1.概述
数据安全管理是指企业分析信息系统环境中数据的保密性、完整性和可用性等方面所面临的安全问题,分析数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响,围绕这些问题所开展数据采集、存储、使用、加工、传输、提供、公开等数据处理时采取的一系列安全管理活动。数据安全管理不仅涉及制度策略、技术实施和管理规则,还包括法律、政策和组织行为的综合考量,通过体系化层面建设来保护数据不被未授权访问、泄露、破坏或丢失,确保数据的完整性、可用性以及保密性等安全特性,满足个人信息保护和数据保护的法律法规、标准等要求。
2.实施价值
数据安全管理的目标是确保数据在整个生存周期的安全合规,保证自身控制和管理的数据安全风险可控,为数据资产的高效流通、保值增值、价值创造等一系列活动提供基本的保障。具体而言,数据安全管理的价值主要体现在:
(1)提升企业自身数据安全能力。数据安全管理通过实施一系列技术和策略措施(如数据加密、访问控制、安全监测等),有效提升企业对内部数据资产的保护能力。增强企业防御外部威胁(如网络攻击、数据泄露等)的能力,同时提高应对内部安全挑战(如员工误操作或恶意行为)的能力。通过这种方式,企业能够保证数据的完整性、可用性和保密性,从而在激烈的市场竞争中保持优势。
(2)符合国家法律法规、标准要求。随着数据保护法律和规范的逐渐严格,数据安全管理成为企业遵守这些法规的必要手段。企业通过有效的数据安全管理不仅能避免因隐私泄露等造成的高额罚款,还能维护企业的公众形象和消费者信任,从而在合规性方面获得稳定的法律和业务基础。
(3)支撑数据产品安全流通交易。数据产品的流通与交易将成为数据要素市场化中的常态活动,数据安全管理确保企业开展这些活动时能在安全的体系下完成。企业建立分类分级安全保护与流通策略,在保护企业数据隐私的同时,促进数据的高效流通和利用,帮助企业扩大市场机会,形成新的商业模式和产品服务路径。
3.实施路径
数据安全管理主要参考的文件有:
企业通过运用可信身份认证、数据签名、接口鉴权、数据溯源等数据安全新技术,强化对数据资源、数据产品的安全防护,提高数据安全管理的能力。数据整个生存周期的安全管理包括以下几个阶段:
(1)数据采集阶段的安全管理:①基于法律法规以及业务需求,建立元数据管理体系,实现对组织内元数据的集中管理;②确定组织内部的数据分类分级方法,对生成或采集的数据进行分类分级标识;③在采集外部客户、合作伙伴等相关方数据的过程中,应明确采集数据的目的和用途,确保满足数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性、一致性;④对产生数据的数据源进行身份鉴别和记录,防止数据仿冒和数据伪造;⑤建立组织的数据质量管理体系,保证对数据采集过程中收集或产生的数据的准确性、一致性和完整性。
(2)数据传输阶段的安全管理:①根据数据传输的要求,采用适当的加密保护措施,保证传输通道、传输节点和传输数据的安全,防止传输过程中的数据泄露;②通过网络基础设施及网络层数据防泄露设备的备份建设,实现网络的高可用性,从而保证数据传输过程的稳定性。
(3)数据存储阶段的安全管理:①根据实际的应用场景,提供有效的技术和管理手段,防止对存储媒体(包括终端设备和网络存储)的不当使用而可能引发的数据泄露风险;②基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全控制;③通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。
(4)数据处理阶段的安全管理:①根据相关法律法规、标准的要求以及业务需求,制定相应的规则,对敏感数据进行脱敏处理,平衡数据的可用性和安全性;②采取适当的安全控制措施,防范数据挖掘、分析过程中有价值信息和个人隐私泄露的安全风险;③参照相关的法律法规,建立数据使用过程中的责任机制、评估机制,保护国家秘密、商业秘密和个人隐私,防止数据资源被用于不正当目的;④为数据处理环境建立安全保护机制,提供统一的数据计算、开发平台,确保数据处理过程中有完整的安全控制管理和技术支持;⑤在数据的导入导出过程中,防止对数据自身的可用性和完整性造成损害,降低可能存在的数据泄露风险。
(5)数据交换阶段的安全管理:①在向组织内部的数据需求方提供数据时,应执行共享数据的安全风险控制,以降低数据共享场景下的安全风险;②在对外部组织发布数据的过程中,通过对发布数据的格式、适用范围、发布者与使用者权利和义务执行的必要控制,以实现数据发布过程中数据的安全可控与合规;③通过建立组织的对外数据接口的安全管理机制,防范组织数据在接口调用过程中的安全风险。
(6)数据销毁阶段的安全管理:①通过建立针对数据的删除、净化机制,实现对数据的有效销毁,防止因对存储媒体中的数据进行恢复而导致的数据泄露风险;②通过建立对存储媒体安全销毁的规程和技术手段,防止因存储媒体丢失、被窃或未授权的访问而导致存储媒体中的数据泄露的安全风险。
对于推进数据资产化的组织来说,不仅需要明确数据整个生存周期每个阶段的安全管理要求,还需要建立通用的安全管理制度和流程,具体包括:
(1)组织安全制度。建立适用于组织数据安全风险状况、覆盖数据全生命周期的数据安全策略和制度;
(2)人员管理制度。设置负责数据安全工作的职能部门及岗位,以及对人力资源管理过程中各环节进行安全管理,防范组织和人员管理过程中存在的数据安全风险;
(3)培训与学习制度。持续学习、深入了解相关的法律法规,保证组织业务发展过程中不会面临个人信息保护、重要数据保护、跨境数据传输等方面的合规风险;
(4)分类分级安全管理。通过建立针对组织数据资产的有效管理手段,从资产的类型、管理需求等方面建立统一、规范化、分类分级的安全管理模式;
(5)数据供应链安全管理。通过建立组织的数据供应链管理机制,防范组织上下游的数据供应过程中的安全风险;
(6)终端安全管理。根据对终端设备层面的数据保护要求,针对组织内部的工作终端采取相应的技术和管理方案;
(7)安全审计。针对数据生存周期各阶段开展安全监控和审计,以保证对数据的访问和操作均得到有效的监控和审计,以实现对数据生存周期各阶段中可能存在的未授权访问、数据滥用、数据泄露等安全风险的防控;
(8)访问控制。通过基于组织的数据安全需求和合规性要求建立身份鉴别和数据访问控制机制,防止对数据的未授权访问风险;
(9)应急响应。建立针对数据的安全事件应急响应体系,对各类安全事件进行及时响应和处置。
