的质量是量化的。这一级与充分定义级的主要区别在于定义的过程是定量的理解和控制。

  在这个级别上,基于组织机构的商务目标并针对过程的有效性和执行效率建立量化执行目标。通过执行已定义过程和有创建的新概念、新技术的量化反馈来保证对这些目标进行持续过程改进。这一级与定量控制级的主要区别在于已定义的过程和标准过程基于对这些过程变化效果的量化理解,进行连续调整和改进。

  安全过程可持续优化,实时跟踪行业的最佳实践和业务的最新动向,制度流程和技术工具持续调整以更好适应业务发展,沉淀下来的数据安全最佳实践能推广至行业供其他组织机构借鉴。

  组织机构的数据安全能力成熟度等级取决于各项数据安全过程域的能力成熟度等级。本标准采用“木桶效应”的等级评定方法,组织机构整体的能力成熟度取决于各项数据安全规程域的能力成熟度级别中的最低级别。比如,当所有的数据安全过程域的能力成熟度都达到2 级及以上时,组织机构的大数据安全能力成熟度级别方可为2 级。

  为了有效保障数据安全政策的落地实施,企业应该设置专职的数据安全团队。此外,还需要设立面向全组织的数据安全委员会,委员会需要有来自业务、数据、安全、法律等领域的不同角色参与,形成专业上的互补和完整的组织视角,统筹全局的数据安全管理政策,兼顾发展与安全,推进各部门落实数据安全各项政策。数据安全是个系统工程,服务于组织的大数据战略,需要得到组织高层管理者的重视,数据安全委员会的负责人应该是组织里最高管理层里分管安全或者数据的管理者。

  同时,还需要内部各相关部门的紧密配合。对于有多个业态的集团型组织,各业务的负责人应为该业态下数据安全第一责任人,与数据安全委员会、数据安全实体团队共同推动本业态下的数据安全工作。

  数据安全管理的核心是数据,需要对组织内的海量数据资产以及与数据相关的部门、业务/ 产品、流程、数据风险管理进行盘点。

  数据资产的盘点:重点梳理数据的种类、数据量、核心的数据内容、数据来源以及数据的安全分级分类情况和流转链路。

  往往是数据风险的高发部门,属于高敏感岗位,需要梳理全组织与数据相关的部门数量、部门内部各岗位的职责、工作流程、数据操作环境,重点关注操作风险高的环节。

  业务主要是指以数据为核心生产要素的业务,这类业务高度依赖数据,是组织对外提供数据服务的业务,在产品研发、测试和对外服务的过程中都需要对数据进行梳理,需要梳理数据在业务/ 产品中的应用原理、交互的系统接口、相关的责任人,此过程同样重点关注高风险的环节。同时,由于对外提供的是数据服务,提供的数据内容也需要进行合格性的盘点梳理。

  据的采集、存储、授权、内部使用、传输、对外披露、销毁等过程,这些环节构成了数据在组织内部的主要流程,需要梳理所有线上线下的流程。

  数据相关风险管理盘点:梳理数据风险的识别、风险评估及判定、风险跟踪及改进情况,包括基础性的治理,例如:风险的日志数据、风险的定级机制、风险的响应机制。

  如图2 所示,DSMM 包含40 个安全域,涵盖组织的数据全生命周期过程,每个安全域含有相应的评估点和评估标准,由数据安全实体团队针对评估点参照评估标准进行安全能力评估。

  DSMM 不但能够评估出数据安全能力,也能反映数据安全的风险,总体评估完成后,需要得到两部分的改进计划:一部分是风险修复计划,一部分是数据安全能力短板提升计划。

  负责人的层级不够,难以协调;提供的资源投入有限,力度不够;仅仅作为合规需求,响应被动;缺乏前瞻性的布局,前瞻性的数据安全技术研究与投入缺乏或者不足。

  其他业务部门认为是安全部门的事情,主动性不强,业务要素的输入不足,导致数据安全政策不够贴近业务,既影响落地,又可能造成数据安全一刀切的局面,影响业务的发展。

  业务的IT 化促成了大量的系统产生,沉淀了大量的数据,应用系统的梳理、系统间的数据接口以及数据的盘点成为了基础治理工作的重中之重,日常实践中,基础治理工作往往得不到应有的重视,管理者往往急功近利,忽视基础治理工作的重要性。

  由于历史因素,组织里存在着大量的历史业务,大数据环境下的数据安全政策难免与现有业务流程产生冲突,冲突发生时的取舍容易导致数据安全为业务让路,造成数据安全政策落地难的局面。

  互联网+ 大数据+ 引发业务创新的加速,业务出现快速发展的势头,频繁迭代升级,数据安全政策及技术手段更新容易滞后。

  大数据环境下,组织间的业务合作促进了数据的共享,如何安全可控地分享数据是大型组织常见的挑战。

  数据安全成熟度模型的适用范围非常广泛,从现已落地使用的企业来看,涵盖了银行、互联网金融、证券等金融行业,以及百货零售、电器销售等零售行业,也包括体育、音乐、视频等文娱行业,乃至乳制品制造、冶金、电力、物流及互联网+ 新型企业等产业领域。作为模型的推动者,阿里巴巴还与多家国内企业建立了数据安全成熟度模型合作伙伴关系,共同推动国内企业数据安全能力的构建。

  (1)数据安全是商业落地的重要基石,无论是已经在大数据业务上有所作为还是在此领域蓄力待发的组织机构,都清晰意识到大数据业务的发展离不开坚实的数据安全基础。

  (2)以“数据”为中心的安全:大部分组织机构的安全工作集中于对网络系统的边界防护层面,但无法有效应对基于数据价值的安全保护需求,安全管理的思路亟待转变。

  (3)大数据下的数据安全必须具有产业生态的视角:大数据环境下,数据流通、共享是趋势,聚焦于数据本身安全的同时,还需要聚焦产业上下游间数据流通、共享带来的安全挑战。

  (4)数据安全技术创新/ 产品需求的迫切性:传统的网络安全技术及攻防产品无法满足综合性的数据安全需求,大数据下的数据安全能力建设急需安全技术的创新及以数据为中心的体系化的数据安全产品解决方案。

  目前,数据安全成熟度模型正在致力于构建生态体系,除了在模型评估方面开展行业的实践,后续还将在评测认证以及产品解决方案方面开展相关工作。

  本微信公众号刊载的原创文章,欢迎个人转发。未经授权,其他媒体、微信公众号和网站不得转载。

  ···························································返回搜狐,查看更多

立即咨询
姓名*
电话*
邮箱
留言内容*
验证码*
  
爱游戏体育官网
热门产品