国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

淺談大數(shù)據(jù)時代背景下的數(shù)據(jù)安全治理

2021-05-07 13:35李躍忠
中國信息化 2021年4期
關(guān)鍵詞:數(shù)據(jù)安全信息安全網(wǎng)絡(luò)安全

李躍忠

隨著人工智能、大數(shù)據(jù)等新興技術(shù)的應(yīng)用和普及,數(shù)據(jù)逐漸從傳統(tǒng)的IT環(huán)境中獨(dú)立出來,變成一種新的安全保護(hù)目標(biāo)實(shí)體。數(shù)據(jù)已成為國家、政府、企業(yè)、組織的戰(zhàn)略資源,對數(shù)據(jù)及其安全的治理也成為組織正常發(fā)展的基本保障。無論是希望通過數(shù)據(jù)獲得競爭優(yōu)勢,不斷改善追加銷售和交叉銷售或提高客戶保有率,從而實(shí)現(xiàn)業(yè)務(wù)增長目標(biāo)的業(yè)務(wù)發(fā)展訴求,還是為了降低成本、提高業(yè)務(wù)效率或優(yōu)化復(fù)雜持續(xù)并購的企業(yè)實(shí)際運(yùn)營需要,甚至是來自監(jiān)管部門數(shù)據(jù)相關(guān)的合規(guī)要求,這些需求都推動著企業(yè)和機(jī)構(gòu)將數(shù)據(jù)治理視為工作的重點(diǎn)。

一、時代更迭,風(fēng)險推動數(shù)據(jù)安全治理需求

近年來,互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展勢頭迅猛,隨之而來的是大量數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)盜用等安全事件的發(fā)生。雖然泄漏的是數(shù)據(jù)本身而非具有明確價格的實(shí)際資產(chǎn),但是數(shù)據(jù)泄露事件產(chǎn)生的負(fù)面影響是巨大的、廣泛的,極易演變成重大的個人隱私泄露事件、經(jīng)濟(jì)事件乃至政治事件,其影響難以用金錢衡量。隨著互聯(lián)網(wǎng)的發(fā)展,大量的敏感數(shù)據(jù)在各種社交網(wǎng)絡(luò)及電子商務(wù)等平臺上不斷積累,如果平臺對于用戶信息分享和加工使用缺乏嚴(yán)謹(jǐn)細(xì)致的數(shù)據(jù)管理策略和有效的數(shù)據(jù)安全監(jiān)管手段,就可能被別有用心的人與團(tuán)伙非法利用,從而導(dǎo)致侵害個人隱私、威脅個人生命財(cái)產(chǎn)安全甚至國家安全的重大數(shù)據(jù)泄露事件。

數(shù)據(jù)的價值不能簡單的量化,可以分為直接價值和間接價值兩方面。以近些年來層出不窮的數(shù)據(jù)泄露事件作為參考,某服務(wù)公司在網(wǎng)絡(luò)上銷售涉及2億余條數(shù)據(jù),獲利2000余萬元;某酒店集團(tuán)1.3億人的個人信息及開房記錄在暗網(wǎng)以37萬元被售賣等,直接價值可在一定程度上參考非法交易價格,但間接價值無法定義,被罰50億美元雖然是一個龐大的數(shù)字, 但是與影響美國大選、Facebook市值蒸發(fā)幾百億美元的結(jié)果相比較,也就不顯得突兀了??梢?,數(shù)據(jù)的間接價值可能遠(yuǎn)遠(yuǎn)高于直接價值。

2020年4月9日,中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》(簡稱《意見》),數(shù)據(jù)作為一種新型生產(chǎn)要素被納入其中,與土地、勞動力、資本、技術(shù)等共同構(gòu)成此次要素市場化改革的重要組成部分。由此表明,國家承認(rèn)了市場機(jī)制中數(shù)據(jù)的重要性角色與價值,并推動數(shù)據(jù)在產(chǎn)生層面、在數(shù)據(jù)源頭的進(jìn)一步嚴(yán)格確權(quán),逐步提升對數(shù)據(jù)的監(jiān)管及防護(hù)。

