不同视角的企业文件数据销毁安全工作,如何做好?

梦舞清愁 2024-09-02 09:52:54

从事IT技术近20年,做过数据运营和数据分析,再到后来的数据安全管理、项目系统的安全建设和运营,最近聚焦“数据业务新形态的安全合规”,所接触的信息系统超过500+个,从中看到了大量IT共性问题不断重复上演,既有基础安全问题也有像数据安全的新型问题。结合个人经历,整理“企业数据安全工作的开展思路”,给大家提供一些启发。关于数据安全工作开展,可从个人和企业两个维度进行理解。个人学习数据安全,需要掌握基础知识和配套的工作技能,在企业的具体工作中发挥价值。企业投入资源开展安全工作,目的是通过一系列的工作和流程,建立安全组织,寻找专业人才落实具体工作,最终满足合规、控制风险和支撑业务,这是大部分甲方企业的安全工作路径。

个人视角的数据安全

从个人角度,该如何入门数据安全,有哪些可靠的路径,如何快速高效的学习、获取数据安全相关知识?拥有一定的基础知识后,如何在企业安全工作中落地实施,在具体工作经历中,总结出可复用的“模式”,当再次面对同类工作时,能否比较熟练和高效的完成工作,并把这些模式传递给新同事。再往前一步,从这些“模式”中抽炼出一些通用的“框架体系”,能够覆盖并解决不同场景下的问题,形成不同行业也能复用的方法论,值得深入研究。

企业视角的数据安全

从企业角度,为什么要花费资源开展安全工作,主要是内/外部的合规驱动,比如法律法规要求、外部监管要求、业务合同约束、行业主管要求和企业内部管理要求等等。因此,企业内产生安全合规需求时,通过组建安全部门,明确部门的职责和工作范围,配备安全岗位,并通过招聘获取专业人员,推进完成工作。企业满足安全合规只是基本前提,需要进一步控制主要安全风险。开展具体的安全工作时,通常以“时间线”方式进行组织,时间频率包括“年、半年、月、周”。

首先需要明确安全工作包括哪些大的工作内容?比如安全制度体系的建立、安全技术能力的建设、内外部合规监管的支持、安全应急响应与处置、重要节假日活动的保障和安全技术工作支持等等。

其次需要确定企业安全年度目标是什么?制定企业考核的关键指标进行量化评估,思考每年常态化的基本工作有哪些?想要重点突破的专项工作是什么?再细化成每个月的工作项,也需要包括一些日常事务性的工作任务。

最后采用“周维度”工作思路,跟踪每个大条块工作的进展和相关问题。

简要总结,安全部门梳理出有常态化的工作内容,在日常工作中开展落实,最终串联成整个“年度安全工作成效”,总体上属于偏管理类工作。涉及安全技术类工作时,通常启动项目方式进行安全能力建设,或配套搭建开源技术进行补充,这是大部分企业安全工作的共性路径。

早期的数据安全是“纯安全类工作”

在2019年,数据安全工作是一项“纯安全类工作”,是网络安全的另一个分支。个人信息因为个人信息保护监管动作较多,APP与用户直接接触,工作比内容比较显性化,往往单独成为另一个分支。作为“纯安全类”的数据安全,主要包括安全管理和安全技术。安全管理方面,涉及组织架构、教育培训、制度体系、应急管理、重要保障等内容,安全技术方面,通过建立数据安全的专有能力,比如防泄漏、加密、数据脱敏、数据水印、数据备份恢复等等。想起2019年,需要从零编写集团的《数据安全管理办法》,基本没有可参考的范本,从最后完成的定稿内容看,包括“安全原则”“组织与职责”“工作机制”“数据安全全生命周期管理”“分类分级”“三同步”“日志管理与审计”“账号与权限”“举报投诉处理”“应急响应”等,确实属于“纯安全类”工作。2

现在的数据安全融合“业务、合规和安全”

2024年的数据安全工作扩展迅速,增加了很多非技术性内容,包括“数据处理活动的安全要求、数据业务合规引入、数据合作方的管理、数据合规安全”等。此外,“数据投融资、数据分类分级、数据安全运营”也作为重要研究内容之一。在技术层面,更加重视“用户身份和权限管控”,包括统一的身份管理、识别、验证等。目标是管理“人、应用、系统”等主体对象访问数据的入口,更加关注多种类型的权限控制。例如:人的权限、设备权限、网络权限、数据权限、系统权限、应用权限、接口权限“等。此外,像大数据平台的安全、数据加工处理过程的内部安全,需要进行更加细致的整体设计。3

