國內數據領域首部基礎性、綜合性立法來了！

7月6日，《深圳經濟特區(qū)數據條例》（以下簡稱《條例》）今天在深圳市人大常委會網站公布，并將于2022年1月1日起實施。
《條例》堅持個人信息保護與促進數字經濟發(fā)展并重，對市民深惡痛絕的APP“不全面授權就不讓用”、大數據“殺熟”、個人信息收集任性、強制個性化廣告推薦等問題說“不”，并給予重罰。隨著《數據安全法》等各項法律法規(guī)的陸續(xù)頒發(fā)，對于企業(yè)數據安全的整體戰(zhàn)略該如何規(guī)劃？

整體框架要點

●建立框架

管理層必須為制定數據安全戰(zhàn)略提供支撐，企業(yè)的職權范圍和指導原則決定了具體的標準、最佳實踐和框架。

●確定愿景

計劃的目標是特定于本企業(yè)的，聚焦于企業(yè)的競爭力、合規(guī)性或滿足數據主體的需求。

●商定范圍

使用確立的愿景，企業(yè)需就數據安全的范圍或廣度達成一致。范圍可能涉及多個步驟，并需要數年才能完成。

●制定戰(zhàn)略目標

基于數據、人員、流程、技術、規(guī)則，使用明確、可衡量、可實現(xiàn)、相關且有時限的目標。

●落實具體行動

為已確立的數據安全戰(zhàn)略目標制定行動計劃，落實誰來做、做什么以及什么時候做，管理層需保障資源。

●持續(xù)安全運營

安全運營是管理和監(jiān)控戰(zhàn)略成果的關鍵組件，建立安全運營指標以用于監(jiān)督和協(xié)調，同時提高全員的意識和流程參與度。

方法與思路

●場景驅動的方案具備落地性

企業(yè)信息化建設的核心目標是提高業(yè)務效率，數據的高效傳輸、分享和交換是實現(xiàn)這個目標的重要途徑。如果不能把握好保護的“度”，簡單粗暴的保護方法極可能與業(yè)務目標是相背離的。企業(yè)必須根據數據的類型、使用者、交換頻度來區(qū)分不同場景，采用不同技術手段予以保護，解決好“度”的問題，取得安全與效率的平衡。因此，企業(yè)應當充分考慮業(yè)務場景，以數據智能識別和發(fā)現(xiàn)為基礎，通過授權控制、智能隔離、安全流轉、審計追溯等手段，保護企業(yè)業(yè)務系統(tǒng)和終端上的業(yè)務數據，保證數據的高效傳輸、分享和交換。

●平臺化的解決方案會被重視

企業(yè)需優(yōu)先滿足最緊急、最迫切的監(jiān)管，優(yōu)先保護最重要、最核心的數據。隨著數據安全防護、終端補丁管理、安全行為管理、準入控制、基線管理、資產管理等各種安全管理系統(tǒng)在大型機構內部網絡中不斷部署，這些分散的、不斷增多的安全系統(tǒng)加重了管理負擔，且因缺乏統(tǒng)一的架構，數據難以集中，系統(tǒng)間缺乏協(xié)同，使得安全效果有限。企業(yè)需重視總體規(guī)劃，建立一個企業(yè)安全平臺，統(tǒng)一框架，數據集中，實現(xiàn)更強更智能的安全保護，可減輕安全管理負擔，降低采購和維護成本。

方案與工具

●摸清家底

數據梳理

制度建立

數據分級分類

敏感數據發(fā)現(xiàn)

遠程辦公場景梳理

●風險識別

終端明文留存風險

流轉通道泄露風險

內部外發(fā)行為風險

外部網絡入侵風險

安全意識提升工具

●管控落地

泛終端安全基線管理

數據安全交換通道

安全存儲與外發(fā)審批

業(yè)務系統(tǒng)安全保護

安全水印與可追溯

后記

隨著各項數據安全類相關的法律法規(guī)的出臺和執(zhí)行，對于企業(yè)而言，不管是個人數據還是公共數據都需要做到安全、合規(guī)等多項要求，作為網絡安全行業(yè)的從業(yè)者，聯(lián)軟科技也會在數據安全治理等多方面深入挖掘，研發(fā)和實踐，為更多行業(yè)用戶打造更加堅實的數據安全未來！