更多
隨著《國家安全法》《數(shù)據(jù)安全法》《個人信息保護法》《數(shù)據(jù)出境安全評估辦法》等法律和辦法的推出和落地,數(shù)據(jù)安全治理擺脫過去“無法可依”的困境,“依法治數(shù)”成為數(shù)據(jù)安全治理行業(yè)的共識。數(shù)據(jù)安全技術(shù)作為防范數(shù)據(jù)安全風(fēng)險能力底座,基于數(shù)據(jù)安全技術(shù)的產(chǎn)品為企業(yè)數(shù)據(jù)安全治理提供有力的支撐。在不同行業(yè)的數(shù)據(jù)安全治理實踐中,數(shù)據(jù)安全組織、數(shù)據(jù)安全管理制度、數(shù)據(jù)安全運營體系等方面的建設(shè)和發(fā)展同樣值得我們關(guān)注
數(shù)據(jù)安全治理過程中,包括組織、制度、技術(shù)、產(chǎn)品等安全工作落地執(zhí)行后,對于這類數(shù)據(jù)安全工作的合法性、正確性以及有效性等方面的稽核評估,是防范和化解數(shù)據(jù)安全風(fēng)險必不可少的步驟。
針對數(shù)據(jù)安全治理過程中數(shù)據(jù)安全稽核面臨的挑戰(zhàn),從制度管理和技術(shù)產(chǎn)品兩個角度提出解決方案。
在數(shù)據(jù)安全治理過程中建立數(shù)據(jù)安全稽核管理制度、流程標(biāo)準(zhǔn)體系,保障實行數(shù)據(jù)安全規(guī)劃、計劃、實施、運行、督查的全過程管控。在這個建設(shè)過程中需要持續(xù)不斷地對信息安全制度、標(biāo)準(zhǔn)等進行調(diào)整修訂,持續(xù)夯實自身數(shù)據(jù)安全標(biāo)準(zhǔn)化管理基礎(chǔ)。
通過部署包括數(shù)據(jù)安全稽核等成熟的產(chǎn)品,通過標(biāo)準(zhǔn)化、體系化的產(chǎn)品手段實現(xiàn)數(shù)據(jù)安全的的稽核管控。數(shù)據(jù)安全稽核主要核查接入系統(tǒng)環(huán)境內(nèi)各類安全產(chǎn)品策略和安全過程管控執(zhí)行情況,判斷各安全產(chǎn)品的狀態(tài)及其防護能力效果。針對稽核過程中發(fā)現(xiàn)的風(fēng)險和異常能夠做到及時預(yù)警和提供相關(guān)的應(yīng)對修復(fù)建議,也可以對接其他安全評估能力單元,實現(xiàn)動態(tài)評估系統(tǒng)環(huán)境數(shù)據(jù)安全防護能力。
在數(shù)據(jù)安全治理過程中,通過制度管理、產(chǎn)品技術(shù)等手段的融合形成定期常態(tài)化的數(shù)據(jù)安全稽核策略,提升系統(tǒng)數(shù)據(jù)安全系數(shù)。針對當(dāng)前數(shù)據(jù)安全稽核面臨的挑戰(zhàn),數(shù)據(jù)安全稽核策略主要包括以下內(nèi)容。
數(shù)據(jù)安全稽核是數(shù)據(jù)安全治理的核心工作之一,是防范和化解數(shù)據(jù)安全風(fēng)險不可或缺的工作。數(shù)據(jù)安全稽核的目的和價值在于通過稽核手段來保障數(shù)據(jù)安全防范策略的落地執(zhí)行以及數(shù)據(jù)安全產(chǎn)品的有效發(fā)揮,精準(zhǔn)快速識別和發(fā)現(xiàn)潛在安全風(fēng)險和行為,保障數(shù)據(jù)安全治理工作的有效落地。
數(shù)據(jù)安全稽核能夠?qū)ο到y(tǒng)內(nèi)已接入的安全產(chǎn)品進行能力和效果評估稽核,包括已建設(shè)分類分級、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)水印以及數(shù)據(jù)庫審計等安全能力單元,實現(xiàn)對整個數(shù)據(jù)安全能力加固后的安全成熟度進行監(jiān)測、評估和稽核,還能支持輸出數(shù)據(jù)安全稽核報告以及針對安全能力薄弱項進行響應(yīng)處置,有效提升系統(tǒng)內(nèi)數(shù)據(jù)安全防護系數(shù)。
數(shù)據(jù)安全稽核適用對象廣泛,不僅能夠為個體用戶提供自查依據(jù)、協(xié)助大體量資產(chǎn)的用戶做好資產(chǎn)梳理工作,也能為測評機構(gòu)提供檢測手段,為科研機構(gòu)提供研究依據(jù),在滿足商用數(shù)據(jù)安全稽核基礎(chǔ)上,同樣適用于數(shù)據(jù)安全監(jiān)管、評測和教學(xué)等場景。
題-4.jpg)
