随着中国数字经济的不断发展,各行各业都在积极推进数字化转型,数据安全逐渐受到国家和企业的重视。
近年来,国家持续颁布多种行业数据安全管理办法,明确各行业数据安全的建设标准,督促企业进行数据安全建设。
企业应该如何建设数据安全?成本、周期是否可控?对企业生产经营有无影响?这些问题始终困扰着企业管理者。
下面,我们简单介绍一下企业数据安全从0到1的建设方法。
1、审时度势,自我评估
在当前国家非常重视数据安全的大环境下,也并非所有大中小企业都得做数据安全相关建设。
首先企业要自我评估,结合国家颁布国标/行标、数据安全管理规范以及企业自身的业务属性、企业规模、未来预期等关键信息,进行正确判断。
-
公司业务是否涉及关键敏感数据,例如金融、财税、工业、农业、军工、医疗、地理、商业、个人隐私等数据,如涉及这类数据,是必须要做数据安全建设,保障企业正常生产经营的;
-
若公司业务不涉及关键敏感数据,出于对企业自身内部的数据资产保护和未来业务扩展预期等考虑,也可以做一定的数据安全建设,筑牢企业数据安全,防患未然,未雨绸缪。
2、老马识途,事半功倍
企业明确自身需要开展数据安全工作后,在规划阶段建议挑选专业成熟的数据安全服务厂商,购买数据安全规划咨询类服务。
相比于企业内部团队摸索,数据安全厂商具有更强的专业性和丰富的经验,采用员工访谈、文档查阅、技术检测等多种形式,在短时间内对企业现状进行细致的摸排,准确评估企业当前数据安全风险,定位问题隐患,明确缺陷不足,提供给企业详细靠谱的建设建议,大幅减少企业花费的时间、精力和金钱,提高企业数据安全建设效率,让企业少走弯路。
3、兵马未动,制度先行
没有规矩不成方圆,数据安全领域企业的管理制度绝不是一纸空文,绝大多数数据安全事件都是发生于企业内部,因此制定完善的数据安全管理制度,规范数据使用流程,对今后企业数据安全相关工作是极其重要的。
4、资产梳理,胸中有数
企业数据安全相关资产,通常包括软件和硬件两大类:
-
硬件:服务器、路由、交换机、探针等网络安全设施
-
软件:业务应用、文件系统、数据库、API等
通常数据安全厂商会通过主动探测的方式,自动发现,快速理清企业数据资产,再配合人工摸排,核对检查,完善补充,确保每个资产都登记到位,没有遗漏。理清全部数据资产之后,心中有数,方能干事有方。
5、披盔戴甲,全副武装
补充安全防护软件是数据安全建设关键一环,通常企业都已经购买过部分网络安全、数据安全相关软硬件,但是很多已经比较老旧,无法应对黑客不断更新的攻击技术,也无法支撑例如分类分级等政策要求。
涉及数据交易、数据变现的企业,需要补充例如数据交易脱敏,数据水印溯源等相关软件。
企业根据国家政策指导和实际情况,更新加固自身网络安全和数据安全软件,依靠强大的安全软件防护能力,结合人工巡检研判,将企业网络、数据安全风险降到最低。
6、精耕细作,分类分级
为满足法律、行政法规的规定要求,企业需要按照所处行业数据分类分级标准,确定企业数据资产中核心数据、重要数据和一般数据。
中新赛克数据分级分类系统,内置十余种行业分类分级模版,支持企业内部专业数据管理人员自定义灵活配置规则,智能高效分类分级。
对于无专业数据管理人员的企业,中新赛克提供数据分级分类服务,上门支撑企业数据分级分类工作。
以上步骤全部完成后,企业就已经基本建立了一套成熟的、可持续使用的数据安全管理体系,满足了国家/行业监管要求。
后续企业还需组织内部员工安全培训、应急演练,持续关注企业数据安全,定期检查防护成果,将降低数据安全风险降到最低。