数据要素兴起,促使数据安全渗透率极高

数据作为生产型要素,业务属性明显增强,数据资产逐渐成为了企业的核心议题,涉及数据应用或数据业务时,企业必然会提及“数据安全是怎么考虑的?”如果说在2019年的数据安全是新鲜事物,到了2024年的数据安全渗透率变得极高。在数据要素的影响下,像传统的数据安全管理、数据安全技术都比较成熟,数据安全开始往“业务属性和合规属性”方向延伸,不仅仅是一项纯技术工作,需要业务、合规、法务、安全、数据等多类角色参与,他们都需要储备数据安全知识。在具体的工作内容上,也延伸出很多其他重要事项,比如“数据梳理活动、数据产品开发、数据合法引入、第三方安全管理、数据安全风险评估”等。

编辑搜图数据安全工作内容扩充到了业务、数据、合规等多个层面,如文章开头所述,可以从个人和企业两个维度整体考虑。由于数据安全工作往往比较抽象,想要比较好的落地与实施,需要全方位、多视角地整体设计,比如从甲方视角思考,也需要从监管视角和安全厂商视角等方面进行分析。

了解监管核心要求和新动向

从合规监管视角看,哪些是监管机构必须检查的标准动作,最新的监管动向是什么?例如在2024年比较明显的趋势之一是“全国推广数据安全风险评估工作”,现在提及数据安全,风险评估是无法绕过的话题,针对这个事情,个人有几个相对明确的认识,如下:

数据安全风险评估是重要的监管手段,它能全面的梳理和识别企业的数据资产情况和风险情况,但是耗费较多的企业资源(人力),需要逐步实施。

数据安全风险评估对象整体企业,具体落地实施的对象可选取一个业务条线,也可以是一些数据重要处理活动,采取“全面摸排、重点评估”工作思路。

目前不会像等保测评一样,成为一项强制性要求的工作。当前处于发展推广阶段,企业自评估、外部评估形式都可以,对第三方评估资质也没有明确的要求,鼓励企业建立评估机制。

宏观上国家目标是建立一套全国层面的数据安全的评价体系,整体降低数据类的安全风险。数据安全目标之一是“控制主要风险”,国家、行业、企业、安全部门对“主要风险”定义是不同的,国家层面考虑的是国家数据安全整体风险,类似我们法条和法律法规中的“国家安全、政治安全、社会公共秩序”等,防范数据带来的系统性安全风险。

2

安全厂商的新挑战:嵌入数据业务处理活动

数据安全作为一个复杂事项,尤其融合数据要素业务、数据合规内容后,增加了很多业务层面、流程层面工作,它变成了一个“细致”的工作。个人认为数据安全颗粒度是“数据”,不像网络安全的颗粒度是“系统”,它需要结合数据处理多种活动去发挥数据安全产品的作用。像很多外挂式的安全产品,在不理解甲方业务和数据处理活动,很难嵌入业务生产流程中,无法实现安全防护想要的效果。因此,现阶段的数据安全工作需要转变思路,以数据处理活动为核心流程,转变到以“风险”的视角,识别所有处理活动中可能出现的风险,需要使用哪些安全管理措施和技术措施去降低风险,再考虑需要哪些安全产品。类似前几年大量建设的大数据平台,相关数据安全产品几乎全量配置,相关安全隐患凸现。从安全措施清单列表看,配置非常丰富,包含各式各样的安全功能,从合规层面看“非常安全”。由于早期的安全检查比较粗,核对“安全措施清单”验证安全能力,但按最新的“数据安全风险评估”机制,需要进行详细的技术验证,这些技术措施的实际应用效果经不起检验。造成数据安全产品“空置率”超级高的主要原因有两个,一是没有正确配置使用或者用1-2个“非生产场景应付式的配置”;二是从业务层面,没有具体的业务场景能让这些安全产品有用武之地,导致这些产品处于“沉睡”或者“未激活”状态。

