近日,在中国计算机学会抗恶劣环境计算机专业委员会指导下,由中国电子科技集团公司第十五研究所(信息产业信息安全测评中心)、安全牛和谷安研究院联合发起编制的《数据防泄露(DLP)选型指南》报告(以下简称为“报告”)正式发布。
本次报告得到了来自多家大型大型企业(机构)的安全技术专家,和联软科技在内的八家国内DLP技术代表性厂商的大力协助与支持。在线上会议中,联软科技DLP解决方案专家分享了《企业数据安全合规建设实践》。
1企业数据安全目标
企业的数据安全不仅仅是技术落地的问题,更重要的是法律合规问题。企业在做数据安全实践过程中,一定要制定企业的数据安全目标:
数据合规管理
企业希望构建自己的数据合规管理体系,设置专门的数据合规管理部门,并能针对数据来源的合法性制定并不断完善数据合规计划,消除内部的管理盲区。
数据分析识别与处理
企业希望能够通过现有的数据分析进行合规风险识别以及提高自身的应对能力,规范技术汇报审批流程,建立技术应用相关的合规评估制度,避免技术滥用,影响业务效率。
数据合规运行与保障
企业能够持续化的数据合规运行,建立数据合规咨询机制与数据不合规的发现机制,建立数据分类分级管理制度以及员工数据安全管理制度,填补过去的制度空白。最终通过管理、技术制度等方面进行自查整改以及第三方的监估监督和评估,达到数据合规整改工作有效落实。
2、五步措施保护企业数据安全
联软科技对于该企业的数据安全实践过程中,主要分五大步:
第一:风险识别
针对现有的情况进行数据现状的风险评估,确定企业相关的风险状况和风险等级,提供相应的解决方案。
第二步:建立企业的数据安全合规组织
提出相关的合规要求和人员管理,调动各部门能够共同促进数据安全工作。
第三步:建立健全相关的数据安全合规制度
在企业中都会有非常多信息安全管理制度或网络安全管理制度,但是数据安全管理制度相对还是比较欠缺的。
第四步:安全培训
进行安全宣传教育,并且能够听从各个部门的安全建议,以安全促进业务发展为核心目标,然后对员工能够有效的宣贯,知道安全是一种保护和促进,而并非像过去的一刀切管控。
第五步:通过 DLP 产品进行相关的技术防护
让各个部门能够发现现存的数据安全风险,发现业务系统的数据泄露风险或者数据不稳定风险,最终达到平衡业务与安全的效果。
3、具体实践过程
>>>>确定各部门协同工作
联软科技在企业数据安全合规建设实践中,主要是成立了数据安全部门之后,通过两件事情作为出发点来协同各部门进行相关的数据安全工作。第一制度审核与宣贯,第二是DLP系统测试,最后由这个风险与审计相关的部门进行风险识别。
>>>>数据安全现状调研
数据风险防泄密的第一个重要的工作就是数据安全现状调研。联软科技对于数据安全现状调研做过非常多的成功示例,在本项目中有2个关键点:
第一,按各个业务部门进行相互调研。
第二,调研的过程中是安全意识宣贯和培训的过程,让员工对于数据安全重视起来。
>>>>数据安全合规评估
在针对企业数据调研之后,联软科技做了两个评估,第一个是数据安全合规评估,按照行业相关标准把数据安全评估域分成了数据安全管理、数据安全保护、数据安全运维三大这个评估域;第二个数据安全能力评估,依据国标委的数据成熟能力度评估后进行一个量化评分。
>>>>建立企业数据安全风险等级
通过参考行业标准,结合调研过程中对信息系统以及企业本身的数据使用情况进行修正,最终建立企业自身的数据分类分级参考标准,由各个部门一起梳理系统权限和数据资产,并且定期清查,这样能够持续地进行更新。在企业梳理完数据安全风险等级之后,总共分了 5 级,从外到内这几个维度去建立风险等级,搭建底线框架。
>>>>上线DLP系统
DLP 系统在使用过程中是一个非常重要的点,建立以数据为资产、以人员为核心的管理、技术、运营三大体系。依靠现有企业中的一部分数据治理成果,加上调研样本形成了相关策略,通过 DLP 产品能够以各种属性的规则或者内容的规则去进行识别。
联软科技通过结合业务场景进行了扫描与控制的措施,例如安全隔离、加密存储、水印、外发管控录像、追溯取证等等,结合相关的教育培训、震慑告警以及诱捕陷阱等,最终达到持续化的安全运营,可视化企业的数据安全能力变化及风险识别。
联软科技从数据安全法律法规的要求出发,以企业数据安全的目标入手,探索了包括风险识别、组织建立、制度健全、安全培训和技术防护等在内的DLP应用框架和良好实践,能够为企业提供体系化的DLP防护技术服务。同时为了促进跨机构间的数据合作,联软不断积极探索更多的数据安全新兴技术,减轻数据安全管理员的工作量,帮助企业实现数据的精细化识别管理。
(该资讯首发于2022-06-08 )