山石视点:为帮助更多的用户科学、合理的完成数据安全治理,上期“数安风向”专栏——《数安风向 | 非常3+2,搞定企业数据安全治理体系建设》中我们向大家介绍了山石网科以数据为中心的安全治理体系框架。但不论是制度规范体系建设、技术防护体系建设、运营管理体系建设,抑或是监督审计体系建设、应急响应体系建设都离不开“人”的参与。从框架到落地,“最后一公里”的服务尤为重要。
数据安全治理的方案,从框架到落地,“最后一公里”的服务才是尤为重要的。山石网科安全服务团队具备丰富的实战经验,围绕整个数据安全生命周期,山石网科推出多项数据安全专项服务,真正帮助用户将数据安全“平稳落地”,给客户36.7°C的美好体验。
一、数据安全人员组织
1.1数据安全管理组织架构
一是数据安全管理组织架构,需结合数据安全现状对数据安全管理组织进行设计。
二是数据安全管理团队职责,根据安全管理现状,设立数据安全管理团队,负责安全管理工作。数据安全管理团队成员由各类专业技术人员组成,负责数据安全管理工作的日常管理、数据安全管理工作阶段性总结及汇报、与相关单位的沟通协调等工作。
1.2数据安全运营组织架构
一是数据安全运营组织架构,需结合数据安全现状对数据安全运营组织进行设计。
二是数据安全运营团队职责根据安全管理现状,设立数据安全运营团队,负责大数据的安全运营工作。数据安全运营团队成员由各类专业技术人员组成,负责数据安全运营工作的日常管理、数据安全运营工作阶段性总结及汇报、与相关单位的沟通协调等工作。
1.3数据安全监审团队架构
一是数据安全监审是对大数据平台的日常业务活动、运营与保障、组织架构责任机制、关键控制环节和控制点等全生命周期的过程进行监审和稽核,确保各类数据活动符合法律法规和管理制度的要求,让各类作业得到有效的监管,防范和控制审计风险。完成数据安全监审流程梳理后,需结合数据平台数据安全现状对数据安全监审组织进行设计。
二是数据安全监审团队职责,根据安全现状,设立数据安全监审团队,负责安全监审工作。数据安全监审团队成员由数据安全监审方各类专业技术人员组成,负责数据安全监审工作的日常作业、数据安全监审工作阶段性总结及汇报、与相关单位的沟通协调等工作。
1.4数据安全绩效评估
建立较为完整的数据安全管理考核指标体系,未形成制度化的考核机制,不利于持续优化改进数据安全管理工作。依据数据安全管理成效,持续改善评估流程,强化绩效评价机制。
数据安全管理方应根据业务要求,结合具体的考核标准,从三个方面加强单位绩效评估机制,并形成相应交付成果,例如:
制定单位绩效评估方案,明确评估频率、范围、时间、方法等。制定绩效评估结果发布审核及反馈核查流程。制定单位绩效评估指标及统计口径,最终绩效评估结果,为数据安全管理、数据安全运营、数据安全监审考核提供科学依据。
二、数据安全制度流程
2.1数据安全制度规范
根据当前数据安全保障体系的实施现状,结合最新的政策要求,为适应新时期的发展需求,应重新审视已编制规范的执行和运行情况,并根据一线的操作反馈,持续补充完善编制工作。针对已编制、待审的标准规范、技术规范等文件,提供编制、审核、跟进以及相关的标准规范管理运营服务规范进行持续更新维护,推动待审标准规范修改完善。针对数据安全保障体系中尚未建立的相关规范制度,编制数据安全相关的规范制度,加快推动数据安全治理工作的开展。
建立覆盖各个层面的数据安全制度规范文件,数据安全制度规范文件的内容符合国家、省、市相关数据安全要求,并能明确每个控制点的落实要点、落实方法和执行责任人,制度规范文件内容应尽量与现有体系进行整合,还应保持与已有文件操持一致,防止冲突。数据安全制度的建设和执行,包括数据安全方针和总纲、数据安全制度、数据安全规范。
一级文件为方针政策、二级文件为制度规范、三级文件为操作明细、四级文件为基础模板,具体如下:
方针政策:明确数据安全工作的策略和方针,阐明数据安全的总体目标和范围,为数据安全体系其它文件的编制与具体措施的制订提供指导和支持。方针政策由决策层指导编制并发布,明确数据安全工作的总体方针和纲要,确定开展数据安全工作的目标和基本原则。
制度规范:在方针政策的框架下,明确制定基于数据场景的数据安全制度规范和管理办法,如数据安全人员管理制度、数据供应链安全管理制度、数据安全风险管理制度等,为数据安全体系中的流程、操作手册等的制订和评估提供直接依据。制度规范明确相关角色的权利和义务,面向相关对象(包括人、应用、工具)提出要求。
流程指南:基于制度规范提出的要求,形成具体的执行文件,梳理数据安全流程,拟定操作手册,如脱敏规范、审批流程、审计日志规范等,流程指南是指导技术落地的基础。
记录模板:记录模板是基础辅助类文件,由流程指南在执行过程中产生和沉淀而来,制定用以支撑各类制度规范和流程的表格,以及支持信息安全活动的记录文件。例如:数据权限申请模板、脱敏申请模板、流程审批模板等。
