数据安全治理防护,需要以组织管理、规范制定及防护溯源工具相结合的方式,实现数据的深度防御和精准阻断。
一、组织管理
数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,并确保数据安全治理的有效落实。成立的机构可以称为数据安全治理委员会或数据安全治理小组,机构的成员由数据的利益相关者和专家构成。这个机构通常是一个虚拟的机构,这里之所以称之为利益相关者,是因为这些成员不仅是数据的使用者,也是数据本身的代表者、数据的所有者、数据的责任人。数据安全治理委员会或数据安全治理小组,这个机构本身既是安全策略、规范和流程的制定者,也是安全策略、规范和流程的受众。
二、规范制定
在数据安全治理过程中,最重要的是实现数据安全策略和流程的制定,即制定《数据安全管理规范》(以下简称《规范》)。所有的工作流程和技术支撑都是围绕《规范》来制定和落实的。《规范》的出台往往需要经过大量的工作才能完成,通常包括:
(1)梳理出组织所需要遵循的外部政策,并从中梳理出与数据安全管理相关的内容;
(2)根据该组织的数据价值和特征,梳理出核心数据资产,并对其分级分类;
(3)厘清核心数据资产的使用状况(收集、存储、使用、流转);
(4)分析核心数据资产面临的威胁和使用风险;
(5)明确核心数据资产访问控制的目标和流程;
(6)制定组织对数据安全规范落实及对安全风险进行定期核查的策略;
(7)整个策略的技术支撑规范。
三、防护溯源工具
通过业内数据扫描发现系统快速、高效地识别出组织内部敏感数据及其分布位置,同时借助工具对敏感数据传播途径进行防护,如电子邮件、U 盘复制、文件打印、网络传输等。对于已发生泄密事件,如拍照、文档外传等,通过数字水印技术,可以对泄密进行追溯。从技术层面来说,这对员工泄密可以起到震慑作用,以有效预防员工泄密事件发生。