8月12日,2023网络安全与信息化技术论坛在济南隆重举办。本次论坛内容涵盖数字政府、数字经济、智慧城市、网络安全、数据安全、云计算、人工智能、物联网、区块链、信创等有关领域,300余名专家学者及产业联盟企业代表参与会议并开展交流研讨,为数据安全和网络安全产业高质量发展建言献策。中孚信息总裁魏东晓受邀出席会议并参与增补理事会常务理事单位的表决环节,中孚信息总裁助理、山东省区总经理郭士昌被聘任为山东信息协会秘书处兼职副秘书长。中孚信息研究院数据安全专家钟诚在信息化技术论坛上发表题为《中孚数据安全体系建设及实践》的主题演讲。
数据作为重要经济生产因素
推进国家进入数据安全合规监管时代
2019年10月党的十九届四中全会首次将数据纳入为生产要素。随着数字时代的加速发展,数据要素已成为重要的经济生产因素。
在2021年“两法一条例”《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施保护条例》发布后,我国相继制定了包括《数据出境安全评估办法》、“数据二十条”、等数据安全国家标准、行业标准、地方标准,我国开始步入数据安全合规监管时代。《IBM2022年数据泄露成本报告》中显示,全球数据泄露平均成本史创新高,达到435万美元;关键的基础设施数据泄漏平均成本为482万美元;有媒体曝光,淘宝近12亿条用户数据被软件爬虫获取;中信银行因泄露客户信息被罚数百万元;疑似国外暗网论坛通过微博、QQ等多个社交媒体泄漏6亿用户信息……数据价值提升的同时数据安全形势愈加严峻。“管技并重”全面规划数据安全体系
谱写中孚数据安全体系建设四步曲
新时期数据安全体系建设的新需求,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。钟诚在演讲中阐述数据安全体系建设面临6大问题:
(一) 数据资产不明晰。数据体量巨大、数据结构不同、数据载体各异,难以全量识别数据资产,是面临的首要问题。(二)数据安全权责不健全。数据安全区别于网络安全与业务相关,需要网络安全部门、业务开发部门、运维部门等全员参与。(三) 数据安全管理制度不全面。大部分企业与单位已形成了健全的网络安全管理制度,但缺少数据分类分级制度、数据生命周期防护要求等数据安全方面明确的管理依据。(四)数据安全风险难识别。数据安全风险与数据资产价值、数据生命周期、数据交互场景等因素强关联,造成了数据安全风险难识别的问题。(五)安全防护能力难融合。数据安全产品林立,安全孤岛现象普遍存在。(六)安全运营能力难落实。业务和数据不断变化、数据交互场景复杂,难以动态实现数据安全运营。
以数据为中心,结合业务发展、合规需求、数据交互场景化风险,中孚信息“管技并重”全面规划数据安全体系。通过数据安全治理评估、数据安全管理制度建设、数据安全防护技术建设、数据安全动态运营建设等举措奏响数据安全体系建设“四部曲” 。(一)数据安全治理评估。以数据安全合规评估为基础,以数据资产调研、业务场景调研、数据生命周期调研为分析依据,识别业务数据生命周期存在的安全风险,帮助用户建立数据安全体系设计。(二)数据安全管理制度建设。为用户建立明确的数据安全权责关系组织,推动数据安全建设。然后自上而下建立四级数据安全管理制度,指导数据安全技术落地。(三)数据安全防护技术建设。依据数据安全管理制度要求,建设数据全生命周期防护能力,支撑数据安全运营。(四)数据安全动态运营。串联建立数据安全运营组织、数据安全规范/流程、数据安全运营技术工具,建立不断迭代更新数据安全防护体系。同时,通过纳管各类数据安全产品,采集各类数据,构建数据资产、安全策略、安全风险/安全事件和安全态势建立识别、监测、防护多项能力,满足数据安全统一管理、统一监测、统一防护、统一可视的目标,实现单点数据安全建设向体系化数据安全建设的转变,强化数据安全防护技术,深化数据安全平台适用性。
深耕数字安全领域二十余载,不遗余力,中孚信息不忘社会责任,勇于担当数字化转型升级的领先实践,帮助更多政务部门及企业提升数字安全新动能。同时,积极深度融入科技创新发展,夯实安全基础,持续为数字经济发展和数字中国建设添砖加瓦!
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。