本文来自明朝万达。
为进一步打破信息孤岛、实现数据共享,助力“最多跑一次”改革和政府数字化转型,各地政府纷纷成立大数据管理局,积极推进政务云建设,实现政府信息系统整合共享。
但是,随着政务信息整合共享工作的开展,各委办局数据在不断汇聚集中,在这些汇聚集中的海量数据中不乏涉及国家安全、经济发展与社会民生的重要、敏感及个人隐私数据。各种数据整合汇聚后,会涉及数据发布、数据加载、共享交换、使用和销毁等诸多环节,任一环节都可能因技术或人为因素造成敏感信息的泄露。
数据安全问题已成为制约数据汇聚集中后数据开发利用、价值挖掘的主要瓶颈。解决数据安全问题最根本的途径,就是对数据进行有针对性的安全治理。
Part1
数据安全治理总体框架
由于政府数据共享平台具有数据规模庞大、使用场景复杂、数据资产变化快等特点,在过去“一刀切”式的管理和防护模式下,防护粒度设定较粗,存在一定的数据安全隐患,因此需要从顶层设计数据安全体系。
△数据安全治理总体框架图
数据安全治理总体框架自上而下贯穿了决策层、管理层、执行层到配合层以及监督层等整个组织架构,包含了从顶层战略、政策总纲到管理制度、流程规范等各层级的完整制度体系,涉及到整体的技术规划以及各项技术工具的落地实施。
明朝万达认为:数据安全治理应当以数据资产的安全使用为愿景,通过专业的数据安全治理团队、明确的数据安全治理策略和流程,从安全管理规范、安全技术支撑、安全持续运营三个领域协同,打造立体防御体系,全方位保障数据全生命周期的安全。
Part2
数据安全治理建设流程
数据安全治理是一个动态、持续的过程,所以在建设过程中,不建议一下子把范围及内容圈得那么大,可以从小部分重要业务板块开始梳理,采取分步建设、持续迭代战略。围绕“评估服务、策略制定、技术落地”三步走的思路进行方案设计。
△建设流程图,包括6个实践步骤
数据安全治理建设共包括六个实践步骤,六个步骤形成完整的数据安全保护建设闭环,建设流程是一个系统的、持续的改进过程,该流程可以定期轮询执行,确保数据安全治理建设持续更新,数据安全管理处于最佳状态。
01组织构建
在组织方面,从组织内选派合适人员构成一支由决策层(组织领导)、管理层(安全部门)、执行层(业务部门)、监督层(审计部门)构成的负责推动开展数据安全治理工作的团队。
02数据资产梳理
首先通过数据资产梳理工具对政府数据共享平台上的数据资产进行摸底,对数据资产的业务属性,使用情况,权限状态,安全需求,使用分布等进行全面梳理,对于冗余、不一致的数据进行修正确认,最终形成数据资产清单。
03数据分类分级
依据国家和省公共数据分类分级相关规定以及业务场景制定内部的分类分级标准,并按照一定的策略和方法进行分类和标识,形成数据资产分类清单,明确数据安全主体责任及防护边界;在分类的基础上,综合分析数据的保密性、完整性、可用性和可控性等属性遭到破坏后,对国家安全、公众权益、个人隐私、企业合法权益的危害程度,进行数据的逐类定级和标识。最终通过自动化技术,将分类分级的专家经验和方法固化为规则模型和识别引擎,实现政务信息资源数据自动化分类分级,大大提升了准确率,并且降低了人力成本。
04风险评估、差距分析
对政务信息资源数据全生命周期的每一个环节所面临的风险威胁进行识别判定,进而对每一个风险点进行赋值计算最终输出风险评估报告以及风险清单;针对数据在采集、传输、使用、交换、销毁环节的安全防护要求,对比访谈和调研结果,进行评价对比,找到当前现状与管控目标间的差距,尤其是管控缺失项和薄弱项,并形成差距分析汇报。
05安全管控策略
根据数据分类分级结果,从管理、流程和技术等方面,制定基于数据安全视角的全生命周期数据安全管控策略,管理方面包括不限于规范管理决策职责、规范日常维护职责、规范岗位人员职责等;流程方面包括不限于制定数据安全管理整体机制流程安全管控策略、权限管理操作流程管控策略等;技术方面包括不限于制定基础架构的整体安全支撑技术、加密、脱敏、审计、水印、数据防泄漏等的管控策略。
06数据安全持续运营
通过建设数据安全监控与审计平台,对现有的敏感数据在动态使用流转中的监控、分析、可视与统计,并基于UEBA行为分析模型识别数据的安全风险,一旦过程中发现风险行为及时预警,并针对风险施加动态响应及防护手段协同联动。通过优化数据安全防护策略,进而持续地提升数据安全防护能力,达到数据安全治理的最佳实践。
Part3
数据安全治理方案的价值
数字化经济的到来,离不开数据的开放共享与有序使用。数据安全厂商需要能够帮助用户确定本单位的数据安全分类分级管理制度、标准,协助用户完成数据定权分级,提供基于数据分类分级后的安全防护方案设计和建设服务,提升平台的数据安全防护能力,也为推动各市直单位将更多数据共享至大数据共享平台增添信心。先进的数据安全治理方案应具备以下价值:
符合合法合规要求
满足《政务信息共享数据安全技术要求》、《政务信息资源目录编制指南(试行)以及政务信息数据分类分级等相关政策法规要求。
实现安全运营常态化
通过人工+工具的方式高效率完成数据摸底,持续掌握数据资产动态;通过从数据视角的全生命周期风险分析,构建统一的数据安全管控机制;通过对敏感数据使用流转监控,数据安全态势感知,持续优化安全策略和管理制度规范,实现数据安全常态化运营。
符合合法合规要求推进政务数据资源开发利用
通过对海量数据的梳理及分类分级,做到对数据库、数据资产分布及数据敏感级别情况的一目了然,将有利于促进数据在各单位间的开放共享,进一步挖掘数据价值,从而提升业务效益。