信息化建设与互联网经济的蓬勃发展带来了太多变化...其中一定要说的,就是大数据成为了关系国家安全、社会稳定、企业发展、个人生活等多方面、具备核心价值的新资产;相对应地,大数据黑灰产也在“同步扩张”,令大数据安全面临严重威胁。如今,实现对大数据的安全使用,已成为大数据安全治理的核心主题,也是国家、社会、企业乃至个人在新时代、新环境下健康成长、稳定发展的前提和基础。
大数据安全治理涵盖“大数据平台安全、大数据流动场景安全、大数据使用安全、大数据源数据安全和大数据隐私安全”五大目标,相较以往只针对“防黑客攻击和满足合规性”而言,变得更为全面和完善,也对有效实践大数据安全治理提出了新的要求——更加系统化的建设过程:
大数据安全治理的首要任务,是成立专门的安全治理团队,以保证治理工作能够得到长期、持续、有效的执行;与此同时,需要明确与大数据安全治理相关的工作部门及角色,使治理工作能够有的放矢。过程中,组织构建的规模和形式可以灵活调整,最关键的是团队要具备调动多方协同参与大数据安全治理工作的能力。
通过检测评估,清楚掌握当前正在使用什么安全措施;同时,结合目标需求进行规划设计,从而制定出大数据安全治理的完整工作内容。
对大数据资产进行盘点梳理,了解都有哪些数据;其中有哪些数据与外部合规有关;哪些数据对内部至关重要;以及这些数据被谁访问过,又是如何被访问的等等。
对大数据进行分级分类;对人员进行角色划分;对角色使用数据的场景进行限定;对在这些场景下的安全策略和措施进行规划等等。
角色身份不同的团队,需要在日常管理、业务执行和运维工作中,有效落实各自对应的流程规定;采用相对应的大数据安全防护工具做支撑,并将这些工具融入到日常办公与运维等过程中。
对大数据的访问过程进行审计,判断这些访问数据的行为是否符合所制定的安全策略;同时,对大数据安全访问状况进行深度评估,用以判断在当前安全策略得以有效执行的情况下,是否仍存在潜藏的安全风险与隐患。
对当前的数据资产情况做进一步梳理,掌握新增资产或访问角色等情况,查看是否有未纳入管理的数据访问行为;密切注意有关安全规范的最新变化,以此判断是否有新增或移除外部安全策略的需要;同时,持续了解自身新的业务系统或组织结构,清楚数据的访问权限和行为方式是否有发生变化;根据以上情况,优化当前的大数据安全治理组织结构,修订当前企业的大数据安全治理策略及规范,从而持续保证大数据安全治理策略的有效落地。
对不同岗位的相关人员进行定期安全培训,提高安全意识与安全技能,从而减少由人为原因造成的安全问题。
基于先前所制定的目标,对整个大数据安全治理平台进行重新验证,判断其是否满足目标需要,确保大数据安全治理达到其预期效果。