精细化管理的意义
数据安全是目前安全行业主要发展方向之一,传统以网络为中心的安全厂商近年来不断丰富自身产品线,相继增加数据安全领域产品,可以看出,数据安全行业是未来各大安全企业战略争夺点,总体而言,现今数据安全整体建设平均处于1.0阶段,业务与数据未进行深度融合,数据安全实现业务目标有限。
精细化管理是一种理念,是组织业务发展的指导思想,是组织发展到一定阶段的必要建设。精细化管理可分为规范化、精细化、个性化三个层面。精细化管理多用于生产制造领域,而数据安全与精细化管理的融合将解决粗犷的数据安全防护粒度,加深安全与业务融合度,全面支撑数据安全实现业务发展目标。
未来的数据安全2.0阶段便是以实现业务目标为导向,融合组织内部业务系统,通过精细化管理相关手段,实现管理的规范化、对象的精细化、防护的个性化,全面提升组织内部数据安全防护水平。
数据安全治理应是数据安全精细化管理的一种表现方式,即数据安全治理的目标是实现数据安全的精细化管理。
管理规范化
管理规范化体系,是精细化管理实施过程中的必要条件,是管理水平的直观体现。管理规范化在数据安全建设、运维过程中起到重要的约束作用,所以完善、可收敛的数据安全管理体系非常重要。数据安全管理体系的建设需要从组织内部战略、合规等多个角度考虑,形成多等级的管理规范化文件。
- 第一级应为管理总纲。是组织安全战略,主要包含愿景、方针、基本原则、安全策略、违规处理等内容。
- 第二级为管理制度。以数据生命周期为基础的的各种安全管理规章制度要求。
- 第三级为操作流程和规范性文件。组织业务过程中的作业指导书或指南,以便管理内容可落地执行。
- 第三级为表单文件。由安全系统产生的报表、人工产生各种记录文件。
数据安全管理体系并不是摒弃组织内部建设以网络为中心的安全管理规范,而是在此基础上融合数据安全管理要求,形成全面的管理规范。
对象精细化
数据安全的对象为组织内部各种数据,在对象精细化管理前,需要大量摸家底、理数据的工作,以便准确有效对属性(列)分类分级。
目前业界可参考的分类分级较少(贵州政府数据分类标准,工业互联网企业网络安全分类分级指南),没有明确的分级方法论,目前组织对自身内部数据进行分级时可参考《数据安全管理办法》、《个人信息安全规范》、《中华人民共各国政府信息公开条例》等上层建筑文件,再结合组织内部数据特性,抽取分类分级原则,形成有效、准确、可收敛的分类分级方法论。
一旦形成细粒度方法论,便可实现对数据属性的定级分类,达到数据精细化效果,为防护个性化做准备。
数据分类分级是数据安全精细化管理的前提,是进行个性化安全保障的前提。
防护个性化
防护个性化是针对相同数据不同场景、不同数据相同场景下的个性化管控,既要满足灵活多变,又要满足针对防护,个性化防护需要梳理现有业务场景(元素包括:业务系统、数据等级、请求人员等),由业务场景转换成技术防护策略,再从技术防护策略填充至安全产品中,最终实现数据在采集、传输、存储、处理、交换(共享、应用)、销毁等数据生命周期下的个性化安全防护。防护个性化由于依托业务场景,所以业务场景发生改变时,对应的防护需要动态改变,防护个性化是一个持续且动态的过程。
数据安全精细化管理是结果,数据安全治理是手段,数据安全治理目的是实现数据安全的精细化管理,所以组织不应将手段(数据安全治理)设立成战略目标,而是应将结果(数据安全精细化管理)设立成战略目标。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
