此篇文章发布距今已超过558天,您需要注意文章的内容或图片是否可用!
本周企业安全建设实践群围绕数据安全管理组织设置及职责厘清进行了讨论,主要围绕以下问题展开:Q1:数据安全法、网络数据安全管理条例里写的数据安全负责人,大家怎么设置的呀?A1:我们设置了数据保护官DPO,数字化部门老大兼。A2:数据安全挂在科技部,然后就放在安全,但是数据责任太大了不应该只给科技部。各位大佬有成立什么组织来区分数据安全技术职责和业务职责呢?A4:onewer的管理范围起码也要覆盖数据部+安全部吧,如果安全部负责人不是一级部门(向CEO汇报),那这个数据安全负责人,起码也要是CTO。不单单是数据owner这个职责。能推动CEO来担任这个数据安全负责人最好。A5:没有实体组织能cover职能,就成立委员会,委员会主任至少是向CEO汇报。A6:我觉得CEO不对。数据治理的负责人,业务部门的大领导,如果是DPO的话是法务,一般而言,科技是执行保护,但是不能做数据owner。但感觉争议有点多,比如对方说他们不懂数据安全专业知识。A7:那就去学。数据安全的核心不在技术,技术手段安全部门可以提供,数据分类分级、数据生命周期管理、数据流转、数据权限,别人更不专业,不做这些还治理啥呢。金融业对数据安全负责人给了建议的,就是谁负责数据治理,谁负责数据安全,技术部门只是实施者。当然应该他们自己评估,自己定义。我不是很理解这个问题的困惑是啥啊。A8:很常见的问题,“我不懂,你来”。以不懂为荣,只要权力不要责任。A9:业务数据安全部门怎么可能搞得明白。国家有规定的,安全部门来兜底。业务自己的数据自己负责啊。我也没跟业务挨个谈过,直接一点就是数据进库必须定级,我可以做定级推荐。好像大家也没啥困惑,就干了。数据分类分级就是数据安全治理工作的基础,安全决策需要这些依据。A10:这个还真是基础,首先数据分几级,个保法规定的敏感信息不能定低级,公开信息不能定高级,3级能不能满足业务需求,业务方没有想法就按法律来,但一般他们都会有想法的,不希望什么数据都按一个级别处理。除了法律兜底的,有想法就按他的想法来,他自己负责。Q:哪些表里有敏感数据,可能数据负责人自己都弄不清楚。业务都不知道敏感数据在哪,让数据安全的同事去一个表一个表查?字段名,含义,一个一个去问,去对?A11:业务知道数据在哪,但是不知道如何定义敏感信息。至少要有定义,业务数据定级可以协商,但通用个人敏感信息这个安全可以定义和识别。另外,安全要有核查的技术和策略,这点挺重要的。A12:你不能指望业务也能全部搞清楚,一方面是你要有自动化能力做智能推荐,另一方面你要有容错度。数据定级是个能干一辈子的事,不存在一次搞定的事情。就是你啥能力也没有,业务都搞成清晰的输出给你,也不存在任何容错空间。我觉得吧,事肯定没这么极端...而且他就算今天定义好了,随着形势变化,可能这个数据级别也会变化...所以咱们要干的,还是技术工具和卡位。我也不觉得哪家能把业务数据都给定准确了。比如哪个开发私下查了接口存了一份日志入库了。那就在入库环节强制定级+扫描,是不是可以解决一些问题。A13:对,比如明文四要素是肯定可以识别的,兜底防严重事件,业务自己定义的就按他的来就行了,之前群里有过分享,主要还是依托数据平台做的。数据活动清单挺关键的,能做好合作方管理的卡点挺不容易的。推动的时候,安全合规这边是要给个标准和判断依据的,然后就是一些内部实际的业务数据判断样例。之后就是实际执行过程中作为咨询顾问的角色了,以及后续持续的必要的Q&A的整理和补充了。然后工具就是数据入库或日志打印字段标记的强制打标和配置,以及定期的业务敏感数据的日志和数据库扫描。Q3:如何厘清数据技术和业务的边界,后续责任问题,不能让业务部门觉得数据安全是技术部门的事情。首先的组织先行,不然就是一本糊涂账,出问题那就安全背锅。技术负责泄密途径数据防护的技术措施,业务部门得负责业务数据的权限交互使用等各种源头和管理责任。1、业务不认可这个逻辑,觉得这么大的活,毛产出也没有,不想干。2、自己基础建设可能也跟不上,卡点能力,扫描能力不具备,看不清管不住。A14:银保监有发数据安全的监管指导文件。我们管大安全就得先厘清责任和义务。我就把能写的都写进网络与数据安全领导小组里去。反正组长是一把手。就看咱们说的是否在理了,业内对安全的认知。说到底安全是一个洗脑的过程,赢得大领导支持就能让业务方承担他应该承担的责任。我们先厘清大方向,例如业务自己系统源头权限没做好,员工安全意识泄密的是不是也该业务主管部门呢。一种是领导就认同谁使用谁负责,谁主管谁负责,那业务必须懂。
