實踐淬煉 | 啟明星辰集團數據安全治理體系解“DSMM認證”難題
作者:啟明星辰
2021-09-03
在全球信息化進入全面滲透���、跨界融合���、加速創新�、引領發展的大趨勢下��,數據呈現爆發增長�,也帶來了前所未有的風險與安全挑戰�����,對數據資源應用能力的強弱日益成為衡量政企競爭力的關鍵因素�����。
2020年《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》指出��,“加快培育數據要素市場”���。數據已被視作與土地����、勞動力�����、資本���、技術并列的五種生產要素之一�����,大數據作為重要的生產資源����,對國家長治久安和政府執政能力提升具有基礎性戰略作用��。
DSMM認證基本情況
DSMM是中國首部數據安全管理的國家標準�,該標準自2020年3月1日開始實施�,用來衡量一個組織的數據安全能力成熟度水平���,可以幫助行業�、企業和組織發現數據安全能力短板����,相關主管部門也可以用于數據安全治理�����,提升區域的數據安全水平和競爭力����,促進大數據產業及數字經濟發展�。
DSMM以企業或組織的數據為中心����,圍繞數據的采集���、傳輸���、存儲�����、處理��、交換��、銷毀全生命周期��,從組織建設�、制度流程�、技術工具��、人員能力4個能力維度�����,按照1-5級成熟度��,評判組織的數據安全能力����。
實踐出真知
安全是發展的前提����,數據安全建設是政府行業大數據局用戶的重點工作���,啟明星辰集團通過沉淀全國數十個大數據局項目實踐經驗��,形成了獨有的“基于業務防護能力場景化”的數據安全防護思路��。
大數據局/中心數據安全需求及風險分析
數據采集:缺乏對ETL���、FTP類接口的命令�、內容監測管理�,無法有效發現異常行為���。
數據存儲:數據通過明文存儲�,有外泄風險�����。
數據傳輸:數據明文傳輸���,有外泄風險��。
數據使用:業務人員���、運維人員可通過相關操作直接接觸敏感數據�����,惡意查詢���、修改導出數據�����,造成數據被篡改或數據外泄�。
數據共享:數據共享給委辦局后��,委辦局泄露后����,數據資源局如何定責和免責����。
數據銷毀:數據銷毀事件難以監控�����。
在“業務防護能力場景化”的數據安全防護思路指引下�����,根據大數據局的業務特點及安全需求分析�����,啟明星辰集團以數據安全管理體系����、安全技術體系及安全運營體系三大體系基礎�,結合相關法律法規標準要求���,形成一套獨有的完整的數據安全治理體系建設方案���。根據相關法律法規標準及行業或地方要求�,完善管理體系建設����;結合數據使用流轉的場景特點�����,融入數據安全技術防護體系����,針對數據采集�、存儲�����、傳輸����、使用�����、共享��、銷毀等不同的階段場景需求�,通過可視化數據安全治理管控平臺進行個性化安全防護�����,實現業務系統場景化的數據安全運營建設�。
啟明星辰集團數據安全治理體系對企業或組織來說����,不僅僅是一套用工具組合的產品級解決方案����,還是構建從決策層到技術層��、從管理制度到工具支撐��,自上而下貫穿整個組織架構的完整鏈條�����,整個體系以合規性要求為指導����,按照DSMM數據安全能力成熟度模型要求����,開展信息共享數據安全建設�,通過管理體系與技術體系及數據安全運營體系服務的結合�,進行項目落地實踐�����。
數據安全管理體系建設
管理體系建設主要包括組織管理及制度流程梳理等方面�����,開展組織架構建設時��,需考慮組織層面實體的管理團隊及執行團隊����,也要考慮虛擬的聯動小組��,其中數據資源部門�、數據安全部門��、數據使用等部門均需要參與數據安全建設當中����。成立數據安全組織其目的是明確數據安全的政策���、落實和監督等工作�����,以確保數據安全能力建設的有效執行����。
數據安全技術體系建設
根據大數據局/中心數據安全的需求及風險分析�����,啟明星辰集團以基于業務防護能力場景化的建設思路為指導�,劃分不同的業務場景�,采用相應的技術及安全設備來解決相應的數據安全問題����。
數據安全治理管控平臺(DSMP平臺)在整個數據安全治理體系中���,向上為各種服務能力的載體�����,向下則對接并管理各個數據安全體系�,它是數據安全治理的中樞����。
數據安全運營體系建設
通過安全運營服務�,提供數據安全體系建設咨詢服務�����、數據資產梳理服務���、數據安全分析服務���、數據安全評估服務及數據安全運維服務等��。
數據周期性風險評估
對用戶進行定期數據安全風險評估�����,對于出現的漏洞等情況進行通告�����。安全漏洞驗證團隊得到告警后�,開始對同類問題進行跟蹤��,與外部實驗室共同跟蹤�����、判斷����,感知是否存在大范圍爆發的可能性����。
數據安全監測
依托于數據安全安全管理平臺�,實時對網內出現的各類安全事件進行數據分析�����、問題跟蹤���,告知不同職責團隊成員快速響應����,及時處理問題��。
數據安全漏洞驗證
根據數據安全風險評估的數據結果��,通過腳本方式對大范圍數據進行驗證�。
數據安全駐場運維
根據數據安全問題����,快速進行現場響應��,并對惡意攻擊行為進行取證����,對于惡意樣本進行采樣��,為用戶編寫現場取證報告����。
數據安全整體展示
通過對數據安全全方位的監測分析�����,實現數據安全可視化展示���,包含敏感數據風險視圖��、敏感數據事件視圖����、敏感流轉視圖��、數據安全合規視圖�、數據安全態勢視圖����。
當前����,啟明星辰集團數據安全治理體系已在全國范圍內數十個大數據局得到深入應用部署��,并成功助力無錫大數據管理局�,拿下“全國首個政務場景DSMM三級認證”����,幫助無錫大數據管理局形成層層設防���,重點突出�,策略聯動��,管理為上的防護能力����,極大提升了用戶數據安全管理水平�,滿足了未來幾年信息安全建設的需求�����。
數字化浪潮席卷各行各業�,保證數據自由流動���、充分發揮其價值的前提是塑造安全的數據環境���。
啟明星辰集團數據安全治理體系可以幫助企業或組織理清數據安全現狀���,及時發現企業和組織的數據安全能力短板��,協助企業或組織通過DSMM相應等級的建設�,提升企業或組織的數據安全能力���,在一定程度上降低數據安全事件給企業組織帶來的不良聲譽影響和可能的經濟損失�;同時助力企業或組織提升數據安全管理人員的技能�����、安全意識�����,確保已建立的數據安全保障體系有效運轉和持續提升����,從而整體上提升企業的數據安全水平�,從數據的安全保護����、合規使用到數據的開發利用�����,幫企業或組織為數據生產要素價值的實現打好基礎�。
作為行業內最早布局數據安全的安全企業�����,啟明星辰集團已擁有十余年的數據安全技術積累與實踐經驗��,在政府���、公安�、醫療等行業得到廣泛的應用部署�,2020年集團數據安全產品收入約6億����,得到了行業與用戶的持續信賴與選擇���,成為數據安全市場的領軍品牌�。
目前�,《數據安全法》的實施開啟了數據安全新時代�,數據安全已上升至國家戰略高度�����,集團將緊跟國家發展戰略機遇��,持續加大數據安全技術研發投入��,深入用戶數字化場景�,持續整合數據安全創新能力��,形成數據安全交付的持續升級�����,護航“數字中國”高質量建設與發展�����。
京公網安備11010802024551號