郑斌:企业数据安全能力框架——数据安全能力成熟度模型的构建及应用

摘要

安全的目的是为了保障发展,如何衡量一个拥有数据的组织的数据安全保护能力十分重要。本文探讨了这种组织所面临的数据问题及其挑战,介绍了大数据环境下数据安全发展的趋势和完整的组织级数据安全能力框架,阐述了数据安全保护能力的实现路径及实践过程中可能遇到的难点,最后分析了利用数据安全能力成熟度模型指导企业进行数据安全保护能力建设的过程和方法。

大数据时代,数据成为越来越重要的资源,自然也成为违法犯罪分子的重点关注目标。2016年4月,欧洲议会通过了《一般数据保护条例》,对欧盟公民的隐私保护做出了极为严格的要求,违规企业可能最高被处以2000万欧元或者前一年全球总年营业额4%的罚款。2016年11月7日,我国颁布了《中华人民共和国网络安全法》,保护个人信息和重要数据的安全是这部法律的重要内容。安全的目的是为了保障发展,在目前的大数据应用和安全的环境下,一项迫切工作是,如何衡量一个拥有数据的组织的数据安全保护能力。

一、拥有数据的组织面临的挑战

大数据环境下,各组织机构都将面临着以下的数据问题及挑战。

*数据无处不在。伴随着信息化的开展,各组织机构的业务被大量数据化,上至管理者,下至一线业务岗位,都需要使用数据。

*系统、组织之间数据边界模糊。数据共享使得组织内各系统间存在大量的数据接口,每个系统都是其他系统的一部分,同时其他系统也是自身系统的一部分。

*数据关联、聚合更容易。大数据技术使数据的采集、使用更加便利,运算能力的提升加快、加大了数据关联或聚合的效率和吞吐量。

*数据流动、处理更实时。实时数据处理技术的发展使数据的流动和处理更加实时,同时也加剧了对安全的挑战。

*海量数据加密(性能、成本)。传统的数据加密手段捉襟见肘,如何在灵活使用数据的同时高效安全地保护数据也是需要解决的问题。

*数据的交换、交易。如何确保数据交易的安全,进而维护好国家、组织、个人的合法权益是巨大的挑战。

*数据所有者和权利不停转换。目前行业里主流的数据相关方有数据主体、数据生产者、数据提供者、数据管理者、数据加工者、数据消费者,数据权利不停转换,而数据的所有者及相关权利的界定至今未能达成一致意见。

*业务的国际化。各国虽然在网络主权的提法上各执己见,但在实践层面却无一例外对本国网络加以严厉管制,防止受到外部干涉。

二、数据安全能力框架

大数据环境下的数据安全具有五大趋势:从注重系统的防护到聚焦数据内容本身的保护;从单一组织的保障到跨组织的联动;从数据的保密到(大)数据经济秩序的保障;从技术风险+操作风险到技术风险+操作风险+商业风险+法律风险;从传统的数据技术到大数据技术。因此数据安全能力必须充分考虑组织保障、管理政策及流程的落地、大数据治理、数据生命周期的安全、数据的风控、数据生态的安全协同六大要素。

1. 数据安全能力成熟度模型简介

数据安全能力成熟度模型(DSMM)以数据生命周期为主线,聚焦数据安全相关的四大能力:组织建设、制度流程、技术工具、人员能力,针对组织机构的数据安全能力进行评级(如图1所示)。组织的数据安全成熟度模型具有5个成熟度等级,分别是非正式执行、计划跟踪、充分定义、量化控制、持续优化。

图1 数据安全能力成熟度模型

*数据生命周期的6个阶段

基于大数据环境下数据在组织机构业务中的流转情况,定义了数据生命周期的六个阶段:数据采集阶段、数据存储阶段、数据传输阶段、数据处理阶段、数据交换阶段、数据销毁阶段。

*数据安全过程域体系

包含数据生命周期各阶段安全和数据生命周期通用安全,如图2所示。

图2 数据安全过程域体系

2. 安全能力维度

通过对各项安全过程所需具备安全能力的量化,可供组织机构评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。

3. 数据安全能力通用实践

*能力级别1—非正式执行。数据安全过程域的基本实践通常被执行,但基本实践的执行可能未经严格的计划和跟踪,而是基于个人的知识和努力。

*能力级别2—计划跟踪。过程域基本实践的执行是经计划并被跟踪的,并对实践情况进行验证。

*能力级别3 — 充分定义。基本实践按照充分定义的过程执行。充分定义的过程是依据对文档化的标准过程进行裁剪并经批准的过程版本。

*能力级别4 —量化控制。这个级别是对收集、分析执行的详细测量。这将获得对过程能力和改进能力的量化理解以预测执行情况。执行的管理是客观的,数据安全管理的质量是量化的。

*能力级别5 — 持续优化。在这个级别上,基于组织机构的商务目标并针对过程的有效性和执行效率建立量化执行目标。通过执行已定义的过程和已创建的新概念、新技术的量化反馈来保证对这些目标进行持续过程改进。

4. 等级评定方法

组织机构的数据安全能力成熟度等级取决于各项数据安全过程域的能力成熟度等级。本标准采用“木桶效应”的等级评定方法,组织机构整体的能力成熟度取决于各项数据安全规程域的能力成熟度级别中的最低级别。