2.2数据安全流程建设
参照国家、省有关政策导向,推进数据安全相关制度及流程编制、实施方案设计制定。数据安全流程是数据安全体系的指引和基础,可以从以下方面进行规划和建设,承建单位需结合实际需要进行优化和调整。
建立责任明确、程序清晰的数据安全组织架构,明确管理职责、工作程序和协调机制。针对不同类别和级别的数据制定管理控制原则,根据数据资产使用部门和角色、数据资产的分布、数据量级、访问权限、数据使用状况,有效的针对数据进行精细化的安全管控。
结合国家相关法律要求及行业标准规范制定数据安全策略和规划,建立健全数据安全治理过程的制度、流程、标准体系,对数据安全过程进行规范指导,保障实行数据安全规划、计划、实施、运行、督查的全过程管控。对数据安全制度、标准进行滚动式修订,持续夯实自身数据安全标准化管理基础。
建立数据安全工作和监督审计机制,监督数据安全工作有效开展,保障数据安全治理的策略和规范被有效执行和落地,快速发现异常行为和风险。
数据安全管理流程设计,包括但不限于权限管理、数据访问、事件及问题处理、应急管理等流程设计。
数据安全运营流程设计,包括但不限于系统上线流程、数据安全策略制定及发布、敏感数据操作等流程设计。
三、数据安全风险评估
参考GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》国家标准定义的数据安全能力成熟度等级及数据生存周期安全过程域划分定义,对数据中心以及所有其他部门依托数据运行的信息系统所管理和使用的数据资产相关的安全过程进行组织建设、制度流程、技术工具、人员能力四个能力维度的评估。
数据安全能力成熟度咨询服务将主要通过人员访谈、配置核查、旁站式验证等方式实现。通过数据安全能力成熟度评估,发现数据安全能力短板,了解整体的数据安全风险,明确数据安全管理水平;制定有针对性的数据安全改进方案及短期提升计划,指导数据安全建设的方向。
从数据生命周期与数据应用场景两个维度中去关注数据安全所面临的各种威胁,包括数据合规、数据不可用(如数据异常丢失、勒索病毒)、数据未授权访问、数据泄露、数据篡改等。
四、可持续数据安全
4.1数据安全常态化监测
4.1.1日常数据安全监测
管理通过山石网科数据安全综合治理平台,以及专业的安全运营人员采用人工监控和分析相结合的方式,对各项数据进行全天、实时数据安全监控,监控内容包括但不限于:数据库风险监控、特权行为监控、应用行为监控、安全设备状态监控、安全策略联动监控等,第一时间发现数据存在的安全异常。
4.1.2定期发布安全分析报告
以山石网科数据安全综合治理平台为抓手,对数据资产的安全情况进行常态化监测,通过数据资产的规模分布、运行现状、风险异常、整改进度进行定期的统计,分析当前阶段的安全风险重灾区,发现安全防护的薄弱点,针对性制定安全管理策略的计划和落实。并根据不同层级的用户需求,形成日常性安全监测报告、月度安全分析报告、季度安全分析报告。
4.2数据安全定期人工检查
根据数据安全内控要求,开展数据安全检查。围绕数据和业务流程,通过技术测试、管理检查、数据分析等多维度手段,进行安全检查的评估与分析,输出安全检查报告。同时,持续对检查结果予以整改意见,并对整改进度进行全流程的跟踪,最后根据整改依据和必要的复测验证,以确认整改完毕,关闭安全检查节点,完成闭环。
4.2.1定期数据资产检查
一是资产梳理概述从数据安全管理与数据资产的相关性考虑,针对各类数据资产的动态变化进行技术上的识别与验证,包括但不限于:
(1)内网的数据资产,对现有内网数据资产进行技术上的主动发现,致力于对数据资产的管理,在技术手段上进行验证和发现,如识别发现未经授权的上下线资产、被遗弃和无人管理的幽灵资产等;
(2)互联网的数据资产,发现未经授权数据资产问题,如测试资产未经正式授权流程发布到互联网环境,开发人员误将研发代码、配置情况、路径等数据和信息发布到互联网代码共享平台等。
由于数据资产分配情况的繁杂多样,该部分的内容往往无法通过常规手段,手工进行及时梳理和管理,因此管理方将借用自动化手动资产发现工具,通过专业的分析人员,发现相关的数据资产,帮助进行数据资产的风险把控梳理。
4.2.2定期数据安全检查
需定期开展的数据安全检查工作,检查的内容涵盖数据、基础设施安全和人员。
为保障数据安全,在原有平台环境中加强针对数据安全的防护体系建设,从数据资产发现、交换、共享、使用、销毁的过程中有针对性的进行数据安全防护。
通过前期数据资产发现及相关技术安全防护保障,结合实际业务情况建立数据风险管控平台对数据访问使用,尤其是内部数据使用行为进行数据风险控制。建立数据安全态势感知平台,有效监测风险数据安全行为、提供即时有效的数据安全运维管理能力,结合本地的特征库和数据访问行为提供态势感知安全报告和专家级的处理能力。
