美创科技四个行业数据安全治理实践案例
自《数据安全法》、《个人信息保护法》等法律法规出台以来,数据安全治理,作为体系化提升数据安全保障能力的重要抓手,得到越来越多的重视,“具体该如何有效落地”也成为不少单位组织普遍关注的话题。
从率先推出数据安全治理咨询服务,到在各行业实践中完成从V1.0到V3.0版本的进化,美创科技以完善、流程化的方法路径和自动化工具,持续推动数据安全治理在行业中有效落地。
为此,我们汇集了金融、政府、能源、制造四个行业案例实践,分享数据安全治理落地过程,以供更多用户参考。
PART1
金融行业
某金融机构数据安全治理项目
2021年,银保监会开出第一张罚单,某银行因涉及制卡数据违规明文留存、数据安全管理较粗放、存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,罚款数百万元。
在金融行业数据安全监管整改力度逐渐加大的背景下,某金融机构数据安全体系化建设提上议程。但由于该机构场景众多,内外部数据采集、数据共享交换、数据分析、数据上报等,安全风险各及其防护方案各不相同,先建设哪些,再建设哪些,缺少明确的规划思路。
对此,基于金融行业数据安全需求,以“长短结合、充分利现、平稳过渡”为思路,美创科技提出适合该金融机构的数据安全治理路径,方案包括:
数据安全制度规范
通过现状调研与沟通,编写符合该机构战略和业务发展的数据安全制度体系,最终确定《数据安全管理制度》、《数据安全人员管理规范》、《数据安全应急响应管理制度》等制度,覆盖数据全生命周期各阶段,围绕组织、流程、技术、人员等维度制定,为其组织数据安全管理上提供有力支撑。
合规性评估与安全风险评估
合规性评估和加固建议:联合对标13项法规、条例,充分了解其数据安全合规情况,以规避可能存在的法律风险,做到“早发现、早处理”。该部分评估对相关法律法规条款逐一进行解读、现状描述,同时对每个条款衍生或关联的相关法律、法规、标准和指南等内容进行标识,最后针对存在的风险提供建议。
数据全生命周期评估和加固建议:结合实际情况,从技术和管理两个维度,涵盖数据生命周期风险评估和数据基线及漏洞评估,基于访谈和工具分析现有的数据安全风险,最终得出当前数据业务的安全风险总体情况,并以GAP图清晰展示,提供安全加固建议。
数据安全建设规划
数据安全建设规划依照前期数据安全咨询项目的评估差距进行补足,着眼于数据全生命周期安全,针对不同的阶段提供技术加固方案,考虑到用户数据安全建设的紧迫性,分为短期和长期建设规划,包括数据安全防护可用的产品或技术手段、建设周期、先后顺序,以及建设完成后差距评估,为其明确数据安全规划建设之路。
交付物清单包括
《数据安全咨询报告》
《数据安全建设规划方案》
《数据安全管理制度》
《数据安全人员管理规范》
《数据安全应急响应管理制度》
PART2
政府行业
某大数据局数据安全分类分级项目
数据分类分级是数据安全治理必不可少的环节和首要工作,2021年,某省大数据局印发《公共数据分类分级指南》(试行),要求各个大数据局按照规范对数据分类分级,并要求对数据进行分级管理。
作为分类分级指南的试点单位,基于省大数据局下发的规范文件,美创科技为某市大数据局提供数据分类分级解决方案,通过自动化工具(暗数据发现与分类分级系统)+人工的方式帮助其进行人口综合库数据梳理和分类分级。
美创暗数据发现与分类分级落地流程
分类分级标准梳理
结合《公共数据分类分级指南》、《人口综合库数据规范》、《信息安全技术 个人信息安全规范》等规范,对该市大数据局的人口库进行梳理,形成《市大数据局数据分类分级参考规范》,并将标准内置到分类分级工具中。
数据资产发现
通过暗数据发现产品提前配置好人口库的分类分级及发现模版,对所在的数据库开展资产发现作业,实现自动化的数据业务类型识别,对数据含义进行标识。
数据安全建设规划
在业务类型识别基础上完成对人口库数据的分类分级,通过工具进行标签管理,并生成可视化的分类分级报告。
最终完成并交付如下内容:
交付物清单
识别人口库敏感数据,包括:姓名、地址、出生日期、身份证号、手机号码等个人敏感信息。
通过自动化工具大幅提高分类分级效率,总计分类超过30个类别,包括个人自然信息、个人资产信息、社会活动信息、个人家庭信息等。
分类分级结果通过可视化报告展示,包括敏感数据分布和占比、业务类型数量排序、不同分类的数据量对比等信息,有序展现,一目了然。
资产发现和分类分级的结果可通过标准接口的方式,对接安全产品和大数据局其他数据资源管理平台,完成对数据资产的安全访问和高效管理。
PART3
能源行业
某大型能源集团数据安全治理项目
