直擊信通院ICT深度觀察大會:騰訊安全劉海洋分享企業資料安全評估最佳實踐

Editor發表於2021-12-22

    資料安全是當前的熱門話題、共性話題,提升企業自身資料安全防護能力已成為行業共識。12月21日,中國資訊通訊研究院“ICT深度觀察”大會-資料安全產業分論壇舉行,騰訊安全雲鼎實驗室高階研究員劉海洋出席會議,從資料場景角度切入,深度剖析資料安全體系建設面臨的挑戰與發展趨勢,分享企業資料安全評估的最佳實踐。


直擊信通院ICT深度觀察大會:騰訊安全劉海洋分享企業資料安全評估最佳實踐


資料安全體系建設的發展趨勢應是一體化和輕量化

 

資料已成為新的生產要素,在經濟發展中發揮的作用越來越大。相應地,資料面對的安全風險和挑戰也越來越多。今年9月施行的《資料安全法》,更標誌著資料安全和資料利用正式提升到國家法規層面。

 

在劉海洋看來,資料安全最大的難點在於便捷使用和安全管控之間的平衡。在資料安全工作中可以發現,資料安全管控措施往往與資料業務是交織在一起的。因此,資料安全並不是一味地去防、去控,而是要充分考慮其業務場景和處理活動,既要能用,還要安全。

 

如何更好地平衡資料使用和資料安全之間的矛盾?一體化、輕量化,將會是資料安全體系建設的發展趨勢。

 

一體化,主要體現在資料安全能力融合上。將眾多資料安全能力通過元件化的方式進行融合,形成企業的統一管控平臺,不僅可以降低投入成本,同時其靈活性也可適應複雜的資料場景。

 

輕量化,主要體現在能力接入方面。資料安全工作不是邊界類防護,需要業務深度參與,甚至有時為了安全要損失業務功能的便捷性。因此,資料安全能力的接入要充分考慮對業務流程的影響,儘量做到免改造、微改造。

 

資料安全體系建設的目的是讓資料遵規守序

 

在目前強監管態勢下,一體化、輕量化地進行資料安全體系建設,最終目的是讓資料管理遵循法規,讓資料流動遵守秩序。資料安全體系構建需要先進靈活的底座,才能應對多樣性的法規。從資料生命週期角度來看,企業資料安全評估及安全體系建設的最終路徑,概括起來則是:釐清資料資產——掌握使用狀況——明確差距與風險——理清建設思路。

 

在啟動資料安全評估之前,首先要明確資料安全現狀,做好資料資產盤點和資料分類分級工作。有哪些資料?資料在哪裡?現階段基本架構情況如何?是否符合資料安全合規的要求?回答了這些問題,才能在後續,結合業務發展與合規要求,制定適合企業自身需求的資料安全方案和策略。

 

對於最重要的資料安全評估,為掌握資料使用狀況,保證調研工作的效率和準確性,建議採用“面對面為主,遠端為輔”、“工具為主,人工為輔”的工作策略。從過往資料處理活動梳理的實踐經驗來看,一個資料場景可能有一個或多個處理活動,最好的辦法便是按資料流向開展梳理,以資料跨場景為邊界,關注每個處理活動中的資料角色和許可權。

 

而明確當前資料安全建設的差距與風險,不僅需要結合實踐經驗對當前資料運營狀況進行風險分析,形成風險評估報告,還要結合現行資料安全相關法律法規,對應評估點,發現自身資料安全體系在合規方面的差距。根據《資料安全法》和《個人資訊保護法》等相關條款,企業還應定期對資料安全情況開展風險評估,定期合規審計。

 

事實上,資料安全體系構建並非一蹴而就,而是不斷進行經驗總結、能力提升、工具完善,不斷完善評估體系,使其更高效、更準確。

相關文章