一种是业务跟领导说话多,推给技术了,那技术这时候就要阐明数据安全怎么做,其中需要业务输入什么负责什么,如果资源支持领导同意了,技术牵头也不是不行,职责是他的,牵头谁都能牵。这两类都能解决大方向问题,双管齐下。终究数据安全七分管理三分技术。我去考数据这方面的东西的时候,同学中大量的法务、合规、乙方的咨询评估,讲课老师都觉得技术是其中的难点,像我这种关注实践落地、平衡冲突的反而是异类。A16:厘清责任确实很重要,业务不管,推给技术,那这个数据安全一定干不好,站位视角就不够。Q:数据安全领导小组必须独立吗?能不能合到一起成立,加个职责?A17:应该是必须成立。一是数据安全在管理责任和技术专业上有一定的独立性,其立法是分开的;二是现在数据安全的责任重大,不输网络安全,专门组织统筹管理,监管好找责任人;三是对安全团队是好事情,有高层站台,提供各种支持。我理解这应该是监管的初衷,希望数据安全工作能得到高层重视且有实际支持。另外网络安全和数据安全都是党委书记,一套班子成员。这一项有没有成立是扣分项。A18:扣分?那可以跟数据治理委员会放一起吗?我们的数据治理委员会就有业务和技术组成。
A19:不可以,数据和安全的领导小组成员很可能都是所有部门负责人,一样。但议事规则很可能不一样。比如说,按照GDPR,DPO就不能由CSO担任,类似的意思,站位是不同的。其实成立小组就是权责搞清楚,科技部门对于承担技术风险;数据流通业务合作那么多需要业务部门承担责任。近几年监管给科技的罚款就三个:网络安全、数据安全、事件漏报迟报,都是咱们安全的事情。如果在权责上面没写清楚,责任落实那我们可难受了,总不能承担全部责任吧。后续培训宣贯,落实。别到时候出问题来一句我不知道。我们的监管就是到业务部门电脑终端查看有就写进评级里面,非常严格的监管的现场检查,直接查你的终端看有没有大规模客户数据,这些数据是否非法存留,比如你去大数据平台申请一份数据,说是为了处理某件事,你的申请上是写了为啥,用多久,超过了那个时间,你就叫违规了。A19:我检查过别人,对于想做坏事的人没啥意思,只会让干活的人天天忙于删数据格式化硬盘。迎检人员还会把数据拷贝到莫名其妙的移动硬盘和光盘上,过一段时间自己都不知道在哪儿了。A20:大环境在这,群顶多在小环境内解决不会的问题,不能解决不想、不干的问题。有些问题不明确安全人员配备,权力,费用,很难解决。法律是有要求,但没有要求配套的资源。什么是合规,什么是违规定义也不明确。只有方向性。比如组织一年营收几个亿,罚200万也无所谓,安全应付应付就行了,风险全部接受,那要不要安全其实也无所谓嘛,组织有安全诉求才会招人不是。A21:如果脱离了业务谈技术,以最变态的文档加密软件为例,业务不管,安全在那吭哧吭哧弄,前面的生命周期全部放弃,试图用文档加密做兜底技防管控点,结果在审批环节全部被突破,陷入无限的运维坑还顾不到大局失去了目标结果,该泄露时照样泄露,因为他要用啊。为啥昨天说数据owner不能是安全,都是有原因的。
文档加密只是数据安全生命周期一个环节的技术工具而已,更是其中的一个点,变不变态取决于它对正常业务造成了多大影响,有多少比例的误报和无效审批。
A22:明确了规则而不执行,本身就是一种风险,特别是在金融领域。有种说法,奇奇怪怪的规则背后往往是血的教训。A23:非结构化数据的确难治理。都在等个保法和新网安法大罚单。企业可以先做数据合法收集、传输存储加密,合法最小共享等。数据流通交给官方半官方。A24:滴滴是罚了80亿,就是以个人信息保护、数据出境为由的,世界第二大数据安全罚款。A25:三法合一,主要是出境。三法的上位法是国家安全法。经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币 80.26 亿元罚款,对滴滴全球股份有限公司董事长兼 CEO 程维、总裁柳青各处人民币 100 万元罚款。 80.26的算法依据主要是执行个保法的上一年度营业额百分之五以下条款。抓一两个典型狠狠地立威,但是不会频繁去罚。所以现在更是关键时刻,案例出来了反而可以松口气。https://learnsecurity.amazon.com/zh-cn/index.html-------------------------------------------------------------------------------【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。如何进群?
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com
还没有评论,来说两句吧...