4.3数据安全日常运营
4.3.1数据安全情报通告
通过对CNNVD、CNVD、SIC等渠道收集到的威胁情报信息,结合国内外的数据安全形式,对于公开发布的安全情报中涉及已有业务的相关组件及相关类似功能,发现可能发生的安全事件类型。
将由特定人员定期整理推送相关的通告,将收集到的漏洞情报进行集中式的报告,避免建设单位不及时更新信息库而造成的信息滞后。
对于通告中涉及的漏洞信息的威胁级别、漏洞编号、来源、更新来源、影响范围、事件描述和应对措施。便于建设单位针对通告内容进行及时更新与防护,对于通告中涉及国内外的重大安全事件进行及时案例分析,避免同类安全事件的发生。
对于影响范围特别广或造成重大进行损失的安全事件,将作为典型案例,必要时须整理成为员工安全意识培训内容,用以提高员工安全意识建设。
4.3.2数据安全巡检
数据安全运维人员应定期对各类资产进行全面安全巡检,使用技术检测和人工检查的手段,对各类资产的运行状态进行监控,对安全策略和安全日志进行检查,记录重点安全问题和异常情况,有针对性地提出通告及解决建议,提早预防、最大限度降低安全风险。
为防止在配置策略或升级补丁过程中出现系统异常的情况,在日常巡检过程中,也需定期对安全策略进行备份,以便在系统发生故障后能够迅速恢复正常。
4.3.3数据安全运维处置
数据安全保障体系因其业务的持续性,需要进行长期性服务,建立完善的数据安全运营团队是必然选择。在原有的运维常规服务之上,数据安全处置运营主要包括以下内容:
(1)数据安全运维
主要是数据安全措施的使用、运维,驻场或定期对数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化,并定期输出数据安全运维报告和策略优化建议等。
通过已有的安全系统、工具和安全情报得到的有价值的安全信息,运维人员将安全信息用于发现问题,及时的更新策略和加强防护。结合人、工具、数据、流程实现数据安全运维。
(2)应急预案与演练
按照相关要求,制定数据安全事件应急预案。并按照制定的应急规划,按照安全事件的危害程度、影响范围等对安全事件分级,定期进行应急预案演练。
由安全管理部门发起,根据相关的企业规章制度,配合完成相关的应急预案,并对演练中产生的攻击行为痕迹进行事后分析,根据分析结果及时调整业务的安全策略,演练的执行应按照企业的相关规章制度进行报备,并尽量避免影响业务系统用户的正常使用。
(3)监测预警
围绕数据安全目标,依据相关安全标准,建立数据安全监测预警和安全事件通报制度,收集分析数据安全信息,对安全风险及时上报,包括按需发布数据安全监测预警信息等。
(4)应急处置
按照应急预案,在发生安全事件时,采取应急处置措施,向主管部门上报重大安全事件,定期对应急预案和处置流程优化完善。
针对数据安全情报通告中的内容,按照业务实际需求对应急处置手册进行及时的更新。
在数据安全事件发生后,根据安全事件的影响和优先级,采取合适的恢复措施,确保信息系统业务流程按照规划目标恢复。
结合漏洞的危害等级、资产的重要性、威胁和漏洞情报(漏洞被利用的可能性)等维度对安全漏洞的风险等级进行重新排序,确定漏洞修复的优先级,筛选最重要的漏洞或数据产生最直接危害的漏洞,将结果上报给数据安全运营经理借助日常运维流程或通报下发流程推动进行优先修复。
4.3.4数据安全策略优化
在业务运行中为加强数据的安全管理,保证数据全生命周期的数据流动安全,从数据采集、数据传输、数据存储、数据处理、数据共享、数据销毁这6个方面对数据全生命周期监管,实现对数据的监控和审计,以及数据安全策略动态优化。
4.3.5数据安全分析服务
结合山石网科数据安全综合治理平台的敏感数据地图、涉敏资产分析、数据使用分析、告警信息、用户行为模型等信息,由数据安全分析人员持续对数据使用过程中的安全风险进行深度挖掘,发现系统中的潜藏高危人员、高危敏感数据等隐患,同时定期按月报、季报上报给数据安全运营经理,再由数据安全运营经理基于事件级别进行分类推动数据安全运维人员、数据安全应急人员进行闭环处置工作。
4.4数据安全应急响应
应急团队提供全天候的远程支持安全服务,可以根据网络管理员或系统管理员的初步判断是否与安全事件相关,通过远程咨询安全运营人员给出初步应急措施,确认需要信息安全专家或安全运营团队现场支持后,安全运营团队根据安全事件级别进行应急响应。
山石网科数据安全治理服务,以数据安全治理框架“魔力屋”为指导,遵循数据安全治理“七步法”思路,服务力量贯穿“七步法”各阶段。从组织建设到制度流程,从分类分级到风险评估,从安全运营到应急响应,山石网科可持续安全的理念步步相随。网络/数据安全建设3分靠技术,7分靠管理,山石网科安全服务是帮助用户实现数据安全的“最后一公里”。