在当今数字化时代,企业的数据资产已成为最重要的资产之一。有关数据显示,全球企业组织、政务部门每年在数据安全防护上投入的资金已经超过千亿美元,但数据安全威胁态势依然严峻,其原因在于企业或政务部门将更多资源投入到数据安全能力建设时,却忽视了这些工作本身的科学性与合理性。有效地管理和利用这些数据资产可以帮助企业获得竞争优势、提高决策效率、增强客户满意度,并实现创新和增长。然而,许多企业在数据资产管理方面面临着诸多挑战,如数据质量问题、数据安全风险、数据治理不规范等。数据安全的外延不断扩展,会带来数据泄露、数据滥用、数据篡改、数据伪造和隐私保护等风险,如何有效防范数据安全风险与事件成为亟待解决的难题。 以下建议,希望帮助企业组织及政务部门高效梳理数据资产,加强数据安全管理,保护数据的机密性和完整性。
01 明确数据资产的范围和价值
识别和评估企业组织及政务部门内部各个部门和业务流程中产生的数据,了解数据的来源、类型、格式、量级以及对业务的重要性。通过对数据资产的全面了解,可以确定哪些数据是关键的,需要重点管理和保护。
02 建立有效的数据治理框架是关键
数据治理涉及制定数据管理政策、标准和流程,确保数据的准确性、完整性、一致性和可用性。企业组织及政务部门应成立数据治理团队,制定数据质量指标,并建立数据审核和监控机制。
03 分析重要业务系统责任部门的数据业务需求
数据安全风险评估指引的出现对于数据安全工作开展提供很好的框架。可以从数据层面和风险层面解析业务系统。尤其是增加数据处理活动,通过评估的内容可以拿来梳理重要业务系统的数据情况、业务流向情况。风险层面看,梳理数据所有处理活动中目前已有的安全措施和缺失的能力,进行差距分析,针对性会更强。
04 数据的整合和规范化也是梳理数据资产管理的重要步骤
企业组织及政务部门应整合各个系统和数据源中的数据,消除数据孤岛,确保数据的一致性和准确性。同时,对数据进行规范化处理,建立统一的数据标准和数据模型,以便于数据的共享和分析。
近年来,数据安全风险评估逐渐成为我国数字化进程重要一环。一方面,国家针对数据安全风险评估出台了系列标准和要求,《网络安全标准实践指南——网络数据安全风险评估实施指引》((信安秘字〔2023〕70号)《信息安全技术 数据安全评估机构能力要求》(征求意见稿)《信息安全技术 数据安全风险评估方法》(征求意见稿)等标准相继发布,标志着数据安全标准体系框架正逐步健全和完善。由此看出,数据安全风险评估能够明确数据安全保护需求,为建设数据安全管理和技术手段指明方向。为此,中孚信息打造出数据资产识别与安全风险评估系统,帮助更多企业、组织发现自身数据安全问题和短板,更好的全面分析存在的脆弱性和安全威胁,识别数据安全风险,提前启动相关防护措施 。
中孚信息数据资产识别与安全风险评估系统面向政企客户,采用“服务+产品”模式,实现数据资产发现、梳理和标识,生成数据资源清单、重要数据清单并绘制数据流量流向图 ;针对重点数据、重要系统,参照《网络数据安全风险评估实施指引》,进行安全能力成熟度、安全威胁和合规评估,生成评估报告和整改建议。
主要功能:
ž 数据梳理
自动扫描动态发现网内已有或新增数据资产,包括数据库、元数据、应用、API、文件、图片、音视频,并提供登记备案管理功能,生成数据资源清单。
ž 数据识别
通过数据标签、规则、分析模型动态识别敏感数据并进行数据分类分级,生成动态数据资产目录、敏感数据分布视图和数据流量流向地图。
ž 数据安全评估
对国家行业单位法令法规的安全条款、措施进行指标化和相关证据配置管理;支撑数据安全能力成熟度评估(DSMM)、风险评估(漏扫、渗透测试)、安全要求条款执行的合规性评估并生成相应的评估分析报告。
产品特点
ž 国产化支持
支持国内主流操作系统、数据库、硬件架构。
ž 高效精准识别
通过多种分析方法实现元数据语义识别,通过规则库对数据快速分类分级。
ž 完整的评估知识体系
构建要求库、策略库、证据库等六大库,满足报告一键生成。
面对日益多变的网络安全威胁与市场需求,中孚信息将夯实技术自立自强根基,不断革故鼎新,在产品研发等核心能力创新方面持续发力,为客户提供更加优质的安全解决方案与完备的技术支持,进而推动我国网络安全产业高质量发展。