二、《數(shù)據(jù)安全法(草案)》將數(shù)據(jù)安全治理提升至法律高度

2020年6月公布的《全國人大常委會2020年度立法工作計(jì)劃》中,將數(shù)據(jù)安全法立法作為"健全國家安全法律制度體系,提高防范抵御風(fēng)險能力"的重要任務(wù)。2020年7月,《中華人民共和國數(shù)據(jù)安全法(草案)》(以下簡稱《草案》)公布?!恫莅浮芬?guī)定了支持促進(jìn)數(shù)據(jù)安全與發(fā)展的措施,建立健全國家數(shù)據(jù)安全管理制度,落實(shí)開展數(shù)據(jù)活動的組織、個人的主體責(zé)任等內(nèi)容。其中主要內(nèi)容包括:

確立數(shù)據(jù)分級分類管理以及風(fēng)險評估、監(jiān)測預(yù)警和應(yīng)急處置等數(shù)據(jù)安全管理各項(xiàng)基本制度;

明確開展數(shù)據(jù)活動的組織、個人的數(shù)據(jù)安全保護(hù)義務(wù),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任;

堅(jiān)持安全與發(fā)展并重,規(guī)定支持促進(jìn)數(shù)據(jù)安全與發(fā)展的措施;

建立保障政務(wù)數(shù)據(jù)安全和推動政務(wù)數(shù)據(jù)開放的制度措施。

三、構(gòu)建以數(shù)據(jù)為中心的數(shù)據(jù)安全治理體系

數(shù)據(jù)安全是一個體系化建設(shè)的過程,并非單純的產(chǎn)品采購與部署。數(shù)據(jù)安全建設(shè)需要建立以組織建設(shè)、制度建設(shè)、技術(shù)建設(shè)為一體的頂層架構(gòu),以數(shù)據(jù)安全治理的理念進(jìn)行體系化建設(shè)。

數(shù)據(jù)安全治理的目的是為了確保數(shù)據(jù)的安全高效利用,實(shí)現(xiàn)企業(yè)價值,提升公共管理能力。企業(yè)和機(jī)構(gòu)組織能夠通過數(shù)據(jù)安全治理解決數(shù)據(jù)安全頂層設(shè)計(jì)及管理體系建設(shè)的問題,在其組織架構(gòu)、管理規(guī)范、數(shù)據(jù)風(fēng)險分析、數(shù)據(jù)安全策略模型等過程中生成的結(jié)果均可以作為數(shù)據(jù)安全保護(hù)建設(shè)的主要依據(jù)。見圖1。

數(shù)據(jù)安全治理體系建設(shè)要求以數(shù)據(jù)安全治理框架為綱領(lǐng)、數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)為基礎(chǔ)、數(shù)據(jù)安全風(fēng)險管控為核心構(gòu)建以數(shù)據(jù)為中心的安全防護(hù)體系。一般來說,體系應(yīng)該包括治理評估、組織建設(shè)、管理建設(shè)、技術(shù)建設(shè)以及審計(jì)改進(jìn)等幾個特定要素。

(一)治理評估

以業(yè)務(wù)部門為單位,基于業(yè)務(wù)識別、數(shù)據(jù)識別、風(fēng)險識別制定數(shù)據(jù)安全治理評估過程。通過制定數(shù)據(jù)分類分級標(biāo)準(zhǔn),梳理數(shù)據(jù)資產(chǎn)清單及權(quán)責(zé) 、數(shù)據(jù)使用過程及生命周期,分析業(yè)務(wù)環(huán)境及脆弱性等,確定數(shù)據(jù)安全能力成熟度等級。見圖2。

(二)組織建設(shè)

