安全能力框架(IPDRR)是美国国家标准与技术研究所(NIST)的经典安全框架(简称NISTCSF )。第一个版本于2014年发布,旨在为寻求加强网络安全防御的单位提供指导。单位可以根据自身需求加强网络安全防御。IPDRR模型体现了安全保障系统化的思想,管理与技术结合来有效保障系统核心业务的安全。通过持续的安全检测来实现IPDRR的闭环安全,为用户提供完善的安全能力框架和支撑体系。 作为以“数据资产”为核心的安全保障体系,数据安全建设需要重点关注数据如何流转和被哪些人访问。同时,数据在不同的业务系统中流转,与不同的业务和应用形成了缠绕和交织。这些特性深度契合IPDRR框架“面向业务的安全治理”理念,因此,通过IPDRR的理念指导,结合数据安全领域的长期实践,构建出数据安全保障体系总体框架。
数据安全管理体系主要覆盖决策、治理和执行单位,以及相关管控制度体系。首先开展机制、单位、流程、 制度梳理,识别数据安全管控能力:一是明确当前整体单位架构中专属数据安全管理的单位架构,识别数据安全的岗位、 职责和工作范围,梳理相关数据安全责任边界、管理流程等,梳理相关责任人员的知识、能力、技术特长等;二是面向数据安全管理相关文档进行梳理, 多层级管控文档是否健全,同时针对客户当前管理体系中数据安全集成的现状进行梳理和完善,包含业务管理、数据管理、信息系统管理、 人事管理等相关文档制度体系。然后是基于现状和差距分析完善数据安全管控能力,进行数据安全管理体系建设。
数据安全技术保障体系将在网络安全保障体系的基础上面,以数据安全为核心,通过安全叠加演进的方式对安全管理体系、安全技术体系、安全运营体系在数据安全层面进行优化设计,以满足在新形势、新环境下大数据安全防护的整体需要。贯彻国家网络空间安全战略,保障关键信息基础设施安全,满足政策合规性要求,统筹全体系数据安全支撑能力。以内生安全理念,结合数据风险管控与信任评估模型,对数据安全“识别、防护、检测和响应”四个维度构建数据安全技术保障体系。
数据安全运营是常态化数据安全持续保障的必备手段。以“识别”为始,以“响应”为终,整个过程可称之为“持续运营”。数据安全运营服务是一个技术专家+流程+平台的多维运营工作,让管理流程与技术平台闭环形成保护体系,使专家运营发挥最大效益。
数据安全体系建设以重要业务和数据为对象,以内部人员使用安全管理为重点,以安全大数据智能分析为抓手,构建基于云计算、大数据,覆盖“管理、技术、运行”的立体化保障体系。实现如下目标:
通过快捷有效的数据安全检查手段,快速发现历史安全事件和明显短板,并及时跟踪处置,降低数据泄露风险。
根据法律法规标准中数据安全相关技术要求,建设相应数据安全技术能力,满足合规条目,并实现有效应用。
建立健全数据安全管理制度,落实数据安全管理机制,建立数据安全技术防护体系,实现数据安全识别、防护、监测、响应工作闭环,开展数据安全常态化管理运营工作。
