本文节选与数据安全推进计划(DSI)与CCSA TC601联合发布的,调研报告通过对调研样本进行深入分析,最终形成14个行业观点与20项行业汇总数据。本文重点聚焦在企业数据安全治理体系建设方向的思考与探索。
一、重要数据识别、数据安全风险评估等政策导向工作备受关注
一方面,《网络数据安全风险评估实施指引》等数据安全风险相关政策的发布,为各行业企业开展数据安全评估提供了方法指引;另一方面,部分监管机构对企业报送数据安全风险评估报告提出了明确要求,进一步推动了该项工作的落地实施。通过调研我们发现,74.7%的受访企业(见图1)开展了定期的数据安全评估工作,同比去年的49.5%(数据来源:《2022年数据安全行业调研报告》)增幅明显。企业通过数据安全风险评估,分析并处置自身面临的安全风险,并针对性地制定可执行的安全目标与安全策略,以实现数据资产的安全流通与数据价值的高效释放。
图1:数据安全需求侧数据安全工作开展情况
二、自动化分类分级是数据价值安全释放的必由之路,但落地实践仍有挑
对企业而言,一方面落实数据分类分级工作满足了国家和行业监管的合规要求,另一方面数据分类分级实践是数据价值安全释放的重要前提和关键步骤。78.7%的受访企业(见图1)已开展“数据分类分级(如资源盘点、形成分类分级目录等)”相关工作。随着企业数字化改革的推进,数据量愈发庞大,为保障数据分类分级工作的效率和科学性,多数企业需依托自动化的产品工具开展数据分类分级工作。据对数据安全需求侧数据安全技术工具部署情况的统计(见图2),分别有73.3%的企业通过“数据资产识别工具”完成数据资产识别工作,69.3%的企业通过“数据分类分级工具”进行数据识别与数据分类分级工作,体现了数据分类分级工作对相应产品工具的高度依赖。
图2:数据安全需求侧数据安全工具技术应用情况
在应用侧企业不断推进数据分类分级工作的过程中也面临着挑战。一是分类分级工作与业务强耦合,相关工作落地需要业务人员深度参与,导致49.3%(见图3)的受访企业认为“无法由牵头部门独立完成,协调业务部门参与难度大”,二是由于企业数据形态多样,数据质量不一,且当前分类分级工具智能化成效参差不齐,导致46.7%(见图3)的受访企业认为“非结构化数据难以处理”,智能化的数据分类分级工具使用场景有限。
图3:数据安全需求侧数据分类分级工作开展面临的痛难点
三、自动化合作方管理走向精细化,监督和评估指引有待明确
随着数据合作形式多元化、数据合作方角色多样化,合作方已不能再用传统的“一刀切”模式进行管理,这也对需求侧企业合作方管理提出了更为严格的要求。据统计(见图4),在已开展合作方管理的96.0%的受访企业中,89.3%的企业通过“合同、协议的方式,明确数据合作的目的、期限、处理方式、数据范围、保护措施、双方的数据安全责任等”的方式开展合作方管理工作,但通过合同协议进行合作方管理的67家企业中,37家企业面临着“公司各业务情况不同,难以推行统一合同、协议模板”的管理困境。另一方面,虽然部分国家、行业标准要求企业应对合作方的数据安全保护能力进行定期检查,但53.3%的受访企业(见图5)认为在执行相关要求时存在困难,无法有效落实,45.3%的受访企业(见图5)表示“监管部门尚未发布所在行业的第三方数据安全管理相关标准、指南等文件”,企业缺乏对外部数据合作方进行评估和监督的依据。
图4:数据安全需求侧合作方管理工作开展情况
图5:数据安全需求侧合作方管理工作面临的痛难点
结 语
数据安全行业作为数字经济之“盾”,其发展对数据合法利用、有序流动都产生了至关重要的影响,行业发展备受关注。
为帮助企业提升数据安全合规能力,中国信息通信研究院云大所数据安全团队(简称:云大所数据安全团队)分别在数据分类分级、数据安全风险治理与评估、合作方管理等合规重点领域开展研究调研,产出如下成果:
数据分类分级方面,开展预研,旨在帮助企业了解自身数据分类分级工作开展是否能够满足合规需求和发展需要;
数据安全风险管理方面,开展预研,旨在帮助企业建立健全数据安全风险治理体系;
合作方管理方面,开展预研,旨在帮助企业厘清双方责任边界,明确合作方安全能力要求。
2024年云大所数据安全团队将在以上领域持续开展贯标单位征集,欢迎垂询合作!
联系方式:[email protected] 18511978595(微信同号)
往期回顾
#
#
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...