该某大型能源集团其应用系统作为关键信息基础设施,涵盖工业、运营、个人信息等数据。随着横向《网络安全法》、等保2.0、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》等法律法规,及纵向垂直行业安全标准,对数据安全提出明确要求,数据安全建设刻不容缓。
在此背景下,该集团以核心业务系统为切入点,以DSMM为抓手,从而逐步建立健全数据安全治理体系,整体阶段包括:
数据资产梳理
通过问卷调研、工具探查等方式多维度盘点数据资产,厘清数据资产现状,并在此基础上进行数据分类分级:
数据资产盘点:通过工具探查数据资产情况,为分类分级实施做好准备工作。
数据权限现状:盘点清楚用户具备哪些权限,数据可以被哪些用户增删改查,权限过大用户有哪些等。
数据流向梳理:盘点数据从采集、传输、共享交换到销毁的流向。
数据分类分级:完成数据分类和分级,共分四级,其中敏感表占比约60%,敏感字段占比约50%,同时明确了各级数据的安全要求。
数据安全风险评估
对数据安全现状进行分析,识别和分析数据资产在全生命周期各阶段风险,并给予中立的加固建议,包括:
基础风险评估:通过安全基线检查、漏洞扫描、渗透测试等方式,发现数据处理环境中存在的安全漏洞,提供加固建议。
数据安全能力差距评估:基于组织实际情况,深度分析和评估当前组织安全能力现状,帮助其厘清自身在生命周期各阶段的能力现状与目标的差距。
数据安全合规评估:全面解读和分析《数据安全法》、《个人信息保护法》以及地方办法条例内容,通过联合对标分析,全面评估组织数据安全合规情况和合规风险,提供针对性的加固建议。
数据全生命周期风险评估:参考信息安全风险分析方法,从资产和风险两大视角出发,基于数据分级结果,建立组织风险评估模型,通过定性分析和定量分析方法,评估数据资产所面临风险。
数据安全建设规划
基于数据安全风险评估的结果,结合实际情况,提供针对性的数据安全建设规划方案:
管理制度建设:基于合规要求,完成部分数据安全相关制度,为后续管理提供依据。
数据安全建设规划:从管理、技术和运营三个维度规划,开展数据安全建设的短、中、长期规划和建设工作,明确建设依据、建设规划、建设路径、建设周期、建设优先级等内容,指引数据安全建设道路。
交付物清单
PART4
制造行业
某制造企业数据安全治理项目
《数据安全法》、《数据出境安全评估办法》等法律法规文件相继颁布,面临日趋严格的监管和数据安全威胁态势,作为拥有海量敏感数据资产,并存在跨国业务的大型制造企业,亟需分析组织内部整体在数据全生命周期过程中存在的安全合规风险,建立符合实际情况的安全管理和安全技术建设。
结合用户“数据安全合规”实际需求,以及在“重要数据”、“关键数据”、“数据跨境”等存在的难题,美创科技本次方案以“数据分类分级”和“合规对标”为抓手,以三个阶段逐步推进:
识别敏感数据,完善分类分级
由于现阶段暂无制造业的分类分级指南,美创科技本次以《工业数据分类分级指南(试行)》为基础,参考公共数据、物流交通、能源、电信、金融行业的分类分级实践结果。在企业原有分类分级的基础上,细化补充了数据类别和级别,并且设计了基于数据分类分级结果的数据权限。
数据安全风险评估
对数据安全现状进行分析,识别和分析数据资产在全生命周期各阶段风险,包括对《数据安全法》、《个人信息保护法》、《通用数据保护条例》等国内外法律法规文件进行全面解读和分析,参考信息安全风险分析方法,通过定性分析和定量分析的方法,分析并计算数据资产所面临的风险值,并给予中立的加固建议。
数据安全建设规划
基于数据安全风险评估的结果,结合实际情况,提供针对性的数据安全建设规划方案,明确建设依据、建设规划、建设路径、建设周期、建设优先级等内容,指引数据安全建设道路,完善《数据安全管理办法》、《数据全生命周期管理制度》、《数据接口安全管理规范》、《数据脱敏规范》、《数据安全风险评估管理制度》等5份制度规范。此外,通过培训赋能和项目实施过程中的成果移交,协助组织形成一套基础的数据安全合规评估工具,让组织具备常态化的自评估能力。
让数据安全治理卓有成效的落地,充分满足监管合规与业务发展需求,美创参考DSG、DSMM模型,结合CARTA、IPDRR、PDCA方法论,基于多年经验不断进化适合组织的数据安全治理实践路径,以评估规划、建设指导、成效评估、持续改进为主线,从组织架构、制度流程、人员能力和技术工具建设四个方面构建数据安全治理体系,以更好帮助解决企业组织建立起数据安全保障体系。
美创科技四个行业数据安全治理实践案例相关推荐
- 美创科技荣获中国计算机行业协会数据安全专业委员会“优秀成员单位”
近日,中国计算机行业协会数据安全专业委员会(以下简称"数专委")工作组年度工作会议在京顺利召开.作为数专委成员单位,美创科技凭借专业的技术能力及优异的工作表现,被授予"优 ...
