相对于传统以安全技术能力建设为主要目标的数据安全管理平台方案,安华金和数据安全运营管控平台(DSP)将管理体系以及运营体系提升到与技术能力建设同等的高度。换言之,如果想要构建一套综合性的数据安全平台,那么参与到相关数据安全建设中的角色也必然会是多样的;除传统意义上利用技术工具来执行操作的数据使用人员之外,数据安全的管理方和运营监管方也要具备相应的手段来完成自身角色所承担的任务,实现“管理、技术、运营”三个体系相辅相成,共同将整体解决方案真正落地。
数据安全为什么需要“运营”
在安华金和看来,开展数据安全运营体系建设,应以实现“可持续化的数据安全运营能力”为目标——将数据安全管理体系建设与数据安全技术体系建设二者以有效运营的方式持续推行并使用下去。因此,区别于传统以“技术建设”为主的数据安全平台类产品与解决方案,“运营”在DSP中占据了相当大的比重!那么问题的关键就在于,为什么在已将大量安全技术能力交付给客户之后,还要投入如此多的精力去做“运营”呢?
结合上面提到的两大数据安全体系建设可以发现,落实管理体系的规范和流程,以及发挥技术体系的安全监测与防护能力,是在解决关于数据安全措施“有和无”的问题;但除此之外,仍需要完善且常态化的运营能力来解决“能用和好用”的问题,唯有这样才能让管理体系建设真正落实到日常数据安全工作中,同时让技术体系建设充分发挥其能力和效用。
通过持续优化数据安全策略、推动数据安全规范要求与业务相结合,并针对已发生数据安全事件的处理方式及后续风险提出整改措施等,实现“从制度指导与策略制定,到事件识别与风险处置,再回归到优化改进制度及策略”的运营闭环。
在安全能力建设的前期,“安全管控”无疑是建设的重点;而伴随安全管控手段的逐步完善,如何将安全管控日常化,以及如何在持续使用中完善并优化安全管控的措施和策略,从而令前期对安全能力建设的投入发挥更大的能效价值,则成为后续建设的重点。安华金和通过构建数据安全运营管控平台,致力将数据安全运营提升到一个全新的高度,即通过“运营”让安全监测与安全管控更具目的性,即让客户不止于“能用”,还要让客户感到“好用”,并“持续地用起来”。
数据安全该如何“运营”
根据运营工作的内容,可将运营体系划分为“日常运营和运营监管”两个方面,分别指向日常运营的执行者与运营结果的监管方这两类角色。
1、日常运营
围绕日常数据安全工作进行的相关操作需求,通过数据安全运营管控平台,实现“集中化、规范化、流程化”的日常化数据安全运营目的。
须知,完成数据安全的“管理、运营及落实执行”是一个庞大且复杂的过程。在监管方明确工作任务的方向和重点后,执行者需要通过怎样的业务流程、技术手段和安全策略将具体工作落实下去,是日常运营工作的主要困难。安华金和数据安全运营管控平台通过“日常运营工作台、待办事项工作台”等界面呈现方式将日常运营工作规范化、流程化、指标化;以清晰的业务流引导人员需要做什么,以及先做什么、后做什么;以清晰的数字统计来引导人员需要做哪些具体工作,以及怎么去做,从而切实解决了相关工作落实执行难的问题,在提高工作效率的同时,也极大降低了人工成本投入。
以数据安全建设的第一步——“摸清家底”(发现/管理数据资产)为例,DSP在日常运营工作台中提供数据资产录入的快捷入口:
· 通过创建“资产主动发现”任务来识别网内的“沉默数据资产”;
· 通过开启“自动发现资产”引擎来识别网络通信流量中的“活跃数据资产”;
· 通过线下批量导入、API对接等方式,完成对“已知数据资产”的录入。
通过数字统计的方式来引导哪些资产需要核实,或哪些资产尚未被责任人和责任部门认领;根据责任人名下资产有哪些从未或近期未做过全面的数据安全状态评估,来引导资产责任人完成数据资产的综合安全评估,实现资产常态化的定级和安全状况摸底。
通过以上工作台的引导,让负责“日常运营”的执行者清楚知晓针对资产的发现和管理都需要做哪些事情,又有哪些相应的手段和措施,以及怎样在工作界面快速进入到业务流程中完成操作等等。
2、运营监管
建立运营监测中心,通过可视化的运营监管功能界面设计,从资产、数据、业务、合规、事件、处置、风险等多维度进行监管,帮助管理者全面掌握数据安全运营状况,为指导和完善数据安全防护能力提供专业、准确的参考依据和信息化支撑手段。
通过针对数据资产的运营,全面展示数据资产类型、等级与涉敏数据的分布情况,清晰呈现数据资产的安全综合评估状态、使用情况、访问源、认领负责人及归属部门等信息,从而帮助监管方掌握数据资产的整体管理状况。
通过针对数据安全合规的运营,了解安全标准实施、合规项符合度稽核、策略与资产关联等方面的实际情况,持续跟踪规范标准对应措施的落实效果;通过针对数据安全策略的稽核,可以跟踪策略的实际落实,掌握资产合规程度、数据安全措施和策略的应用情况。
通过对已经产生的数据安全事件的运营,了解不同数据安全事件的类型分布,识别频发的数据安全事件来源,为相关数据安全建设提供目标性的参考;根据数据安全事件发生的趋势,对相关建设成效进行直观呈现;根据所发生的安全事件在数据资产中的对应分布状况,锁定安全事件高发的数据资产,界定出需要予以重点关注的数据资产范围;根据数据安全事件的状态稽核,通过量化指标帮助监管方了解数据资产负责人对安全事件的处置数量和进度。
通过对数据安全风险的运营,可视化展示数据安全风险类型的分布情况,直观指出数据安全建设薄弱或缺失的环节,为完善数据安全工作提供准确性的指导;根据数据安全风险趋势,可以让监管方直观了解安全建设的效果是在持续提升,还是不断恶化。
通过“数据资产、安全策略合规、安全事件、安全风险”四大视角的运营手段,量化每个维度的数据安全管控建设指标,明确哪里做得好、好到什么程度,以及哪里做得有所欠缺、需要如何改进和优化等,从而不断丰富和提升数据安全建设的完整性和成熟度。
以数据资产管理的运营监管为例,DSP可提供“数据资产和业务资源”两种数据地图视角,通过可视化图表直观呈现数据资产的构成及分布状态、数据资产的登记/认领备案及安全状态、涉敏资产的分布状态、涉敏数据的等级及类型分布状态、资产使用方的状态等:
作为中国数据安全治理理念的提出者和践行者,安华金和基于多年来对大量行业客户在数据使用场景及安全防护需求方面的深入调研分析与实践经验积累,推出以“可实用、可持续”为设计初衷,“一站式、体系化”的数据安全运营管控平台——可集合包括数据资产梳理、数据库防火墙、数据库审计、数据脱敏、数据库运维管理、数据库加密等在内的各类数据安全产品优势于一身,通过可视化的信息呈现与工作引导,真正实现“统一部署、统一监控、统一管理、统一运营”的数据安全日常化、可持续的运营管控目标,是当前乃至未来很长一段时期内开展数据安全治理工作的优选方案,让数据使用更安全!
