导读
数字经济时代,数据作为重要生产要素,已经成为决定数字经济发展水平和竞争力的核心资源,数据安全不仅关乎公民个人权益,更关乎企业、产业的健康发展以及国家安全。在产业数字金融实践中,服务金融机构的科技企业应如何促进数据安全管理?继上一篇文章讨论数据分类分级(点击阅读)后,本文将解读科技企业进行数据安全管理的另一抓手——数据安全风险评估。
1、数据安全风险评估:想说爱你不容易
《数据安全法》第四章第三十条明确提出,重要数据的处理者应定期开展风险评估,并向有关主管部门报送风险评估报告。所以,企业做好数据安全风险评估既是满足法律合规要求的必要手段,也是尽早发现自身数据安全短板的重要方式。有效的数据安全风险评估体系能为企业建立健全数据安全管理体系给出解决方案。
融合、开放是数字经济的时代特征,企业之间必须彼此合作赋能、共建生态。服务金融机构的科技企业在开展业务时必然涉及众多参与主体,加之数据驱动、平台支撑、网络协同的业务模式,导致作业过程中存在着海量的数据。这些数据来源繁杂,常常在多系统多环节留存,流转难以追踪和控制,安全风险隐匿性强、涉及面广且评估困难。企业在开展数据安全风险评估时,主要遇到两个问题。
缺乏兼具业务与技术背景的人才
这是创新业务的普遍困境。受制于此,目前数据安全防护手段侧重于保证静态数据安全,对数据流动过程中的安全风险评估和监测则触及有限。
缺乏有效的评估体系
面对海量数据,需要设定一套具有针对性、专业性、客观性的有效评估体系。而传统的数据安全风险评估多以调研方式开展,难以覆盖数据的全生命周期和全应用场景,容易产生风险遗漏,某些情况下评估主观性较强。
2、破局神器DSMM
幸运的是,这道执行难题并非无解。通用的风险分析基础原理主要是通过资产识别、脆弱性识别及威胁识别,分别计算出威胁造成损失的严重程度以及该安全事件发生的可能性,利用损失严重程度与事件发生的可能性得到风险值,最后赋予风险等级。基于以上原理,数据安全能力国家标准《信息安全技术-数据安全能力成熟度模型》(GB/T 37988-2019)、简称DSMM(Data Security Maturity Model)发布,为企业指明了方向。
数据安全能力国家标准DSMM
根据数据生命周期,DSMM分阶段采用了不同的能力评估等级,从而对数据安全能力进行综合考量:纵向角度,全生命周期分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段;横向角度,全周期中各应用场景分为组织建设、制度流程、技术工具、人员能力四个安全能力维度。参照DSMM 的评估标准,企业亦可以从以下两个方面进行安全基线及漏洞风险交叉评估。
全生命周期维度的风险评估
在数据通用过程中,企业应主要关注数据合规、数据泄露、数据篡改、数据非法访问及数据不可用等风险。
● 数据采集阶段:关注数据采集的合规性,如是否遵循最小可用原则、是否实施数据分类分级、是否完成数据源鉴定;
● 数据传输阶段:关注数据泄露及被篡改风险,考量数据传输加密、网络可用性管理,身份验证、签名验证等因素;
● 数据存储阶段:关注数据泄露及数据不可用风险,考量存储介质安全、逻辑存储安全、数据备份和恢复安全等因素;
● 数据处理阶段:关注数据泄露及非法访问风险,考量数据脱敏、数据分析安全、数据正当使用、数据处理环境安全、数据导入导出安全等因素;
● 数据交换阶段:关注数据泄露风险,考量共享安全、数据发布安全、数据接口安全;若涉及动态脱敏、静态脱敏技术,则要求共享的敏感数据具备可追溯性;
● 数据销毁阶段:关注数据泄露风险,考量数据销毁处置、存储媒体销毁处置安全因素。
场景化维度的风险评估
从数据应用及使用场景出发,企业应主要关注数据泄露、数据篡改、数据非法访问及数据不可用等风险。
● 开发测试场景:主要关注流程合规风险(数据提取申请)、数据泄露风险,如数据提取过程的操作风险、脱敏数据传输安全、脱敏数据进入到测试环节后的泄露风险等;
● 数据运维场景:主要关注内部的运维人员及其操作带来的威胁,比如数据不可用、数据篡改、数据泄露等风险;
● 应用访问场景:指用户从各种应用作为入口对数据进行访问的行为,即用户通过应用程序对数据进行增、删、改、查等相关的操作过程,主要关注数据泄露、数据未授权访问、数据篡改、数据不可用等风险;
● 特权访问场景:因特权账号主体可能会违背“知其所需”的原则,主要关注数据泄露、数据篡改及数据未授权访问风险。
此外,聚焦到产业数字金融业务,还有针对电子仓单、预付款融资等业务场景的数据安全风险评估。经过完整的数据安全风险评估流程,企业能有效识别风险、并最大限度规避风险。
数据安全风险评估流程
数据安全风险管理的市场巨大,且对专业性要求颇高,目前市面上有不少专业咨询公司深耕这一领域,如全知科技、美创科技等,它们通常有着非常深的技术理解,可以帮助企业通过技术手段有效提升数据分类分级的效率。
总 结
数据安全风险的评估建立在对业务及运营流程深刻的认识基础上,技术固然会带来效率上的提升,但是识别复杂场景、并根据场景给出灵活高效的解决方案才能从根本上解决问题。在产业数字金融的实践中,作为一家懂金融的科技公司,559966宝马娱乐游戏针对数据生命周期的不同阶段以及风险交叉评估结果匹配相应的风险策略,建立起数据安全管理的坚强防线,从而更好地赋能金融机构的数字化转型。
参考文献:
【1】中国人民银行:《金融数据安全 数据安全分级指南》
【2】全国信息安全标准化技术委员会:《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)
【3】 德勤:《数据治理实践——数据安全管理》
【4】 IBM 商业价值研究院:《强监管、强合规下的金融机构数据治理应对方略》
【5】沙利文:《2020年中国数据管理解决方案市场报告》
【6】51 CTO博客: 数据安全风险评估总结(二)——基于场景进行安全风险评估https://blog.51cto.com/u_9652359/3520569