- 共建“医疗合规科技实验室”,美创科技实力护航医疗数据安全
11月15日-17日,由工业和信息化部.深圳市人民政府主办,中国互联网协会.广东省通信管理局.深圳市工业和信息化局等单位承办的2022中国互联网大会隆重召开. 在互联网医疗健康合规发展论坛上,医疗合规 ...
- 美创科技8个医疗数据安全场景化方案推出!
对医疗行业用户来说,数据安全建设已成为"刚需",但不断变化的临床业务场景和安全形势,如何让安全无缝贯穿医疗数据产生.使用.共享的全流程,是一项庞大.系统性的工作,难点诸多. 解决用 ...
- 数据分级分类实施指南_运营商行业数据安全治理实践
建立组织 构建大数据安全保障组 一.大数据安全保障工作组职责 1.负责制定大数据信息安全策略,明确信息安全目标. 2.组织相关平台负责人定期召开信息安全会议. 3.负责客户数据安全突发事件应急方案实施 ...
- 美创科技联合发布《中小银行数据安全治理研究报告》
近日,由安全牛.谷安研究院联合美创科技.明朝万达等多家数据安全厂商编写的<中小银行数据安全治理研究报告>(以下简称:研究报告)发布.该报告旨在通过收集整理中小银行数据安全治理的现状,分享专 ...
- 美创科技与联通(浙江)产互签署战略合作协议
10月24日,杭州美创科技有限公司(以下简称:美创科技)与联通(浙江)产业互联网有限公司(以下简称联通(浙江)产互)在美创科技杭州总部签署战略合作协议.美创科技CEO柳遵梁.副总经理徐荣星.闻建霞.胡 ...
- 银行数据安全治理案例(一)——美创科技
近日,由安全牛.谷安研究院联合美创科技.明朝万达等多家数据安全厂商编写的<中小银行数据安全治理报告>发布.该报告旨在通过收集整理中小银行数据安全治理的现状,分享专业公司在数据安全治理体系建 ...
- 【金猿投融展】美创科技——聚焦数据安全 释放数据价值
投融资项目·美创科技 本项目由美创科技投递并参与"数据猿年度金猿策划活动--2021大数据产业最具投资价值榜单及奖项"评选. 数据智能产业创新服务媒体 --聚焦数智 · 改变商业 ...
- 美创科技与浪潮云海Insight HD软件完成产品兼容互认证
近日,杭州美创科技有限公司旗下数据管理产品线暗数据发现和分类产品与济南浪潮数据技术有限公司旗下浪潮云海Insight HD软件完成产品兼容互认证.经双方联合测试,美创科技暗数据发现和分类系统与浪潮云海 ...
最新文章
- ssd_mobilenet_v2_quantized_coco 转为 tflite 格式在 Android 上运行
- Oracle NoLogging Append 方式减少批量insert的redo_size
- 如何清除Git中的本地工作目录? [重复]
- 30万奖金等你拿,“信也科技杯”第五届数据解决方案应用大赛火热报名中!...
- linux中mpich的运行线程,贝叶斯法构建进化树:MrBayes
- 前端学习(1423):ajax错误处理
- 从Java程序员进阶为架构师,全套16张图概括最全技能!建议收藏!
- python绘制如下图形、小三角形边长20_python二级操作题与分析(7)
- 广域存储和计算协同面临哪些挑战,具有哪些优势?
- mysql5.5索引如何定义_MySQL5.5索引数在InnoDB引擎内与索引数在mysql中定义的数量是不一致问题-阿里云开发者社区...
- 天锐绿盾加密系统是做什么用的?
- 革新科技CIDE-EDA:实验1 3-8译码器
- 单层for循环最详解
- 最优DP转LVDS解决方案|低成本DP to LVDS转换设计|CS5211方案优势
- 关于QQ游戏大厅的架构我也想说几句
- win10文件夹当作服务器,win10文件夹加密不了怎么办_网站服务器运行维护,win10
- Trace32使用教程-访问类型(Access Class)
- Unrar解压缩.rar文件
- win、linux、unix查看系统主机名
- python大气校正_sen2cor批量大气校正Sentinel2数据——python代码