如今,全球都存在层出不穷得数据安全事件,而数据安全事件将会对个人、企业、行业、乃至国家造成非常严重得影响,甚至危及其安全。
近几年,我国更是陆续颁布了《网络安全法》(2017年6月1日)、《数据安全法》(2021年9月1日)、《个人信息保护法》(2021年11月1日),从法律法规得层面来保障个人信息得安全,来保障及约束行业数据操作的安全和规范。
更是因为近几年频繁发生的数据泄露、个人信息过度收集、个人数据保护意识和意愿的不断增强,各个行业开始不断的重视【数据安全体系】的建设。
那么问题来了,【数据安全体系建设】应该怎么去做?从什么地方下手去做呢?这是很多新人,包括我自己刚开始做数据安全的时候都会面临的比较头疼的问题,所以下面也是把自己这段时间做数据安全的一些经验和思路分享给大家,有什么问题大家可以随时指出来。
抛出问题?
1.你为什么要做数据安全?
2.你有那些数据?
3.你的数据分布在哪里?
4.你的数据安全吗?合规?
数据安全体系建设四步!
一、规划
1.现状分析
分析企业自身目前数据安全有没有措施,做了那些措施;如果企业有专业的数据安全人员,有能力的可以自己做一个数据安全风险分析,实在不行也可以找一个第三方机构做一个风险分析,发现企业目前在数据安全建设这一块存在那些风险和不足。
2.方案规划
认识到自身企业的一个现状之后,有针对性的去做一些方案规划;明确第一步需要做什么,第二部需要做什么?
3.方案论证
当然,方案有了之后,对方案的可行性、适用性等一定要做一个论证。
二、建设
1.数据安全委员会组织架构建设
个人认为,其实信息安全和数据安全两者即存在关联,但也可以单独区分开来;信息安全会有组织架构——信息安全领导小组,故数据安全也有相应的组织架构——数据安全委员会;
而数据安全委员会一般会分为决策层、监督层、管理层、执行层四个层级,决策层和监督层一般由公司的CEO、CTO等领导担任,管理层一般由各专门的负责人担任,执行层则由技术人员、团队成员担任,共同组成数据安全委员会。关于详细的组织架构会在后面专门一期来做介绍,这里就不多解释了。
2.制度体系建设
制度体系建设同信息安全制度体系建设一样,会有一套数据安全专门的制度体系存在,同样也会有一级文档、二级文档、三级文档、四级文档区分(每个级别对应那些文档可上网查看),这里就列举几个数据安全制度如:《数据安全组织架构及人员管理办法》、《数据分级分类管理规范》、《数据安全管理审计规范》、《数据安全应急预案》、《数据安全人员培训管理办法》......关于详细的有那些制度及其内容会在后面专门一期来做介绍,这里就不多解释了。
3.数据管理系统开发
关于数据管理系统,如数据分级分类系统、数据脱敏工具等,市面上虽然不多,但也不少,如某云的DMS等;当然,数据安全本身就比较敏感及多样化,如果别的别人的不行,也可以自己开发系统;虽然我公司是自己开发的,但本人不会开发,所以这里也不做多余分享。
4.人员能力培养
关于人员能力这一块,管理能力、技术能力、运营能力、合规能力都应具备。
三、运营
1.风险防范
合理的策略制定,包括安全策略、数据管理策略、分级分类策略、敏感数据识别等策略;同事搭配基线扫描,及时发现系统存在风险点;执行国家及行业标准,定期做好风险评估工作。
2.监控预警
做好态势监控、日常审计,做好及时发现及告警。
3.应急处理
做好应急预案方案,针对安全事件及时做好复盘及整改。
四、评估
评估工作一般来说,自己企业内部会定期(一年/具体根据自己企业的实际情况)做数据安全评估工作;也可以找专门的第三方风险评估机构做。
解决问题!!!
其实,将上面的四点完全昨晚之后,对上文提到的几个问题就已经能够清楚的知道了:(懒得打字,直接上之前做的PPT的截图)