近期,中共中央办公厅与国务院办公厅联合发布了《关于加快公共数据资源开发利用的意见》,文件着重指出,在推进数据资源开发利用的同时,必须严把数据安全与个人信息保护关卡,对数据的生产、加工、使用及经营等各环节实施全面而严格的监督与管理。建立健全分类分级、风险评估、监测预警、应急处置等工作体系,开展公共数据利用的安全风险评估和应用业务规范性审查等,这凸显了数据安全在推进数据战略背景下的的重大意义。
PART01
国家数据安全顶层设计
在内涵丰富的总体国家安全观视角下,数据安全已经成为国家安全的重要领域,各个国家分别出台了大量的法规和标准,对个人、企业和国家重要数据进行保护。中国最近几年在数据安全领域以五部相关法律构建了顶层设计。
2024年3月15日,全国网络安全标准化技术委员会发布《数据安全技术 数据分类分级规则》并于今年10月1日起实施。该标准适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区,各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考,但不适用也不涉及国家秘密的数据和军事数据。2024年3月22日,国家互联网信息办公室公布规定并施行《促进和规范数据跨境流动规定》。
PART02
数据安全到底如何落地?
在DCMM中,将数据安全部分分为数据安全策略、数据安全管理和数据安全审计三个部分,每个部分具有对成熟度目标的界定,通过分析和对数据安全的关键进行提炼,主要包括:数据安全管理组织、数据安全管理制度、重要数据识别、数据分类分级、数据级别保护(加密、脱敏/权限控制等)、数据安全监控、数据风险管理和数据安全监督(审计)等。这可以指导企业建立全面的数据安全管理体系,明确数据安全策略和规划,强化数据安全控制,完善数据备份与恢复机制,加强数据安全合规与风险管理等,以此来降低企业数据安全风险,保障数据资产的安全和隐私,提升企业的竞争力和市场信誉。
在DSMM(数据安全能力成熟度模型)中,则除了数据安全能力体系建设:安全管理能力、安全运营能力、安全技术能力、安全合规能力、安全制定流程之外,更多的数据安全领域实施聚焦在数据采集安全、传输安全、处理安全、交换安全、销毁安全等方面,一是可以促进组织机构了解并提升自身的数据安全水平,以及结合各类数据业务发展进行数据生命周期的安全保障,另一方面,保障数据在组织机构之间进行安全的交换与共享,打造更安全的大数据应用环境。
PART03
用友三位一体数据安全体系
而用友认为,无论国内外政策要求,各种安全评估模型,对于企业在数据安全方面应充分考虑数据安全管理职责、数据识别和安全分类、数据保护和风险管理、数据安全监控、数据安全监督几个部分,构筑形成管理、技术和运营三位一体的数据安全管理框架,以管理体系为指导,以运营体系为纽带,以技术体系为支撑,动态、持续保障数据活动的安全有序开展。
用友更是将数据安全的分类分级、脱敏、敏感数据识别功能全部落地实施于用友iuap数据平台的数据治理模块功能中,帮助各类企业解决数据安全问题。数据安全管理作为数据治理的二级模块,通过数据分级、数据分类、敏感数据识别等措施,帮助客户建立完善的数据安全体系,确保数据使用的安全合规性。
01
数据分级分类
企业往往困惑如何对数据进行合理分级分类。用友iuap数据治理工具预置了丰富的数据分级分类策略模板,综合业务主题、数据结构、访问对象、开放范围等多个维度提供数据分级分类智能提示,帮助企业快速构建符合自身数据管控要求的数据分级分类策略,减少了企业摸着石头过河的时间,有效促进数据资产化。
02
敏感数据识别
随着数据爆发式增长,企业拥有的数据量很有可能到TB甚至PB、EB级别。通过传统手工方式进行敏感数据的梳理和识别,显然工作效率不高且难以保障全面性、准确性。用友iuap数据治理工具采用智能算法,支持中英文智能匹配敏感数据特征,实现敏感数据的自动识别,极大提升敏感数据识别的效率、全面性和准确性。并基于数据血缘技术,可以快速定位敏感数据流向,让数据资产和安全风险可见。
03
数据脱敏管理
数据脱敏不仅要执行数据漂泊,抹去数据中的敏感内容,还要保持原有数据的特征,有一定的技术难度。用友iuap数据治理工具内嵌掩码、截断、哈希、加密等多种脱敏策略,利用先进技术对敏感数据进行保护,防止敏感数据泄露。同时基于大数据引擎优化加密算法,有效提升海量数据脱敏的处理性能。
数据安全的落地实施是一个系统工程,需要多方面的共同努力,从国家层面的政策法规制定,到企业数据安全管理体系构建,再到技术层面的不断创新与应用,每一步都至关重要。用友以三位一体数据安全管理体系为实践,通过数据分级分类、敏感数据识别、数据脱敏管理等具体措施,为企业提供了全面、高效的数据安全解决方案。这不仅有助于企业降低数据安全风险,保障数据资产的安全和隐私,也是提升企业的竞争力和市场信誉的重要支撑。
