官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
导语:
在当下数字产业化和产业数字化浪潮中,数据安全产业作为新兴数字产业是数字经济高质量发展、数据要素市场化配置的关键保障。目前,我国数据安全产业系列工作正在紧张有序推进,相关政策及配套文件正在加紧制定,预计明年会陆续推出。
数据安全治理作为一项体系化工程是夯实产业基础的重要举措,如何实现高水平的数据安全治理促进产业高质量发展是需要产业各方主体共同努力的方向之一。
12月22日,由中国软件评测中心、国家信息中心《信息安全研究》杂志社、蚂蚁集团联合编写的《数据安全复合治理与实践白皮书》正式发布。
白皮书在对现阶段全球数据安全产业发展格局及治理态势进行充分调研与深度剖析的基础上,从引导企业建设与升级数据安全治理体系的视角出发,以“战略要位、实战牵引、全员参与、技术破局”为核心指导思想,强调数据安全的”复合“治理,即:对治理框架搭建中战略、管理和技术进行统筹规划与设计,形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节,强化治理过程的联动,将安全与业务复合、管理与技术复合,形成有机整体,充分发挥复合协同效能,构建体系化、准确量化、持续优化的数据安全复合治理模式。旨在为企业开展数据安全治理工作提供更加有价值的参考与建议,并为数据安全治理体系和科技能力的建设、优化与升级提供实践路径。
《数据安全复合治理与实践白皮书》复合治理模式
数据安全复合治理模式强调系统性、落地性。为应对企业在开展数据安全治理工作时治理效果的评估问题,白皮书创新性地提出了多视角安全度量体系,考虑到数据安全安全治理是个体系化的风险管理工程,需从多个评价视角全面衡量。一方面要对员工安全意识教育、防护建设覆盖等治理过程进行准确度量以体现安全工作进展及成果;另一方面从风险主体视角,以安全规范、安全基线等合规要求为输入,来衡量各类风险主体的风险程度与严重性,并围绕风险分数开展场景化应用和通晒排名等运营模式,以提高主体的风险重视度;最终,还需要用攻防视角的红蓝演练等实战手段,对于治理体系的薄弱环节进行验证、对风险盲区进行发现,以真实客观评价安全治理体系的实战有效性。总体上,在多视角安全度量体系的驱动下,摸清当前数据安全现状,落实数据安全风险精细化管控,持续提升数据安全保障能力,并保证自身体系的健壮性。
《数据安全复合治理与实践白皮书》多视角安全度量
数据安全复合治理模式的特点概括为:战略层面要求战略要位,运营管理层面强调实战牵引、全员参与,治理科技层面强化技术破局。其中,数据安全治理科技从系统能力、算法能力、数据能力和产品能力四大维度阐述了如何建设与完善数据安全治理的技术体系。
《数据安全复合治理与实践白皮书》数据安全治理科技
复合治理模式强调建设智能化的安全运营机制以进一步提升数据安全治理的自动化水平和效率。以红蓝演练为例,通过沉淀自动化、模块化、组件化的红蓝演练能力,制定演练科学投放的策略,并建设全链路风险跟踪能力,形成常态化的红蓝演练机制,从攻防视角更加高效、及时地识别和修复安全风险,实现“以攻促防、攻防相长”的目标。
《数据安全复合治理与实践白皮书》互动式心智运营
《数据安全复合治理与实践白皮书》原生式数据保护
《数据安全复合治理与实践白皮书》自动化红蓝演练平台
总结:
国内数据安全治理的实践路径发生了转变。之前数据安全治理的主体大多是以网络或数据运营者,站在组织内部视角对数据安全提要求。后续我们将看到国家层面牵头出台或推动的一系列制度、机制和标准,体现出国家正在以全局性视角去看待数据安全治理,采取的是“自上而下”的数据安全治理工作路径,跳出组织,又引导组织、联合组织,共同解决一些治理盲点和互操作性差的问题,此次评测中心联合多家单位推进数据安全“复合治理”新模式,正是一次积极的尝试和落地实践。未来如何从国家层面和产业的角度考虑数据安全治理体系的建设问题,将是我们持续跟进、共同努力的方向之一。
此外,数据安全治理工作还是要坚持以人为本。实现智能化高级化的同时也要促进普适化普惠化,包括建立便利的用户数据权益变现、维护机制,以及要重视数据开发利用过程中的隐私、公平等伦理关切,切实提升人民群众的获得感、幸福感、安全感。
———————————————————————
中国软件评测中心网络空间安全测评工程技术中心致力于信息系统的网络安全防护和安全运行,支撑政府主管部门履行网络安全相关的社会管理和公共服务职能,主营信息安全风险评估、网络安全等级保护测评、关键信息基础设施保护评估、数据安全能力和合规性评估等网络信息安全相关业务。
公众号“中国软件评测中心“,后台回复“20211223”下载白皮书。