1.背景与需求
1.1国家法律法规政策支撑
自2016年《网络安全法》出台以来,国家陆续发布了“数据安全法”、“个人信息保护法”等相关支撑法律、行政法规,以及数据安全相关的国家和行业标准,极大促进我国法律法规体系进一步完善。《数据安全法》提出应对数据实行分级分类保护,建立健全数据安全协同治理体系,提高数据安全保障能力。对数据安全领域的风险管理,合规管控提出总体要求,给与国家各行业、企业机构提供有力的帮助和指导,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。
1.2网络安全形势变化剧烈
数字化转型带来新风险。万物互联、海量数据大集中,这些都是证券行业的业务在数字化转型过程中的典型表现。此形态下,对数据的攻击可直接造成业务瘫痪;数据越是高度集中,安全风险越大;数据生命周期的每个环节都将成为目标;在海量数据中感知威胁如同大海捞针。 新技术导致安全漏洞防不胜防。业务系统更复杂,资产庞杂,安全漏洞更多;数字化转型使得业务系统增加了安全漏洞的暴露面。 合规管控要求提高。证券行业机构所面临的标准、监管要求众多,管控复杂,通过等级保护测评不等于万事大吉。组织对于安全合规的符合性、有效性状态,能否做到定期审计、动态监测,在数字化经济的大趋势下,是对安全合规管控提出的新挑战。
1.3数据安全治理工作落地难
2.数据安全风险与合规治理的系统化与数字化建设
2.1解决痛点,整体规划,分阶段建设
统一规划,分层管理。
建设基础底座,实现对数据资产和关联业务的安全“摸清家底”,实现数据分类、分级政策落地。
建设安全合规管理支撑工具平台,实现合规知识库的数字化管理,以及合规状态监控、合规审计等的系统化、自动化运营。
建设安全合规审计中心、安全事件处置中心、安全运维管理中心,完善自动化安全运维能力,形成有效信息安全与数据安全合规监管。
建设数字化合规管理能力,深度整合技术平台、人员职责和流程,形成安全运营与合规治理中心。
2.2系统化数据生命周期安全管控,形成综合数据安全运营
2.2.1基础底座–实现数据资产安全管理措施的技术落地
利用技术措施检测数据资产(结构化/非机构化),并归类。 利用平台技术,建立敏感数据资产库,实现数据资产定位,分类和分级结果自动标识。 实现全局数据(敏感)资产视图:
多数据源采集:业务系统日志、数据传输通道日志、终端访问日志、资产风险等;
多种维度关联。
梳理调研业务逻辑,敏感文件流转过程,基于业务流程监控数据安全场景:
实现对业务敏感文件的实施监控;
实现业务操作的违规泄密监控。
数据安全保护工具统一纳管和持续监控:
统一纳管所有数据安全相关安全检测和防御工具,进行日志格式标准化和事件类型归并。 集中展示数据安全相关告警事件,在统一的操作界面进行事件分析和溯源。 预置数据安全风险分析规则,多维度统计数据安全风险事件。 根据数据资产重要程度、所属业务展示风险态势。 汇总、统计和可视化展示安全事件原始资料。
数据安全审计:
2.2.2数据分析–分析数据生命周期安全防护能力和安全运营成熟度
从四个维度,针对数据安全风险与合规,对采集和汇集的基础支撑数据进行综合分析,为综合监督层的指标提供支撑:
数据安全成熟度分析:基于数据安全策略、访问控制、数据与资产管理、合规性等分类,对采集到的基础数据进行归类、内容归并,并结合数据资产及其所属的业务分析相应指标。 数据安全运营监管分析:从数据安全事件稽核、安全合规、数据安全风险感知几个运营监管指标,对采集到的基础数据进行分析和指标展示。 数据安全风险评估:利用大数据平台,建设安全评估上报平台,各组织相关管理人员,依据已经建立的数据安全成熟度、生命周期、运营监控等评估模板,填写和上报评估结果,在平台中集中汇总数据,进行风险评估结果的综合分析,如主要数据安全风险态势,组织/部门/业务维度的数据安全风险程度排名等。 合规符合性/有效性分析:根据安全合规外部、内部审计,实时安全事件监控的基础数据采集,对安全合规的符合性状态,安全合规策略执行的有效性状态进行综合分析,为指标展示提供支撑数据。
2.2.3综合展示-基于业务的数据安全风险全局总览
2.3实现安全合规治理的数字化转型
2.3.1基础底座-实现安全合规管理基础工作数字化落地
文件分类管理;
上传文件并添加关键字标签;
在线预览,查看文件内容;
根据关键字全文检索。
合规评估、检查项清单维护。参照标准要求、专项检查要点等,预置预评估、自查表单,为通过平台进行线上检查评估提供支撑,主要包括:
专项检查:网络安全法,关键信息基础设施,数据安全法,个人信息保护,网络安全绩效考核; 标准预评估:等级保护、ISO 27001/27701/PCIDSS等; 其它自定义检查表单。
流程化管理合规工作。自定义工作流程,对合规建设过程中的各项任务的执行状态和结果,以及相关证据文件进行统一管理:
创建流程,根据用户的角色分配所需执行的工作; 对合规管理任务进行发布、执行、审批,在线提交结果证据材料; 跟踪所有任务流程执行进度。
2.3.2数据分析–支撑系统化、自动化执行安全合规运营管理工作
根据从基础底座采集的安全合规管理工作结果记录,进行数据统计、分析,为指标展示提供支撑。可以从以下方面考虑安全合规的数据分析规则:
安全合规域/控制项状态数据分析:基于标准法律法规类,对每个安全域、控制项或检查指标的合规符合性和有效性状态进行自动分析,展示分析结果,可以包括:不合规条目及数量、不合规的详情、与该不符合项相关的支撑数据来源(如告警、安全事件、工作流程执行结果、合规审计结果等);
合规专项检查结果分析:自动采集或上报支撑数据,将其归类到对应的专项检查要求,应细化到安全域、控制项或检查指标;
合规审计结果分析:针对与安全合规建设、管理相关的审计项,自动采集或线上提交审计结果,并进行数据和指标的汇总与统计;
知识库汇总:证券行业所需遵循的安全合规标准知识库的数量、分类等信息;
2.3.3综合展示–数据和安全合规建设成果综合指标展示
从以下方面,多维度分类展示安全合规的运营状态指标:
所需遵循的法律法规、安全标准、公司信息安全管理要求 安全域、控制项、安全检查指标 组织机构 业务系统
多种类型展示安全合规指标:
合规/不合规项的数量 符合性、有效性评分 成熟度/能力程度状态 选定时间周期的多次指标汇总
3.结束语
摸清数据资产家底,充分应对突发安全事件;
全面并及时掌握全组织数据风险,安全事件和合规符合性情况,基于组织/部门/业务开展安全评价,形成必要的上报、下达机制;
跨异构安全设备标准化统一管控,快速定位并处置安全事件,能够科学评价各类安全设备真正检测和防御的能力;
安全工作常态化和长效化,全组织覆盖;安全工作可量化、可度量、可考核;
固化并标准化安全管理和运营工作,解决工作片面化和碎片化问题;
安全管理和运营工作流程化,使所有安全工作有起因、有结果,都有记录可溯源、可审计;
数字化转型。将数据安全和安全合规管理、安全运维工作成果数字化,利用数据进行运营指标分析,为后续工作规划提供支撑。
作者介绍
RECOMMEND
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...