数据安全在近年来发生了非常大的变化。在2020年以前,数据安全更多指的是企业的商业机密,但在《数安法》及《个保法》出台后,数据安全和隐私合规产生了非常大的变化。这些变化促进了企业对数据安全的关注,也改变了企业建设信息安全的格局。
首先是全球地缘变化,国际上包括政治、法规都发生了很多变化。对于企业来说,这些变化与很多场景与强相关。从企业经营来看,从本土经营到全球化的过程会面临很多挑战,例如在业务向海外扩张过程中,如何进行数据安全及合规管理。这里不再是过去数据泄露所造成的风险,而是目的国家的法律法规以及执行中所遇到的挑战。以前可能只是商业秘密的泄露,现在很可能会影响企业在全球经营过程中,会不会在当地叫停,会不会面临处罚。。
此外,安全属性也发生了变化。2020年之前,相关法规还未落地,数据安全的出发点是企业本身,落地方向主要是保护商业秘密和企业内数据的安全,防范的是企业经营的竞争行为。但现在,数据安全与国家安全挂钩,特别是关基行业,除了个人数据以外,还要从国家安全角度来定义数据安全。部分数据安全事件很有可能上升至国家安全事件,这督促企业在推进数据安全的时候要提升到更高的重视程度。
其次是国内数据安全政策和监管落地。以前,很多安全方面的标准还不清晰,企业遵循等保标准就足够应对监管。但自从网络安全及数据安全的上位法出台后,包括部委、协会、行业等等都在制定标准,特别是针对数据安全这方面。现在从上位法到下面的指导意见和标准,以及行业级检查和落地要求已经在快马加鞭地推进。因此,对于企业来说,合规和监管的挑战明显提升。监管从过去的高高在上变成具体落地,甚至对业务开展也产生了影响。
第三是数据安全与业务关系变得密切。传统的网络安全更看重攻防,而现在,数据安全需要了解业务,需要在熟悉业务的情况下解决数据安全的问题,这会对落地过程中带来一定的挑战和压力。
最后是技术环境。绝大多数业务的技术底盘是非常复杂的,里面可能会涉及到多云、多应用技术、陈旧的业务系统等等一系列的问题。随着安全范围的逐渐扩张,如何去梳理遗漏技术和系统、如何应对和管理合规风险等等都是重要的挑战。此外,作为甲方会经常发现能够适用的好产品非常少,数据安全市场的产品,很少能够真正解决这些问题,这就导致企业即便想要治理数据安全,也无法得到有效工具。
日趋严格的法律监管环境,使数据隐私合规成为企业刚需。国内的《数安法》及《个保法》很多内容是参考了国外的一些法律法规,最主要的变化就是监管逐渐变成了刚需状态。网信办此前负责行业标准的制定,而现在,网信办在各省都有执法部门和落地部门,来推动数据安全的全面管理。
企业数字化+智能化带来的新的安全挑战。近年来,大部分企业都在谈数字化和智能化,在这个过程中会以数据为基础带来一些变化,这也是数据安全比网络安全难做的一个原因。网络安全发展差不多有20年的时间,在这个过程中,网络安全是随着IT系统和业务逐渐做起来,在这个过程中,很少会有人注意数据安全。因此,现在的数据安全是在还债,是把过去没有捋清楚,没有做明白的事情快速推进和落地。随着企业数智化的过程,应用越来越多,数据越来越庞大,数据的交互越来越复杂,数据安全面临着流动过程风险、监管风险、业务过程风险三方面的挑战。
复杂场景技术支撑能力不足,数据安全管控存在短板。IT时代的安全主要围绕网络边界,包括边界防护、应用安全、特权管理、数据库安全等等,还有主机安全和终端安全的区分。但随着云大物移智时代的到来,数据的边界开始消失,单点的安全管控很难应对当前复杂的网状环境。在这种情况下,选择什么技术能力,按照什么步骤去进行管理都会带来不同的结果。
当前国内外关于数据安全监管现状,在2022年,就已经有超过100个国家和地区制定了数据安全保护法律。以GDPR为例,个人数据的保护要求有很多,但都是基于核心节点延伸的。从个人数据的角度来看,个人数据的收取过程是否合法合理,是否最小授权最小使用;在使用过程中是否得到了充足的安全保障,出现问题时,是否有及时的风险发现和预警能力;事后数据出现问题是否能够自证清白。这就意味着,组织需要有政策、有制度、有管理也要有技术。也就是说,数据安全是一个综合性的安全,落地也需要企业有综合性的能力。
