一图说:数据安全分类分级

一句话说数据治理的小专题进行了四期了,讲了数据治理、数据标准、数据资产、数据架构,秉承深度思考、专业探讨的定位,希望能够用第一性原理的视角和方法来审视数据治理的基本概念,穿透“相”看到“身”,讲干货,出好货。
但是,毕竟有些概念不是一句话可以涵盖的,尤其是顶层概念之下,进入实操层面,一句话的思辨容易抽象过度。那么,今天开始尝试一个新的模式,使用图说的方式来剖析一些目前工作中的重点课题。《一句话》和《一图说》可能在以后交替进行,从概念层面和实操层面不断深入。
今天第一篇图说,从数据安全分类分级开始。
先上图:
安全分类分级这是一个“硬核课题”。从数据治理开始,除了标准化和价值应用,重要的课题就是质量+安全。安全是底线,是价值应用的前提和基础,没有安全的“1”,后面的“0”都无从落脚。所以,构建一个满足企业安全管理要求的管理管控体系,至关重要。
但是,“把文章读遍”,还是“无从下刀”。为什么,因为,一方面理论体系的庞杂,一方面是技术措施的不断演进和安全问题的赛跑,更是企业内部组织力的聚合。这些复杂问题,导致简单的书面概念其实在企业落地面临很多的课题有待解决。
上面的图,将安全分类分级的主要概念梳理了一下,基本上将实施安全分类分级的过程进行了一个归纳。
1、 数据资产,和元数据关联,是数据安全最终的落脚点;
2、 数据标准,如《一句话说数据标准》,这里是“锚点”;
3、 数据定级,这个是数据安全定级的操作标准,从数据标准引申到定级标准,然后为后续的技术性措施提供指引;
4、 安全策略,这个是数据分类分级的真正核心,就是当有了一套所谓的管理制度和规范后,具体如何衔接到纯粹的技术措施和方法,从制度到方法,中间需要一个“实施策略”。
这里的安全策略,是一个基于数据环境,同时主要从数据环境的变更作为“管控点”的策略。它的基本思路是:
1) 数据是依托于环境进行采集、存储的,在企业的实际工作中,就静止数据而言,环境的安全策略已经基本覆盖了数据的安全策略,包括系统、网络、用户权限等。
2) 只有在环境发生变更,就是数据出现了传输等过程,从一个环境变迁到另一个环境,这个时候,静止数据的环境安全策略无法覆盖,需要就环境变更产生的动态情况进行安全策略的制定,这就是数据的脱敏、加密等技术保护措施的实施动因。
在现代企业中,静止数据的安全措施总体上是有一定基础的,相对于动态数据而言也是更加丰富和完整的。比如物理的机房准入,网络的访问控制,防火墙的管理,用户访问权限,数据生命周期的管理等等。薄弱点在于动态数据部分。比如,当一份生产数据要传输到第三方,这个时候如何处理?谁负责这个事情?具体要做什么处理?谁实施这个操作?在什么地方进行?这些内容,就容易出现空白。
所以,数据安全分类分级工作,要从企业实际情况出发,不是枉顾实际情况,单纯援引理论直接单搞一套重复建设,而是要和企业已有的安全基础设施、制度体系框架、组织结构和流程机制等结合,从痛点入手,查漏补缺,快速的补短板,形成一套更加完整的数据安全管控体系。
而这套体系如果仅仅停留在《办法》、《规范》、《指引》上,那还是不接地气,最终要平台化、系统化。通过数据资产盘点、数据标准制定、数据安全定级的索引,再通过数据溯源定位好数据主人,基本上可以在系统平台上解决“WHO”的问题,就为如何动员组织能力提供了一个抓手。
把做什么想明白,把谁来做想明白,把怎么做平台化,这个就是这幅图想说的内容吧。

(欢迎大家加入知识星球获取更多资讯。)

联系我们

(0)

相关推荐