编辑搜图在介绍我们整体构思的“数据安全整套课程体系”前,先简要介绍个人对“学习”这件事情的理解,以及长期自我坚持的一些底层逻辑。

保持“对知识诚实”的严谨态度

李录的《文明、现代化、价值投资与中国》,书中提出个人学习时要保持“对知识诚实”的态度,对我影响很大。坚持“对知识诚实”的人,会努力去揭晓谜底,对知识的“真懂和不懂”做到心里有数。不过,我理解这个“懂”是一个持续性的状态,现在的“不懂或半懂不懂”,通过不断的学习和持续的关注,原先的“不懂”会慢慢形成自己的一些见解,是一种典型的成长型思维模式。简要总结,学习是培养对信息的理解力,理解力需要大量的知识作为铺垫,再寻找知识之间的关联关系,并在实际工作中实践应用,形成一定的框架体系。2

通用知识的重要性

在教育领域,吴军的《大学之路》详细阐述了“纽曼式的大学的通才教育”和“洪堡教育体系的专才教育”的特点和区别,因历史时代的不同需求,各有优缺点。个人更倾向于通识教育,它属于厚积薄发,后期有更强的持久力,拥有大量的基础知识作为铺垫,能更大的概率培养出优秀品质和综合才能。顺带提一句,查理芒格是通识教育的参照样本之一,有兴趣的可以扩展阅读我写的《吴军《大学之路》,探讨什么是最好的大学?》3

不同视角看“同一件事情”更完整

最早在乙方大公司工作时,导师教会了我开展工作要逻辑清晰,做事情建议先列个“1,2,3,4”。作为乙方,始终以服务的心态做好事情,即使后来十几年的甲方履历,也是“理性优先、客气待人”。另一方面,个人从事技术工作,后来做数据运营、安全管理,再到具体项目系统的安全建设,企业的整体数据安全管理,大量的内外部的监督检查经历,养成了从不同视角看同一件事情的思维。换句话说,比较清晰的知道不同视角下的“各方需要”,因此在整体构思和设计工作时,能比较简洁高效的相对匹配上各方的需求。

课程开发初衷:做一件有价值、有意义的事情

最近几年一直保持成长型的心态,在工作实践中积累沉淀,也一直坚持内容输出,把完成工作之后获取的经验和想法进行整理和总结。大量的学习输入和总结输出,对“数据安全工作”的理解更加整体和宏观,会融合不同视角看待问题,把想法在具体工作中落地实践。如何把一些工作经验和安全理解,比较通俗易懂地呈现出来,传递给需要的人,对个人而言变成一件非常有价值和重要意义的事情。对于数据安全工作的理解和整体构思,一直在优化,比如最近把数据安全工作抽象成两大类,一类是数据安全所需要的基础知识和核心技术,它们是通用知识类。另一类是数据安全工作开展所需要熟悉的流程、事项和机制等,它们是工作实践类,能解决企业的实际问题,完成工作的落地实施。

课程设计思路:整体构思、严谨务实

在设计数据安全整体课程体系时,也是从实践开始,起步阶段更多是工作经验的总结与沉淀,逐步形成的体系化框架。

一方面,需要从甲方角度去考虑数据安全工作该如何开展,期间会可能遇到哪些大坑,有没有一些可落地参考的工具实践模版,个人理解这些实践的经验和内容非常重要,效果也很明显,也能直接在企业内开展工作。

另一方面,个人更推崇“纽曼式”通识学习方法,在快速掌握实践经验时,更需要大量积累数据安全通用知识。

在企业推进数据安全工作落地时,经常会遇到其他部门的挑战和质疑,处理不好容易失去信任。如果我们有较强的专业能力,在遇到困难时能专业讲清楚工作的来龙去脉和背后的技术原理,相信这类“质疑”反而成为其他部门和我们建立信任的机会。

打磨一套体系化的数据课程体系非常艰难和辛苦,尤其需要融合各类专业知识和各个需求方视角。我们本着对知识诚实的心态和持续成长型的心境,期待把对数据安全的经验和思考转化成一门有价值的课程,一同推动数据要素发展和数据安全管理落地。

在整体设计上,以务实实用为原则,从实践出发,此次数据安全管理课程系列包括六大模块,分别是安全通识模块、合规管理模块、制度体系模块、安全管理模块、安全保障模块和监督管理模块。

0 阅读:0

梦舞清愁

简介:提供销毁和处置,为IT圈服务,伴CIO成长