探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击 "合规社" > 点击右上角“···” > 设为星标⭐
图
说
安
全
「 图说安全」,洞察在简明。
「 图说安全 」栏目通过将复杂的安全知识简化为直观的图形,揭示每个议题的核心要点,帮助您迅速理解问题的本质,从而深化对安全的认识。
本期【图说安全】
网络和数据安全框架的五个模块
▽
01.
概述
文章《数据安全的三个目标:合规、风险和业务》从业务角度提炼了数据安全的三大核心目标:
确保”安全合规“
“控制主要风险”
“支撑业务发展”
从安全或技术的角度来看,网络和数据安全的核心目标则概括为CIA三要素:
"保密性"、
"完整性"
"可用性"
最近,一直思考网络和数据安全框架的实质是什么?以及如何将其有效落地?我认为,网络和数据安全的核心关键模块可概括为五个方面:
"安全合规"
"安全管理"
"安全建设"
"安全运营"
"安全审计"
本文从宏观出发阐述这些模块的重点内容,并结合实践经验探讨它们之间的相互关系。
02.
“图”来源
从2019年起进入数据安全领域,虽然起初是一张白纸,但得益于扎实的IT基础,积累相对较快。回顾初学阶段,我接触了许多数据安全专家,并参与了标准化的工作内容,这些经历为我提供了正确的理念和清晰的学习路径。
我常自问:“对于那些希望入门或转行从事数据安全工作的人来说,我应该如何向他们介绍这个领域,有哪些学习路径可供参考?”
这次整理网络和数据安全领域的框架和模块,以避免初学者一头扎进复杂的管理办法和标准规范中,借助此文希望给大家提供一些启发。
03.
“图”说明
图1:网络和数据安全框架的五个标准模块
1.五个模块的核心内容
企业内无论是安全管理部门,还是数据部门、业务责任部门,都需要识别梳理清楚合规要求,形成合规清单。这些合规要求包括法律法规、标准规范、企业管理要求、客户合同约束、行业监管、网信安监管等。
此外,数据业务领域合规会增加“数据处理活动过程”的合规要求,比如数据源引入合规、与第三方业务合作的安全责任与义务、对外部数据处理的监管要求等。
安全管理,应先识别上述提及的安全合规要求,再转化成企业安全部门的工作内容,通过组建安全管理团队,组织开展安全相关工作。内容上包括制定安全考核并落实执行、建立安全责任制和符合企业的安全管理制度体系、安全意识教育培训、组织开展安全检查、做好企业信息和数据资产的管理、安全管理和监督检查等工作。
此外,首先,通过建立应急管理体系和进行应急演练,可以提高对环境的熟悉程度;其次,在发生安全事件时,快速响应和快速处置能够实际解决问题。
安全建设更多指安全能力的建设,无论是安全防护技术还是安全监测、检测技术。安全管理措施、信息系统的安全防护和安全检测措施,均需要安全技术手段支持。关于安全技术能力建设需要从企业层面和系统层面分别考虑,企业层面更多是集约建设能力,比较适合安全检测能力或者可覆盖多个系统复用的情况。系统层面是针对每个系统的业务特点进行针对性配套建设的情况。
此外,安全建设阶段的安全实施方案、安全配置、上线前的安全测试等是关键环节,核心思路是对安全建设的工具或产品,需要正确的配置和正确的使用。
在数据安全领域安全运营逐渐成为重点,安全管理要求的落地实施、安全技术能力的运行维护、信息系统安全稳定运行,均需要通过安全运营。从工作内容上,安全巡检、安全报告、漏洞检测、问题处理、应急响应等都可以归属到安全运营,也可以参考典型IPDRR模型管理(识别、防护、检测、响应、恢复)。建议把信息资产、数据资产、API接口、数据资源目录、网络暴露面等作为重要管理对象。
此外,对于安全参数配置、安全功能启用、业务层的安全类似开关(缓存、副本)、账号权限等也是安全运营的关注点。
包括内部审计和外部审计两个层面。其核心任务是对"安全管理要求"和"日常安全工作"的执行情况进行核查和审计,以识别潜在的风险和隐患。安全审计不仅是安全管理体系中的关键闭环环节,也是确保安全措施得以有效实施的重要手段。尽管许多人一听到"审计"这个词就会产生紧张和抵触情绪,但实际上,尤其是内部审计,在日常工作中的开展频率相对较低,它更像是一种更为严谨的安全检查,而非真正意义上的问责性工作。
安全审计的目的不在于追责,而在于通过系统的核查,发现问题、提出改进建议,从而推动安全管理工作的持续优化和提升。
2. 五个模块的关联关系
业务需求是安全工作的起点,必然引入很合规要求,其中就包括安全合规。企业安全管理的首要任务是深入理解这些要求,并将它们转化为切实可行的工作计划。在管理层面,重点在于通过监督检查和考核来确保这些计划的有效执行。安全建设则着眼于通过建立和完善安全技术手段及系统,来提升企业的安全管理和系统防护能力。
信息系统建立后,安全运营成为其日常运作和维护的核心。安全运营以**"资产、人员、流程"**为中心,通过集约化和流程化的管理提高工作效率,确保安全措施得到有效执行。而执行效果的评估,则依赖于安全检查和安全审计。
我们可以将安全工作的流程概括为:
在实际操作中,这些环节往往相互交织,需要我们根据不同的工作内容和目标,灵活切换到管理视角、执行视角或审计视角,以全面理解和应对复杂的安全要求。
04.
“图”实践
《网络数据安全风险评估实施指引》从评估内容分为四大块:“数据安全管理、数据安全技术、数据处理活动、个人信息保护”,但是整体风险评估项近400项,数量庞大而且抽象。可以借助本文提出的五个模块的思路,进行理解,比如分成制度要求层面、落实执行层面、安全审计层面、安全能力建设层面。
图2:《数据安全风险评估指引》管理模块
以风险评估中“数据安全管理”举例两点,如下:
1. 管理制度的评估要点
****✅****通常是先检查是否建立相关安全制度;
******✅**这些制度体系是否通过公司正式发文;
******✅**制度是否定期更新;
****✅****制度在实际工作中的落地执行情况;
****✅****是否对这些落地执行情况进行安全检查和内部审计形成整个工作闭环;
******✅******整个过程中,是否留存相关的工作记录、文档、日志、文件等内容。
2. 合作外包管理的评估要点
******✅**是否制定合作方的管理制度;
****✅****与合作方签署的合同协议情况;
******✅******合作方的监督检查记录;
****✅****是否建立对合作方的安全检测能力等方面进行评估上述这些工作是否定期进行审计。
简要总结
通过合规执行制定要求(合规)、制定要开展的工作项(管理)、日常工作落实执行输出相关记录(运营)、借助安全技术建设完善安全措施(建设)、通过安全审计核查全流程工作的落地执行情况(审计)。
■作者:Smart
■编辑:郑烨
■审核:王贤智
-END-
「 图说安全 」专栏合集
一图说安全No.003 | “资产、风险、脆弱性、威胁”的整体关系
一图说安全No.004 | 信息系统及数据开发场地的安全要求
一图说安全No.005 | 数据安全的底座,图说密码技术应用
一图说安全No.007 | 国标《软件供应链安全要求》精要解读
**「 数据合规知识星球 」**是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。
「 星球 」之评估检查专栏整理并收录新技术应用安全合规评估工具(数据合规、AI、生成式AI、爬虫合规、个保审计等),如下图:
390+已加入
⬇️⬇️⬇️