三、实现路径与方法

1. 设立组织

为了有效保障数据安全政策的落地实施,企业应该设置专职的数据安全团队。此外,还需要设立面向全组织的数据安全委员会,委员会需要有来自业务、数据、安全、法律等领域的不同角色参与,形成专业上的互补和完整的组织视角,委员会的负责人是组织里最高管理层分管安全或者数据的管理者。

2. 盘点现状

数据资产的盘点:重点梳理数据的种类、数据量、核心的数据内容、数据来源以及数据的安全分级分类情况和流转链路。

数据相关部门的盘点:梳理全组织与数据相关的部门数量、部门内部各岗位的职责、工作流程、数据操作环境,重点关注操作风险高的环节。

数据相关业务/产品的盘点:在产品研发、测试和对外服务的过程中,梳理数据在业务/产品中的应用原理、交互的系统接口、相关的责任人。对外提供的数据内容也需要进行合格性的盘点梳理。

数据相关流程的盘点:需要梳理数据的采集、存储、授权、内部使用、传输、对外披露、销毁等过程所有线上线下的流程。数据相关风险管理盘点:梳理数据风险的识别、风险评估及判定、风险跟踪及改进情况。

3. 运用DSMM进行评估

如图2所示,DSMM包含40个安全域,涵盖组织的数据全生命周期过程,每个安全域含有相应的评估点和评估标准,由数据安全实体团队针对评估点参照评估标准进行安全能力评估。

4. 制定风险修复与短板提升计划

DSMM不但能够评估出数据安全能力,也能反映数据安全的风险,总体评估完成后,需要得到两部分的改进计划:一部分是风险修复计划,一部分是数据安全能力短板提升计划。

四、实践中的难点与挑战

在实践过程中,通常会遇到如下挑战:

1.高层重视度不足;

2.业务部门配合意愿度低;

3.内部系统繁多,数据庞杂;

4.政策落地难;

5.业务快速发展,迭代升级频繁,数据安全政策及技术手段更新容易滞后;

6.组织的关联公司多,如何安全可控地分享数据是大型组织常见的挑战。

五、数据安全成熟度模型的行业实践情况

数据安全成熟度模型的适用范围非常广泛,企业在实践过程中就数据安全能力构建达成了以下共识:

1.数据安全是商业落地的重要基石;

2.以“数据”为中心的安全:大部分组织机构的安全工作集中于对网络系统的边界防护层面,但无法有效应对基于数据价值的安全保护需求,安全管理的思路亟待转变;

3.大数据下的数据安全必须具有产业生态的视角:聚焦于数据本身安全的同时,还需要聚焦产业上下游间数据流通、共享带来的安全挑战;

4.数据安全技术创新/产品需求的迫切性:大数据下的数据安全能力建设急需安全技术的创新及以数据为中心的体系化的数据安全产品解决方案。

全文PDF下载

作者

郑斌

阿里巴巴集团数据安全部总监

长按识别文章后面的二维码

即可下载PDF原文

本文来自企鹅号 - 网络空间治理创新媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

YunEx云迅公司推出智能边缘云OpenMEC解决方案

1674
来自专栏云计算D1net

云计算经济:从资本支出到运营支出的战略转变

云计算解决方案为组织的工作环境增加了灵活性,使组织的员工能够以更创新和更有效的方式进行沟通。而且,所提供的云计算解决方案的资本支出成本要低得多。 ? 从历史上看...

3174
来自专栏人称T客

2014年OA产品实施满意度:成行业最大短板 OA厂商需加强

移动信息化研究中心认为,实施服务是当前的一个“短板”,企业客户对于实施服务的整体评价一般。 实施服务满意度评价主要包括了“项目顾问的管控能力、进场顾问的专业能力...

2826
来自专栏BestSDK

私有云、混合云、公有云,如何选择适合你的“云”?

从大的形势来看,现在企业的CIO和CTO们很难拒绝云计算向他们挥出的手,基于云计算所构建的IT能力其灵活性、成本和生产效率的优势是不可被忽略的。企业面临选择,也...

2804
来自专栏人称T客

闪存,满足SaaS“实时数据分析”需求的好方法

作者:Josh Epstein,转载自外文网站 背景: SaaS(软件即服务)和云交付模式正把传统企业级软件市场搅得不得安宁。 随着 IT 组织采取灵活的基础...

3308
来自专栏人称T客

报告:移动办公建设阶段有哪三大坑?

在实施过程中,企业关注点聚焦于移动办公系统是否能够保障现有业务系统的连续性和稳定性,同时在如何选择终端与应用开始令企业焦虑。 1 保障原有业务系统的稳定与连续性...

2593
来自专栏灯塔大数据

中国电信用软件定义来“去电信化”

转型”是现如今最常听到一个词,作为伴随着国家命运发展的电信行业也不例外,时下的运营商正在向着去电信化、市场化、差异化的方向不断进行探索。 在三大运营商之中,中...

2874
来自专栏云计算D1net

企业需要规划混合云的5个理由

如今,许多成功的企业正在超越公共云,进入了一个公共云、私有云和传统IT的混合IT新时代。这些组织正在实施混合云策略,因为这有助于他们改进业务运营方式,并为客户提...

3164
来自专栏大数据文摘

每年14PB数据存储需求,海量交通安全数据如何安放?

1344
来自专栏云计算D1net

如何选择适合你的“云”?

尽管云计算非常火热,并不是所有的企业都要迁移到云上,事实上目前只有少数企业和组织把他们的IT迁移到云,有很多合理的理由使得企业更愿意采用自主拥有的on-prem...

2653

扫码关注云+社区