数据安全风险不断提高,听听专家合规建设建议
日期:2024-02-27 13:30:02
数据作为一种新兴生产要素,已成为经济社会发展的核心驱动力,也是推动各国产业发展和商业创新的动力源泉。与此同时,日益严峻的数据安全风险为数字化转型的持续深化带来严重威胁。
如何做好数据安全合规建设?这不仅是简单的产品堆砌,需要从“管理、技术、运营"三方面来开展数据安全的治理与防护工作。
首先,从管理层面,企业可以在组织制度和流程上进行优化。由于数据在各业务系统之间流转,需要设立高级管理层参与决策的数据安全管理部门,统筹和规划多部门之间的工作;需要设立跨组织的数据管理协调部门,以确保制度、流程、技术等方面的落地。结合法律法规、合规监管,制定基础结构安全管理办法及配置管理指南,身份与权限管理办法,数据安全管理办法及数据分类分级原则和方法,个人信息保护管理办法及流程,事件应急响应管理及流程,审计管理业务连续性保障管理及流程。
其次,在技术层面,需要分段实施、体系规划、有序建设。在初期,需要先理后治,梳理业务,识别重要数据资产,同时补短固底,做好基础安全防护,如数据资产隔离保护,特权账号PAM、堡垒机°、数据审计,终端DLP等。在具备基础之后,在做好分类分级、数据流转,做分级管控和安全防护,包括不限于:数据流转的细粒度访问控制,API安全监测与防护,高敏数据的加密、脱敏、防泄漏等、数据审计等,态势感知,以及场景化方案(如个人信息保护,办公安全、运维安全、数据跨境安全,数据开放安全等)。
最后,在运营层面,需要长期、有序、常态的构建运营体系。通过构建流程+平台”的运营体系,根据业务数据及风险情况调整安全策略,实现多源数据汇聚、数据流动监测、监测与分析安全事件及时发现、审计溯源等做整体态势感知。
数据安全合规建设是一项非常复杂的工程,除了企业和监管单位的努力之外,还需要充分借助外部的专业力量,依托专业数据安全公司,以及第三方法律机构的参与和支持,对合规制度流程不断完善,对人员技术能力不断提升,对各类安全风险持续跟踪及修复,才能从长远角度提升企业的数据安全水平,确保“安全合规不踩线”,保障数字化行稳致远。
