行业 | 山石网科发布数据安全综合治理体系,让数据安全有章可循
2021-11-28
来源: 中国信息安全
2020年,全球数字经济规模达到32.6万亿美元,占GDP比重为43.7%。我国数字经济规模近5.4万亿美元,居世界第二位,同比增长9.6%,增速位居全球第一位。
数字经济越发展,安全问题就越突出。在数据安全成为新的产业发展方向之时,产业也在经历着一场供给侧的变革。信息安全、网络安全时代,产业界还在以提供产品为主,到了数据安全时代,各个厂商纷纷推出数据安全的治理理念,体系化地构筑整体数据安全保障防线,可谓安全治理,理念先行。
11月24日,在“从一维到多维 ,让数据安全有章可循——山石网科数据安全综合治理体系发布会”上,山石网科面向全行业推出了《数据安全治理白皮书》(以下简称“白皮书”),并面向企业侧正式发布全新的数据安全治理体系和数据安全综合治理平台。
山石网科董事长兼CEO罗东平认为,数据安全治理应该侧重四个方面,体系先行。对于广大企业而言:数据安全治理不是一个可选项,而是一个必选项;不是单个技术突破问题,而是一套完整的治理体系问题;不是仅限于技术单一思考维度,而是多维视角的立体建构能力;不是单一防护点堆砌,而是建立数据全生命周期的多维立体主动防护体系。
安全已走向“大合规时代”。大多数企业在此前或多或少已有了一定的安全体系,但主要聚焦在网络安全和信息安全方面。当前,数据与业务紧密相关,数据安全是以数据为中心,围绕着数据全生命周期进行建设以提高企业数据安全保障能力。山石网科认为,数据安全治理永远不是从零开始的,它一定是基于企业现有的安全能力建设现状,通过以数据为中心的视角,对现有的体系进行扩展以实现对数据的安全治理管控。对此,立足于安全行业和实际需求两端,山石网科参考DSMM(数据安全成熟度模型),结合企业实际业务场景,提炼了一套基于“一维到多维 混沌到有序”的数据安全治理体系方法论,目的是将复杂问题结构化,结构化的问题简单化,并据此提出了一套完整的数据安全治理理论框架。
构建数据安全治理体系是一个包含了目标、组织、流程、技术等多个维度的系统工程。在以数据为中心的数据治理体系框架中,包含5大模块:制度规范、运营管理、技术防护3个核心部分,应急响应和监督审计2个支撑体系。
该体系框架的基座是等保2.0(企业第一维的网络安全能力),其主要价值在于,一方面可以摆脱头疼医头,脚疼医脚的传统治理方式,将数据安全治理建设的思考着力点调整到从单维到多维进行驱动,锁定企业的数据安全治理战略。另一方面可以帮助企业快速理清数据安全与企业现状之间的关系,并使得企业的数据安全战略落地做到有的放矢,通过结合合规需求、企业自身业务需求来定义一套成本最优、方向正确的数据安全治理体系,并建设适合企业自身业务特点的可持续数据安全运营能力。
在此理念指引下,山石网科发布了数据安全综合治理平台,实现数据资产可视化、安全能力集中化、运维管理体系化、制度流程标准化。平台以数据资产综合治理、组件运营纳管系统、数据安全态势分析三大系统为抓手,搭配若干工具与服务,解决了数据资产梳理、高权限账号管控、敏感数据泄露防护、跨区域数据流转、数据态势感知等难题,实现资产可管、风险可视、策略联动、流程配套等,构建数据安全治理综合防御体系。
数据安全治理,从框架到落地,“最后一公里”的服务最为关键。为此,山石网科大力打造面向数据安全的专业服务团队,推出数据安全咨询、安全评估、安全检查、专项安全演练等多项数据安全专项服务,在整个数据安全生命周期中,帮助用户将数据安全“平稳落地”。
总结山石网科的这套体系,可见数据安全治理应注重整体体系建设,从数据全生命周期和业务场景入手,自上而下地开展数据安全建设,从制度、流程、组织、人员、技术、工具等多维度去统筹考虑数据安全治理这个复杂系统。