数据作为新型生产要素,已成为国家重要资产和我国数字经济发展的基础战略资源。2021年以来,国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石,数据安全的重要性愈发突出,数据安全治理需求愈加明显。
中移信息数据安全治理建设思路
为落实国家、上级单位“十四五”规划要求,坚持营造良好数字生态,中移信息技术有限公司启动“十四五”IT领域数据安全发展规划制定工作。主要包含7大能力,1个党建引领保障,31项关键任务,以加强基础保障能力建设、安全系统建设。并且梳理总结了9个发力点,分别是构建网络安全态势监测与感知体系、加强关键信息基础设施安全防护、增强统一调度指挥能力、强化安全融合保障、遵从网络安全法规,提升新型数字基础设施安全管理水平,完善技术手段建设、强化数据安全保护,加大核心技术安全可控。
如图1所示,公司通过结合IPDRR的安全框架和数据全生命周期的治理理念,来贯彻十四五规划,并且通过整合IT安全能力,全面构建了数据安全全生命周期的能力体系,实现数据安全的可管可控。在数据采集、传输、存储、使用、共享、销毁各个环节部署相应的安全技术,并对全流程进行持续监测、违规分析及告警处置。
图1 中移信息数据安全全生命周期能力体系
中移信息数据安全治理实践
公司通过组织架构、制度流程、技术体系等方面作为抓手,落实“十四五”安全战略规划。
在组织架构方面,公司设立安全管理中心,负责统筹安全规划、建设安全平台、监督安全工作、考核执行情况,如图2所示。各个业务部门依据安全管理中心的要求,设立专人专岗负责数据安全管理、安全审计、系统管理及应用管理。2018年,为了推进安全工作部署和落实,中移信息技术有限公司成立网络安全领导小组,领导小组包括公司高层领导,办公室设在安全管理中心。根据《数据安全管理办法》,网络安全领导小组兼顾数据安全领导职责。
图2 中移信息数据安全组织架构
在制度流程方面,公司依据法律法规、合规要求、行业要求、业务数据安全需求和数据安全风险控制需要等几个方面进行梳理,确定数据安全防护的目标、管理策略及具体的标准、规范、制度等,实现定责到人的管理机制。针对各个领域的安全管控制定了安全制度和流程规范,并建立了制度汇编模块展示公司的总体制度建设,全体人员可查阅,如图3所示。
图3 中移信息数据安全制度体系
在技术体系方面,公司参照数据全生命周期安全管控的理念建设安全能力平台,构建数据安全技术支撑体系,如图4所示。遵循对不同级别的数据进行分级管控的原则,将安全技术体系贯穿数据安全生命周期的6个阶段,实现数据安全保护目标。
图4 中移信息数据安全技术体系
中移信息数据安全治理实践亮点
亮点一:如图5所示,为了打造安全的数据环境,保证数据在流动过程中时刻可以被管控,公司以数据分类分级作为治理基础,建立了事前主动纳入、事中自动发现、事后人工核查的闭环管理机制,实现数据在使用过程中自动化完成分级分类及敏感数据的流转监控。同时,建立了基于数据分类分级机制和数据流转流量分析的数据治理平台和数据安全管控平台,达到数据标签明确化,数据使用可控化的目标。
图5 中移信息数据流动安全闭环管理机制
亮点二:如图6所示,为了保证数据静态安全,公司对存储的全量数据敏感字段进行加密处理,采用国密SM4等算法实现静态加密,全部四级敏感表以及个人信息字段均完成加密存储。在密钥管控工作中,遵循隐私保密原则,按需实时请求、不落地,进一步提升系统安全。数据在存储使用及对外共享使用过程中也严格遵循以下原则:①保证数据需求通过严格的审批流程后,脱敏处理后提供;②为了保证数据安全,大数据存储按分类分级标准,依据不同数据敏感等级进行差异化加密处理。
图6 中移信息数据静态安全管理机制
亮点三:公司建设了如图7所示的共享操作实时管控体系,使用实时监控技术手段,建立数据下载行为分析引擎,实现对涉敏数据下载实时监控、高风险操作实时告警能力。同时,规范监控运营机制,组建涉敏数据下载监控运营团队,实现告警、确认、处置全流程的闭环运营模式,确保高风险操作得到及时排查和处置,提升数据下载(共享)环节的数据安全治理能力。
图7 中移信息数据共享实时管控平台
中移信息凭借自身数据安全治理建设参与中国信息通信研究院组织的DSG评估,成为达到三级(目前开放最高等级)的企业!
本文节选自《数据安全治理实践指南(2.0)》。
声明:本文来自数据安全推进计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。