国内的监管变化有哪些重点?近年来,从国家政策来看,数据安全和网络安全都在增加,数据安全和网络安全的具体要求也逐渐明晰,因此,当下很难在看到信息安全这个词汇。对于企业来说,所在行业、地区的监管要求都有哪些?哪些是优先级最高的,按照什么方向来进行信息收集和管理落地都是需要考虑的问题。在这里,安全部门可以与法务部一起,分析当下关于网络安全和数据安全的法律法规及相关内容,发现其中可能会影响企业经营的要求。是否做到了合理的保护是影响处罚的重要因素,这就需要企业对监管要求的理解和实施。
行业的监管要求也发生了很多变化,特别是在数据出境方面。很多企业可能在数据出境政策出台后做了很多准备,但仍然无法报批,这是因为包括报告内容及报表中是没有技术支撑,无法真正保障数据不会泄露。但现在,数据出境的范围也在调整,变化也非常大。作为甲方,对于数据安全需要运动的去看,因为你无法保证你提交报告到实地检查这期间不会发生变化。
技术上对数据安全及隐私合规应该如何破局?可以参考下图这个架构。首先,数据安全是一个组织战略和发展的需求,如果要进行全球化的企业运营,那数据安全就是业务发展的基础要求和基础运营。其次,数据安全是监管的需求,第三也是内部管理的需求,一定与企业的自身情况强相关。
此前某快递企业在没有相关的强法律监管要求时,就已经投入了非常大的资源去做数据监测。这是因为企业业务有需求,所有的快递都会收到个人数据,竞争对手及黑灰产可能都会盯着这些数据。一旦出现了问题,业务可能就会丢失。对于企业来说,外部监管是一个机会,当前监管要求出台速度越来越快,甚至有些要求已经超出了企业自身的能力。但这不意味着目前已经出现了行业标准,出现了最佳实践,企业有机会在这种环境下做好监管的要求,然后成为行业最佳实践。如此,无论对企业的创新、评级,还是业务场景的突破都是一个非常好的契机。
数据的观测能力是比较重要的。过去,网络管理或是机房服务器管理需要观察网络基础流量,从而发现网络问题,网络的观测能力在这20年间形成了网络建设和运维的基础。数据安全也是如此,数据安全的第一个拦路虎就是要搞清楚数据。在复杂业务环境中,在资源协调能力没那么强的情况下,如何了解数据的真实状态?怎么观测和管理数据是一个很重要的能力。
接下来是做好防护建设、风险管理和溯源调查,随业务和基础架构的变化而变化,但你会发现这些技术是割裂的,它不是体系性地覆盖风险节点和数据节点。基于这些技术的上层就是数据安全管理的具体内容,这部分也是监管明确提出的要求。第一是组织架构,拥有了组织架,才能确立数据安全工作的负责人,才能保证后续的方针、政策能够落地和开展。然后是安全运营,包括合规场景落地、用数场景监测、访问行为审计、安全事件管理、应急响应、数据安全态势等等。
最后是合规,合规在数据安全领域是重中之重,大部分建设要求、技术要求以及架构要求都需要合规来指导。
在数据安全管理的组织建设方面,需要根据企业组织层面实体的管理团队及执行团队,将业务、研发、HR、IT、法务等部门纳入数据安全组织建设当中。通过数据安全组织明确数据安全政策落实、监督、资源协调等工作职责,确保数据安全和隐私合规管理体系的有效执行。最上层是决策层,下面会分为网安部和数安部,最后再落到具体执行组织,包括业务、研发、HR、IT、法务等等。当前,大部分企业的模式会由公司CEO和董事长牵头,下属包括法务、合规、IT等部门老大负责,最后是各个部门来执行。
在数据安全管理的制度建设方面,通过法律法规、行业监管以及国内外数据安全标准要求解读,形成企业数据安全及合规管理制度体系,涵盖基本政策、管理制度、操作手册、场景手册、操作指引等层级。最上层是方针制度,然后是数据安全管理制度,包括资产管理、分类分级、数据使用、业务场景等等,最终落地到具体的操作场景。
在数据安全管理的体系认证方面,如果企业有国际化业务,建议通过27701认证,这是针对个人隐私的专属认证,在27001信息安全管理体系的基础上,更针对个人信息的认证。在认证方面,国内有一个主要问题是监管没明确指定哪个认证体系,和数据安全相关的认证缺乏权威性,它不像等保那样强制。所以,除了27701对国际业务和项目招标有帮助以外,其他的认证体系的作用不太明显。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...