为全面贯彻落实《网络安全法》和《数据安全法》等法律法规要求,发挥标准在支撑国家数据安全治理与个人信息保护重点工作、提升产业数据安全和个人信息保护能力等方面发挥的基础性、规范性、引领性作用,由全国信息安全标准化技术委员会秘书处、中国电子技术标准化研究院主办,天融信科技集团等协办的“2021新一代信息技术标准化论坛——数据安全标准分论坛”于10月22日在深圳举行。本次论坛聚焦数据安全与个人信息保护热点问题,邀请数据安全有关主管部门领导和科研院所、高校、企业知名网络与数据安全专家,分享数据安全和个人信息保护相关法律、政策、标准解读及工作实践。
中央网信办网络数据管理局处长陈琦、工业和信息化部网络安全管理局副局长杜广达、中国电子技术标准化研究院党委副书记张新明为论坛致辞,中国信息安全研究院副院长左晓栋、应急管理部通信信息中心副处长黄玉钏、中国电子技术标准化研究院网络安全研究中心数据安全部主任胡影等作主题报告,天融信科技集团数据安全产品与方案管理中心副总经理李建彬发表《数据安全建设“六步走”——数据安全标准的落地实践》主题演讲。
李建彬指出,近年来,国家层面陆续发布数据安全相关的法律法规,随着各行业数字化转型的飞速发展,如何解决数据安全问题成为当前企业最为关注的焦点。天融信认为落实数据安全保护工作,企业需要全面转变为自上而下的思维,遵循三同步原则,即进行同步规划、同步建设、同步使用,并且建设符合自身业务特性、场景的数据安全治理体系。
基于多年数据安全领域经验积累,天融信提出数据安全保障体系“六步走”建设思路,即数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设及数据安全监管建设,持续为客户的数据安全建设提供全面、专业的安全能力。
01 数据安全治理评估咨询 建立自身业务的数据安全目标
数据安全并不仅仅局限于数据本身,其传输过程涉及诸多风险因素,因此评估咨询愈发重要。数据安全治理评估旨在建立明确、完善的数据安全目标,从组织战略、组织建设、流程重构、规章制度、技术工具等各方面设计、提升和优化数据生命周期安全防护及监测能力,通过现状评估明确数据价值、数据保护范围和数据安全风险。
02 数据安全组织结构建设 明确定义数据安全权责边界
数据安全建设是一项多方联动的复合型工作,在开展组织架构建设时,需考虑组织层面实体的管理、执行团队以及虚拟联动小组等,所有涉及部门均需参与数据安全建设。同时,还需要根据部门职责建立不同的数据安全角色以面对数据安全建设的需求风险。
03 数据安全管理制度建设 让管理手段可执行、可落地
数据安全管理制度一般从业务数据安全需求、数据安全风险控制需要及合规性要求等方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、制度等,实现定责到人的管理机制。
04 数据安全技术保护体系 建设应以分级管控为设计方向
数据安全技术保护体系建设应以分级管控为设计方向,在建设过程中,不同安全级别的数据可参照数据生命周期的原则进行数据安全应用执行。同时,基于业务场景与特征进行自身业务技术防护框架、数据安全技术框架的设计与建设。
05 数据安全运营管控是 一个长期性、持续性的业务性服务
数据安全运营管控应以业务为对象,具备集数据安全运维、应急预案及演练、监测预警、应急处置、灾难恢复等于一体的“建、管、用”运营能力。数据安全技术为用户提供全面的数据安全防护,但在实际业务中,不可避免会产生数据风险,在数据安全运营中需基于风险进行动态调整、响应与处置等,最终形成数据安全防护闭环。
06 数据安全监管建设 符合国家的监管要求
移动互联网时代下,伴随数据承载价值升高的同时数据面临的威胁也愈加严峻,相关法律法规的出台对数据从业者提出相关要求,也明确了监管机构的责任。数据安全建设是一个复杂且持续的过程,企业在建设数据安全工作中,还需要考虑数据安全相关的监管工作。公安机关作为监管单位依法履职尽责,对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守国家核心数据管理制度、向境外提供重要数据、配合公安机关开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理。
最后,李建彬指出,数据安全建设离不开多方协作,安全监管机构、行业主管单位、数据使用单位等多方协同,共同促进数据安全产业生态建设。
作为中国领先的网络安全、大数据与云服务提供商,天融信于2012年开始着力研发数据安全全系列产品,并率先提出“以数据为中心的安全建设体系”建设思路,是国内最早一批布局数据安全的网络安全企业。随着数据安全技术的不断发展,天融信融合零信任、ai智能分析、安全运营等诸多先进技术和理念,并结合多年的实践积累,形成了基于数据全生命周期的安全治理体系,在能源、政府和运营商等行业实现规模化实践落地。此外,天融信累计参与数据安全相关国家标准、行业标准 30 项,同时也是注册数据安全治理专业人员认证(cisp-dsg)的独家运营机构,持续为国家培养和输出数据安全专业人才。
- 关键词标签:
- 天融信 数据安全标准 个人信息保护