数据作为新型生产要素,占据着国家战略资源地位。然而,层出不穷的数据泄露事件也给数字化转型中的企业带来巨大风险和巨额损失的可能性。
据IBM安全发布的《2023年数据泄露成本报告》显示,2023年数据泄露的全球平均成本上升至445万美元,达到历史新高,比2022年的435万美元增加了2.3%,比2020年的386万美元增加了15.3%。
我国数据安全相关立法进程也明显加快,《中华人民共和国网络安全法》《中华人民共和国密码法》《数据安全法》《个人信息保护法(草案)》等系列政策法规相继出台,强化了数据安全的法制基础,对企业提出了更高的数据安全合规性要求。
一.数据安全合规是门必修课
在过去十余年,国内企业践行数据安全遵循着由点及面、由少到多的特性。
具体来说,早前在政策未强制要求时,重视数据安全建设的企业,往往身处金融、互联网等领域——由于业务和数据安全强绑定,它们较早即自发开展相关建设。
但在更多领域,如教育、医疗、制造业等,不少企业在法律法规完善前并未意识到数据安全的重要性。在新的数据安全形势下,无论是大型企业还是中小型企业,无论是国内企业还是跨境企业,都会面临数据安全合规和数据管理的挑战。企业想要用好数据,背后就需要大量的技术进行支撑。
在新的数据安全法律法规的作用下,企业需要做到的远不止内容不被丢失、滥用,和数据被安全地存放在“保险箱”中——它们需要在存储安全的基础上更进一步,关注数据在不断流动状态下的安全性,在整个业务活动中都做到对数据的安全管控。新的监管和业务需求之下,企业需要使用创新性的安全合规和管理技术,去解决传统数据安全无法应对的挑战。
走上数据安全合规技术之路,或许会迟到绝不会缺席。
二.如何梳理当前数据安全现状
在建设数据安全合规体系之前首先应通过数据安全风险评估、数据安全专项检查等梳理数据安全的现状,做到准确把脉,对症下药。
01
数据安全风险评估服务
数据安全风险评估可对数据流转过程进行多个风险维度的评估和检测,其核心是平衡数据价值和数据风险之间的跷跷板。依据相关信息安全风险评估规范文件并结合行业特征、DSMM(数据安全能力成熟度模型),以及数据应用场景,对每个环节进行评估,最终形成数据安全风险评估报告。
针对报告,从数据管理的组织、制度、技术、人员等多个维度进行差距分析形成差距报告并提供整改建议。
02
数据安全专项检查服务
依据《数据安全法》、《民法典》、等保2.0等相关规定,针对数据的泄露、违规收集、非法使用等情况不定期地进行巡检,协助组织快速定位问题,形成检查报告,提供整改建议。
三.数据安全合规体系建设必要工作
数据安全合规体系建设是一个系统工程,在进行数据资产梳理之后,首先要进行数据分类分级,搭建数据安全总体架构,并分阶段推进数据安全体系建设。
01
数据安全分类分级实行
数据分类分级是保障数据安全的前提,也是数据安全治理过程极为重要的一环。使用数据分类分级工具,落实数据分类分级工作,可满足合规性要求,做到:
看得清:通过数据分类分级服务帮助组织梳理数据地图,实现全面性的“精准可视”与“安全可控”。
理得顺:以“精准可视”的资产地图为借鉴,协助组织快速构建可持续发展的数据安全管理体系,理顺数据资产,盘活数据价值。
用得好:结合业务与分类分级结果,掌控数据质量,提升数据应用水平,加速数字化转型,提供数据价值变现新动能。
02
数据安全总体架构规划与建设
组织的数据安全总体架构规划,应以数据合规为驱动,以推动业务发展为目的,分阶段推进数据安全体系建设,贯彻落实法规要求,将单点风险控制转化为全面、分阶段的安全规划,突出核心区,帮助客户全面、有效、持续提升数据安全防护能力。其中包含但不限于:
• 数据安全组织体系建设
突破传统网络安全或IT部门独立履行数据安全合规治理职责的瓶颈,建立跨领域、懂数据、为数据安全合规端到端负责的新组织,实时掌控重要数据流向变化。
• 数据安全管理体系建设
以外部法律监管和企业内部数据管理应用为着眼点,形成规范性、可执行的管理体系。针对核心数据管控,定期进行风险评估,及时响应。
• 数据安全技术体系建设
技术体系是协助组织提高数据安全合规效率的工具,工具要可贯穿数据形态、流向及全生命周期,要能统筹管理各类安全技术能力,实现全网进不来、拿不走、看不了、走不脱、可视化的数据安全技术体系。
• 数据安全运营体系建设
数据的安全合规、风险可控的终极目标是数据价值体现。数据安全不可仅满足一次合规,只有以运营指标为基础,考核监督为改进依据,实现“事前、事中、事后”的全过程覆盖,加大事前预防能力,减少“亡羊补牢”,构建自适应、自运营的安全能力,才能让数据在实现价值的路上无后顾之忧。
四、数据安全合规体系建设结果
数据安全合规体系建设是一项至关重要的工作,通过数据安全合规体系的建设,能够协助组织:
-
满足合规性要求
-
细化数据安全能力建设
-
增强内部管理能力
-
适应业务发展需求
数据安全合规体系建设作为一个系统性工程,在实施中要与用户的业务相结合,针对业务特点进行调优与适配。朗言数安致力于为客户提供完善的网络与数据安全合规服务,助力客户实现数据要素价值,一直以来朗言数安深入数据安全治理相关技术研究,已陆续为多个行业客户提供数据安全合规解决方案,并在医疗、教育、金融、交通等多领域落地实践,助力用户数据安全合规体系建设。
来源 :科技前沿&昂楷科技&科技云报道
免责声明:以上资讯均系本平台通过公开、合法渠道获得,版权归原撰写/发布机构所有,如涉侵权,请联系删除;资讯为推荐阅读,仅供参考学习,如对内容存疑,请与原撰写/发布机构联系。