本著“誰主管、誰負(fù)責(zé)”的工作原則落實(shí)執(zhí)行,在系統(tǒng)生命周期各階段明確責(zé)任部門及安全職責(zé)。制定數(shù)據(jù)安全管理辦法,并且同步完善數(shù)據(jù)安全管理制度、業(yè)務(wù)制度、技術(shù)制度等。見圖3。

(三)管理建設(shè)

在全面的風(fēng)險分析基礎(chǔ)上,制定合理的安全策略,在數(shù)據(jù)的分級、分類、分布、訪問權(quán)限、傳輸路徑、操作審計(jì)、備份恢復(fù)等多個方面,規(guī)定誰、在什么時間、什么地點(diǎn)、對哪種數(shù)據(jù)、進(jìn)行何種行為。見圖4。

(四)技術(shù)建設(shè)

通過數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè),基于數(shù)據(jù)集進(jìn)行細(xì)粒度管控,明確各措施執(zhí)行周期,制定技術(shù)目標(biāo)和技術(shù)建設(shè)內(nèi)容。見圖5。

(五)數(shù)據(jù)安全審計(jì)及持續(xù)改進(jìn)

安全驗(yàn)收后的日常運(yùn)營維護(hù)中,應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平,對整體環(huán)節(jié)加強(qiáng)安全審計(jì)監(jiān)督,并持續(xù)跟蹤數(shù)據(jù)安全治理服務(wù)。見圖6。

數(shù)據(jù)安全治理提高了客戶整體數(shù)據(jù)安全管控能力。根據(jù)客戶業(yè)務(wù)需求特點(diǎn),分析能力現(xiàn)狀與目標(biāo)差距,完善數(shù)據(jù)保密性、完整性及可用性保障措施,制定切實(shí)可行的數(shù)據(jù)安全治理方案,有效解決數(shù)據(jù)安全能力改進(jìn)、建設(shè)、運(yùn)維過程的管理等問題,確保數(shù)據(jù)安全能力切實(shí)落地。

四、數(shù)據(jù)安全從業(yè)人員能力提升

數(shù)據(jù)安全治理不能僅僅依靠模型和框架,還要采用法律、教育、行政、倫理等多種方法與手段。針對數(shù)據(jù)利用過程中的一系列安全問題與安全隱患,應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn),提升網(wǎng)絡(luò)安全從業(yè)人員的專業(yè)素質(zhì),強(qiáng)化公眾的安全意識、安全防范技能。

2016年4月,中共中央總書記習(xí)近平在北京主持召開網(wǎng)絡(luò)安全和信息化工作座談會并發(fā)表重要講話,強(qiáng)調(diào)“網(wǎng)絡(luò)空間的競爭,歸根結(jié)底是人才競爭。”;2017年,《網(wǎng)絡(luò)安全法》要求采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才,促進(jìn)網(wǎng)路安全人才交流。近年來,我國不斷探索和踐行各種網(wǎng)絡(luò)安全人才培養(yǎng)模式,但網(wǎng)絡(luò)安全人才因其技能要求高,培養(yǎng)周期長,如何吸引更多人員加入網(wǎng)絡(luò)安全行業(yè)以及如何提升從業(yè)人員的能力是目前亟待解決的問題,人才資質(zhì)認(rèn)定正是解決這兩個問題的有效途徑。

人才資質(zhì)認(rèn)定的目標(biāo)是通過短時期的系統(tǒng)專業(yè)認(rèn)證培訓(xùn),通過考試獲得行業(yè)組織權(quán)威機(jī)構(gòu)的技能認(rèn)證,是對通過者能力的評定,為企業(yè)用人提供專業(yè)權(quán)威的參考,同時促進(jìn)從業(yè)人員的專業(yè)技能提升。

(一)為從業(yè)者指明職業(yè)發(fā)展方向與目標(biāo)

