胡律师:13306647218

数据安全服务如何开展《中国电信国际数据安全治理实践》

时间:2021-07-19 20:45:03

中国电信国际有限公司(以下简称“国际公司”)是中国电信集团公司为拓展海外业务而设立的国际商务公司。随着全球经济的数字化转型,数据逐渐成为继土地、劳动力、资本之后的第四大关键生产要素。同时,数据安全作为企业的三大资产,即——固定资产、金融资产和数字资产,已经成为网络安全的重要核心。随着业务的快速扩张,国际公司的数据量不断增长,因此开始为数据安全防护的系统化建设做准备。

面临挑战

1、数据安全威胁对现有传统防范思路的挑战

传统的安全措施大多将网络设备、服务器、主机、操作系统或数据库及相关应用作为保护对象,可视为“静态”保护。然而,数据价值的挖掘和利用是“动态”的。例如,数据需要随时跨部门、跨区域、跨应用进行传输和操作。在这个过程中,一旦包括商业信息或个人信息在内的重要敏感数据被泄露,将会给企业及其用户带来难以估量的经济损失或声誉损害。因此,传统的保护思路能否满足当前的数据安全保护需求,成为国际公司面临的一大挑战。

2、来自外部法律法规和监管合规的压力

目前,我国已经发布或正在积极推进包括平等保险2.0、《网络安全法》、《数据安全法》、《个人信息保护法》(草案)在内的一系列重量级法律法规,数据安全进入“有法可依、有法可依”的新时期。在此背景下,国际公司作为经营者,不仅要遵守相关法律法规的约束和要求,还要遵守行业监管机构的合规管理,如《2020 省级基础电信企业网络与信息安全工作考核要点与评价标准》、《IT 安全能力建设规范 _5. 数据安全能力分册》、《电信网和互联网大数据平台安全防护要求》等。

常见问题

1.数据安全保护没有完善清晰的工作思路;

2.缺乏对数据资产识别和数据分类的专业支持和解释;

3.对数据资产重要性的认识还不够深入;

4.数据全生命周期安全管理系统与实际业务场景结合困难;

5.管理制度未按不同业务和专业有效执行;

6.缺乏数据安全业务保护评估,无法有效识别数据安全关键薄弱环节;

7.缺乏数据安全保护手段,缺乏补充数据安全保护能力的基础,保护建设存在采用非针对性安全策略等问题。

要解决上述问题,国际公司迫切需要一套完整、体系化、全覆盖的数据安全治理思路与方法论切实落实数据安全的相关具体措施。

解决思路

1

设计思路

「安华金和」案例解析 | 中国电信国际数据安全治理实践

根据国际公司的现状和具体需求,安华金和基于“数据安全管理体系+数据安全技术体系+数据安全运营体系”三者组合,形成落实国际公司数据安全治理体系的方法论:

(1)数据安全管理体系——确定数据安全治理的对象和管理者,建立管理体系,确保有制度可循;

(2)数据安全技术体系——确定了系统实施的操作流程,明确了管理者的手段和工具,做到“规范可行”;

(3)数据安全运营体系——基于自动化数据安全运营管控平台,由数据安全治理服务保障团队支撑,确保“风险必查、行为可溯”。

2

体系规划

「安华金和」案例解析 | 中国电信国际数据安全治理实践

将数据安全治理工作划分为三个阶段:

第一阶段是数据安全基础防护阶段应首先调查和控制数据安全治理体系的基本治理组织、治理对象、基本治理要求和策略;然后进行整体数据安全风险评估,提前发现业务/个人数据流通中可能存在的风险问题;最后,提供符合国际公司现状和需求的数据安全治理总体规划和方案;

第二阶段是策略优化及能力提升建设阶段,建立符合国际公司数据安全需求并形成操作规范的管理体系,不断梳理和完善数据安全保护策略的实施流程,同时补充相应的数据安全保护产品和工具;

第三阶段是形成数据安全运营管控阶段配备自动化数据安全管控平台,由一线专业数据安全工程师和二线数据安全顾问支持,帮助国际公司实现高效、稳定、可持续、落地的日常运营、supe

实践步骤

「安华金和」案例解析 | 中国电信国际数据安全治理实践

1

(1)现状调查——明确了数据安全治理的业务范围;

(2)数据资产梳理——明确了安全治理对象、对象的分布范围以及承载数据的数据库权限;

(3)数据分类分级——明确数据安全治理对象的类别和等级,识别重要敏感数据,区分防控策略依据;

(4)数据安全评估——发现数据安全治理的业务范围和对象的风险场景,从而构建规划的基础;

(5)规划方案蓝图——针对国际公司现状、数据安全治理对象及业务范围、流通中产生的数据安全风险,从管理、技术、运营三方面进行方案蓝图设计。

路线概览

鉴于国际公司的主要困难在于不了解自身数据资产的具体分布和状态,安华黄金和顾问采用“工具手册”的方法,利用数据资产梳理工具对自己的数据资产进行识别,有效梳理“数据库账号、权限、表和字段”,形成数据资产清单,从而明确国际公司的数据资产分布。

基于国际公司在数据安全防护思路方面的问题,以及体系化防御手段的不足,安华金和决定首先从基础数据防护建设展开工作:

围绕与敏感信息相关的业务流程进行数据安全评估,明确每个流程中数据的流向和使用情况,重点评估信息流和使用过程中直接或间接获取相关数据的情况;结合敏感信息保护的实际需求,对项目范围内的数据库进行漏洞扫描,包括:弱密码、默认配置、配置缺陷、漏洞等。同时,根据我国和国际重要数据安全监管要求,设计符合国际公司要求的评估矩阵,采用人员访谈、文件查阅、系统检查、技术评估等方法,精准查找文件,配置相应策略,评估潜在风险,提出整改建议,最终形成评估报告。

2、业务数据资源调研摸底

根据评估报告中的风险和国际公司现状,规划未来数据安全建设蓝图,涵盖“管理、技术、运营”三大数据安全体系建设:

(1)数据安全管理系统——定义了数据安全策略、组织结构、系统要求、流程规范、记录表格等。通过建立四级文件;

(2)数据安全技术体系——通过规划数据资产标识和数据全生命周期安全防护能力,发挥“事前明确诊断、事中有效控制、事后分析追溯”的数据安全技术能力;

(3)数据安全运营系统——通过规划数据安全监管平台,实现数据资产管理、数据安全策略管理、数据安全事件监控和数据安全风险运营能力。

3、数据安全风险评估

1.加强国际公司对自身数据的安全管理;

2.建立与国际公司接轨的数据安全治理体系;

3.通过建立数据安全治理体系,提升了国际公司的数据安全保障能力;

4.符合国家相关法律法规和行业监管要求。