于当下信息化系统广泛应用的宏观态势之中,绝大多数组织内部的业务活动皆难以摆脱信息化系统而独立运行,由此致使组织于日常业务运营进程里积存了海量数据,同时亦面临着愈发繁杂的网络与数据安全保护之需。譬如,怎样守护组织所存储的核心源代码之安全?组织如何切实把控存储的数据副本并规避数据泄露?
组织怎样保障自身的数据安全并支撑数据价值的达成?此类需求既是网络与数据安全从业者所面临的挑战,亦是难得的机遇。挑战在于数据安全的风险及紧迫性愈发严峻,而借由这般契机,从业者亦能够披荆斩棘,于安全行业的发展洪流之中缔造更多的价值。此文将从数据的分类分级、数据安全风险管理与技术实践以及组织所面临的新挑战这三个方面,一道探讨如何强化组织自身的数据安全管理。
01 数据的分类分级
组织能够凭借数据分类分级,助力自身对核心数据和重要数据予以有效甄别。然而,并非所有行业皆具备与之对应的数据分类分级指导标准,甚至在同一行业之内,组织的不同业务部门对于数据分类亦持有各异的定义和理解,不过诸多行业的数据分类方式,皆存有一个规律,那便是往往会将行业内的“关键资源能力”单独归为一类,其余皆可纳入管理数据类别之中再行细分。例如在电信行业,能够将“用户数据”视作一个大类,又如在工业制造分类里,可以把“生产数据”划作一个大类。
另外,在与业务部门界定数据的过程当中,针对同一数据,我们亦能够运用多种分类方式与业务部门共同定义数据,恰似在《网上购物服务数据安全要求》(GB/T 42014-2022)国家标准里对数据分类那般,“用户订单数据”和“订单的支付流水数据”,皆属于用户数据,同时亦为业务数据,然而它们皆是数据表的聚合、筛选、关联之后的数据,所以在不同的视角之下,对于同一数据的分类或许有所不同,不过只要最终不同的分类皆能够关联到数据所处的位置便可。
马老师:13521730416/13391509126,数据安全评估师CCRC-DSA ,数据安全官CCRC-DSO 数据合规官CCRC-DCO,首席数据官CCRC- CDO,CCAI-CDO,工信部电子标准化研究院CDO,ITSS IT服务项目经理,服务项目工程师, CISAW应急服务方向, CISAW渗透测试方向,软考,CCSC网络安全能力,ISO27001 网络安全相关专业认证.
02 数据安全风险管理与技术实践
风险管理乃是提升数据安全管理有效性的关键步骤,亦是达成 PDCA 管理闭环的重要环节。于数据安全的风险管理当中,强调风险评估的对象为“业务活动”或者“数据处理过程”,此有别于传统的以“资产、威胁、脆弱性”为牵引的风险评估方式。同时,《网络数据处理安全要求》(GB/T 41479-2022) 中界定了“数据处理过程”涵盖数据的“收集、存储、使用、加工、传输、提供和共享”,这也表明,我们的数据安全风险评估需要覆盖数据处理活动的全生命周期。在实际操作进程中,众多组织自身运营过程中所必需的重要数据,在《数据分类分级规则》(GB/T 4369)