網(wǎng)絡(luò)安全行業(yè)本身具有更新快、跨領(lǐng)域、碎片化的特點(diǎn),隨著目前人工智能、大數(shù)據(jù)等新技術(shù)的應(yīng)用,對于人才能力的要求越來越高,如何選擇職業(yè)發(fā)展方向?qū)臉I(yè)者非常重要。資質(zhì)認(rèn)證是對行業(yè)人才需求的高度概括。2019年9月,中國信息安全測評中心召開的人才培養(yǎng)年會中發(fā)布了CISP系列注冊資質(zhì)證書,設(shè)計(jì)17個分項(xiàng)領(lǐng)域,旨在促進(jìn)對網(wǎng)絡(luò)安全人才有強(qiáng)烈需求領(lǐng)域的人才培養(yǎng)力度,對進(jìn)入行業(yè)的新人,資質(zhì)認(rèn)定可以幫助他們明確職業(yè)發(fā)展方向,促進(jìn)他們積極學(xué)習(xí)專業(yè)技能。針對已經(jīng)深耕專業(yè)方向的人員,資質(zhì)認(rèn)定是對他們能力的認(rèn)可,是他們專業(yè)方向發(fā)展前景的指路燈。不管是哪個階段的人才,資質(zhì)認(rèn)定都是堅(jiān)定他們在網(wǎng)絡(luò)安全行業(yè)發(fā)展的定心針。

(二)為企業(yè)選拔人才提供重要指標(biāo)

2018-2019年度《中國信息安全從業(yè)人員現(xiàn)狀調(diào)研報告》中針對職業(yè)流動的調(diào)研數(shù)據(jù)中顯示:與上一年度相比,能體現(xiàn)出應(yīng)聘者具備一定專業(yè)知識、技能和工作經(jīng)驗(yàn)的“信息安全資質(zhì)證書”取代了“相關(guān)工作經(jīng)驗(yàn)”成為用人單位首要的關(guān)注重點(diǎn),信息安全資質(zhì)成為用人單位選拔人才的重要指標(biāo)。

人員資質(zhì)認(rèn)定是有權(quán)威機(jī)構(gòu)做背書的,越來越多的企業(yè)會在招聘需求中標(biāo)明對求職者資質(zhì)證書的要求。2019年各行各業(yè)遭受“寒冬”侵襲,各大知名企業(yè)裁員風(fēng)暴不斷,網(wǎng)絡(luò)安全行業(yè)方興未艾,人員需求保持著旺盛的增長態(tài)勢。擁有網(wǎng)絡(luò)安全行業(yè)的專業(yè)資格證書,可以使從業(yè)者在競爭中處于有利位置,為個人長遠(yuǎn)的職業(yè)發(fā)展敲開大門,提供有力保障。

隨著信息安全工作的高度專業(yè)化,安全培訓(xùn)也必須適應(yīng)時代發(fā)展,具備系統(tǒng)性、專業(yè)性、權(quán)威性、持續(xù)性等特點(diǎn)。具備上述特點(diǎn)的CISP認(rèn)證考試已成為國內(nèi)最具權(quán)威性的信息安全資質(zhì)證明,得到了信息安全行業(yè)的高度認(rèn)可。

1.系統(tǒng)性。為了適應(yīng)網(wǎng)絡(luò)空間安全保障對人才的需求,CISP的知識體系在不斷地更新和發(fā)展,前基本覆蓋了信息安全工作各個環(huán)節(jié),通過學(xué)習(xí)有效地形成信息安全保障工作地體系化思路,較好地避免了信息安全中“木桶效應(yīng)”地出現(xiàn)。

2.專業(yè)性。CISP是一系列認(rèn)證考試的總稱,覆蓋數(shù)據(jù)安全治理、滲透測試等多種信息安全細(xì)分領(lǐng)域,通過后可獲得CISP-DSG、CISP-PTE等專業(yè)資格證書。

