数字经济在国民经济中的重要程度显著提升���,作为与���“数字经济”并驾齐驱���,一体两翼的��“数据安全”问题自然成为了事关国家安全与经济社会开展的重大问题。当前����,诸多行业遵循和应用的还是旧的数据安全建设理念��,无法有效抵御新的数据安全问题带来的挑战���,金年会jinnian科技数据安全智能化运营的探索应运而生。
各类安全产品之间缺乏有效的联动和统一调度管理��,安全风险应对能力难以真正得到提升。
为满足合规检查����,盲目添加各种安全产品��,存在严重的重复建设��,建设复杂周期长。
各类安全产品接口独立���,规范不统一����,定制复杂���,无法对安全事件进行联动响应及合成作战。
缺乏整体规划���,建设完成后缺乏运营机制����,各类安全产品部署实施后不运营���,无法起到持续防护作用。
近年来很多数据安全风险事件与缺乏完善的数据安全治理体系紧密相关。传统的安全建设理念难以应对数字化时代的数据安全风险���,落后的建设理念导致数据安全孤岛����,只建设不运营����,无法持续防护。为了应对数据安全新挑战���,应采用全新的��、智能化运营理念进行数据安全建设。
金年会jinnian提出数字化时代数据安全运营体系建设的理念����:以持续有效进行数据安全防护为核心���,既要把握好与业务之间的紧密联系��,又要兼顾效率与稳定可靠之间的平衡。主要由2个基本原则����、3个全面覆盖����、2个平衡��、2个引擎��、2个坚持����、2种能力组成。
1��、新的产品���、形态���、服务���:AI衍生新的攻防手段和新的数据安全产品����、服务形态���,如对模型的工具����、数据的污染等。
2��、功能与服务能力的提升���:AI可用于行业数据智能分类分级��,可构建DSPM����、DSP平台的数据安全运营与响应如智能交互使用����、插件周边联动����、运营周/月报等����,还能构建数据安全知识库����,用于考核��、宣传����、培训赋能等。
3���、安全人员效能提升����:AI可以给予即时的响应和辅助分析����、决策支持。任务代码自动生成��、文档编写等。
1����、组织制度流程建设
数据安全组织体系建设����:围绕数据安全运营目标����,以数据安全组织体系为基础����,以管理体系为指导���,以技术体系为支撑����,构建数据安全闭环管控的体系架构。
数据安全管理体系建设��:围线业务数据安全需求����、法律法规合规性等方面进行梳理����,设置数据安全管理方针����、管理规范��、流程指南����、详细表单��,明确保障机制����,实现可持续化运营的数据安全治理管理体系。
2����、 现网业务数据梳理
以业务为基础���、数据为核心����,梳理全网数据资产��、API接口����、敏感数据����、数据访问权限等����,识别重要数据���、找出关键场景。智能发现数据库资产以及敏感数据���,是数据安全治理的重要基础。
3���、 安全风险评估
参照��《网络数据安全风险评估指引》����(TC260-PG-20231A)���,数据安全管理���、数据处理活动����、数据安全技术���、个人信息保护等方面评估数据安全风险��,旨在掌握数据安全总体状况���,发现数据安全隐患。
4����、 差距分析
结合组织的数据安全策略规划��、当前实际数据安全能力建设情况���,从数据管理体系����、制度流程���、技术工具����、人员能力等多个维度进行差距分析��,形成差距分析报告����,以及数据安全建设建议。
5���、 全生命周期实施建设
以基础网络安全能力为支撑����,梳理业务中的数据安全问题��,统一整合各种数据安全技术能力��,实现全网进不来����、拿不走���、看不懂��、改不了����、走不脱的数据安全技术体系。
6����、 数据安全运营
以运营指标为基础����,考核监督为改进依据����,实现����“事前���、事中����、事后”的全过程覆盖���,从以事后处置为核心��,转向以事前预防为核心��,支撑识别����、预防����、发现����、响应等��,变被动为主动����,直至自适应的数据安全能力。
7���、 持数据安全持续检查����,巩固运营效果
依据国家和行业的法律法规��、组织的数据安全目标���,顺利获得数据安全能力稽核��、风险评估��、渗透测试����、合规审计等措施��,保障数据安全持续防护效果。
组织者-防得住����:360°持续进行数据安全保护����,避免数据泄露事件发生���,保障组织的业务陆续在性与声誉。
管理者-看得清����:健康态势全局掌握数据安全总体态势��、资产态势����、风险态势。
运营者一控得牢��:数据资产分布清晰��、安全需求明确��、安全风险实时监测����、安全事件快速处理。
使用者一用得顺���:数据权责相符��,数据使用过程符合相关安全管理要求��,安全合规地使用数据。
全网数据资产智能识别����、数据分类分级����,以及API接口智能识别��,数据分布可见��、数据流转可见��、数据访问可见;
数据全生命周期����、全流通环节���、应用场景各环节风险持续监测与防护��,为业务的稳定���、可靠运行保驾护航;
利用数据安全运营驾驶舱��,实现了数据资产管理��、风险管理��、态势感知��、联防联控等��,实现一体化控制和管理;
无需人工干预����,数据安全治理平台智能运营呈现风险态势��、资产态势��、总体态势等;
组织���、制度���、技术����、运营体系建设���,满足国家���、行业数据安全法律法规要求。
数据安全运营是一个随时代开展和行业需求不断变化的动态探索过程���,尤其是数据经济异常庞大的今天����,数据安全问题只会更加复杂��,形势更加严峻。金年会jinnian科技提出智能化运营的探索���,希望能够帮助在数据安全治理和运营过程中的有困扰的企业����,为他们给予一些思考路径与建议。未来����,金年会jinnian科技将持续深耕数据安全领域����,持续应对新挑战��,探索新路径���,为行业长足开展贡献金年会jinnian力量。