3.權(quán)威性。中國信息安全測評中心是我國開展風(fēng)險評估的國家??仃?duì)伍之一,擁有國內(nèi)一流的信息安全漏洞分析資源和測試評估技術(shù)裝備,承擔(dān)黨政機(jī)關(guān)等重要信息系統(tǒng)的安全保障任務(wù)。

4.通過CISP考試不是終點(diǎn),而是起點(diǎn)。通過CISP考試,證書持有者可持續(xù)獲得CISP組織的持續(xù)支持,及時獲悉最新威脅預(yù)警,掌握應(yīng)對方案,加強(qiáng)從業(yè)者溝通合作。

(三)注冊數(shù)據(jù)安全治理專項(xiàng)認(rèn)證

為了滿足數(shù)據(jù)安全治理領(lǐng)域?qū)I(yè)人才的需求,加快我國數(shù)據(jù)安全治理人才的培養(yǎng),中國信息安全測評中心推出了注冊數(shù)據(jù)安全治理專項(xiàng)證書,英文為 Certified Information Security Professional - Data Security Governance,簡稱CISP-DSG。CISP-DSG旨在讓注冊人員增強(qiáng)數(shù)據(jù)安全治理能力,幫助各類組織機(jī)構(gòu)解決數(shù)據(jù)安全頂層設(shè)計(jì)及管理體系建設(shè)的問題,從而提升國家企事業(yè)單位信息安全管理能力,獲得證書的專業(yè)人員要求具有數(shù)據(jù)安全治理過程管理、數(shù)據(jù)安全技術(shù)體系設(shè)計(jì)、數(shù)據(jù)安全管理體系設(shè)計(jì)的基本知識和能力。

在整個注冊數(shù)據(jù)安全治理專業(yè)人員(CISPDSG)的知識體系結(jié)構(gòu)中,共包括信息安全保障、信息安全評估、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、數(shù)據(jù)安全基礎(chǔ)知識、數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全管理體系這四個知識類。見圖7。

目前,國外相關(guān)機(jī)構(gòu)(ISC)2 和ISACA尚未推出數(shù)據(jù)安全治理的專項(xiàng)認(rèn)證,中國信息安全測評中心是首個推出數(shù)據(jù)安全治理方向?qū)m?xiàng)的認(rèn)證培訓(xùn)的機(jī)構(gòu)。CISP-DSG培訓(xùn)內(nèi)容權(quán)威,實(shí)用性強(qiáng),涵蓋了近年來我國發(fā)布的數(shù)據(jù)安全、數(shù)據(jù)保護(hù)相關(guān)政策文件、標(biāo)準(zhǔn)規(guī)范,以及全球最新、最佳實(shí)踐。

隨著大數(shù)據(jù)時代的到來,數(shù)據(jù)已經(jīng)成為連接全世界的載體,也成為促進(jìn)經(jīng)濟(jì)社會發(fā)展、便利人們生活的原動力。開展數(shù)據(jù)安全治理,不僅僅是國家、企業(yè)的責(zé)任,更與生活在大數(shù)據(jù)時代的每個人都息息相關(guān)。數(shù)據(jù)安全治理是一個全新的話題,更是一個具有生命力的話題,值得所有數(shù)據(jù)安全從業(yè)人員甚至公眾深入探討研究。

作者單位:北京天融信教育科技有限公司

猜你喜歡
數(shù)據(jù)安全信息安全網(wǎng)絡(luò)安全
信息安全不止單純的技術(shù)問題
全國多地聯(lián)動2020年國家網(wǎng)絡(luò)安全宣傳周啟動
部署推進(jìn)2020年電信和互聯(lián)網(wǎng) 行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理工作
工信部:2021年初步建立網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系
基于模糊綜合評價法的信息安全風(fēng)險評估模型
基于模糊綜合評價法的信息安全風(fēng)險評估模型
新量子通信線路保障網(wǎng)絡(luò)安全
數(shù)據(jù)安全政策與相關(guān)標(biāo)準(zhǔn)分享
保護(hù)個人信息安全,還看新法
中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟正式成立