首页 > 关于我们 > 新闻动态 > 公司新闻

实践淬炼 | 启明星辰集团数据安全治理体系解“DSMM认证”难题

发布时间 2021-09-03

在全球信息化进入全面渗透、跨界融合、加速创新、引领发展的大趋势下,数据呈现爆发增长,也带来了前所未有的风险与安全挑战,对数据资源应用能力的强弱日益成为衡量政企竞争力的关键因素。


2020年《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》指出,“加快培育数据要素市场”。数据已被视作与土地、劳动力、资本、技术并列的五种生产要素之一,大数据作为重要的生产资源,对国家长治久安和政府执政能力提升具有基础性战略作用。


DSMM认证基本情况


DSMM是中国首部数据安全管理的国家标准,该标准自2020年3月1日开始实施,用来衡量一个组织的数据安全能力成熟度水平,可以帮助行业、企业和组织发现数据安全能力短板,相关主管部门也可以用于数据安全治理,提升区域的数据安全水平和竞争力,促进大数据产业及数字经济发展。


DSMM以企业或组织的数据为中心,围绕数据的采集、传输、存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力4个能力维度,按照1-5级成熟度,评判组织的数据安全能力。


实践出真知


安全是发展的前提,数据安全建设是政府行业大数据局用户的重点工作,启明星辰集团通过沉淀全国数十个大数据局项目实践经验,形成了独有的“基于业务防护能力场景化”的数据安全防护思路。


大数据局/中心数据安全需求及风险分析


数据采集:缺乏对ETL、FTP类接口的命令、内容监测管理,无法有效发现异常行为。


数据存储:数据通过明文存储,有外泄风险。


数据传输:数据明文传输,有外泄风险。


数据使用:业务人员、运维人员可通过相关操作直接接触敏感数据,恶意查询、修改导出数据,造成数据被篡改或数据外泄。


数据共享:数据共享给委办局后,委办局泄露后,数据资源局如何定责和免责。


数据销毁:数据销毁事件难以监控。


在“业务防护能力场景化”的数据安全防护思路指引下,根据大数据局的业务特点及安全需求分析,启明星辰集团以数据安全管理体系、安全技术体系及安全运营体系三大体系基础,结合相关法律法规标准要求,形成一套独有的完整的数据安全治理体系建设方案。根据相关法律法规标准及行业或地方要求,完善管理体系建设;结合数据使用流转的场景特点,融入数据安全技术防护体系,针对数据采集、存储、传输、使用、共享、销毁等不同的阶段场景需求,通过可视化数据安全治理管控平台进行个性化安全防护,实现业务系统场景化的数据安全运营建设。


数据安全治理.jpg


启明星辰集团数据安全治理体系对企业或组织来说,不仅仅是一套用工具组合的产品级解决方案,还是构建从决策层到技术层、从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条,整个体系以合规性要求为指导,按照DSMM数据安全能力成熟度模型要求,开展信息共享数据安全建设,通过管理体系与技术体系及数据安全运营体系服务的结合,进行项目落地实践。


数据安全管理体系建设


管理体系建设主要包括组织管理及制度流程梳理等方面,开展组织架构建设时,需考虑组织层面实体的管理团队及执行团队,也要考虑虚拟的联动小组,其中数据资源部门、数据安全部门、数据使用等部门均需要参与数据安全建设当中。成立数据安全组织其目的是明确数据安全的政策、落实和监督等工作,以确保数据安全能力建设的有效执行。


数据安全政策.jpg


数据安全技术体系建设


根据大数据局/中心数据安全的需求及风险分析,启明星辰集团以基于业务防护能力场景化的建设思路为指导,划分不同的业务场景,采用相应的技术及安全设备来解决相应的数据安全问题。


数据安全体系建设.jpg


数据安全治理管控平台(DSMP平台)在整个数据安全治理体系中,向上为各种服务能力的载体,向下则对接并管理各个数据安全体系,它是数据安全治理的中枢。


数据安全运营体系建设


通过安全运营服务,提供数据安全体系建设咨询服务、数据资产梳理服务、数据安全分析服务、数据安全评估服务及数据安全运维服务等。


安全运营服务.jpg


数据周期性风险评估


对用户进行定期数据安全风险评估,对于出现的漏洞等情况进行通告。安全漏洞验证团队得到告警后,开始对同类问题进行跟踪,与外部实验室共同跟踪、判断,感知是否存在大范围爆发的可能性。


数据安全监测


依托于数据安全安全管理平台,实时对网内出现的各类安全事件进行数据分析、问题跟踪,告知不同职责团队成员快速响应,及时处理问题。


数据安全漏洞验证


根据数据安全风险评估的数据结果,通过脚本方式对大范围数据进行验证。


数据安全驻场运维


根据数据安全问题,快速进行现场响应,并对恶意攻击行为进行取证,对于恶意样本进行采样,为用户编写现场取证报告。


数据安全整体展示


通过对数据安全全方位的监测分析,实现数据安全可视化展示,包含敏感数据风险视图、敏感数据事件视图、敏感流转视图、数据安全合规视图、数据安全态势视图。


当前,启明星辰集团数据安全治理体系已在全国范围内数十个大数据局得到深入应用部署,并成功助力无锡大数据管理局,拿下“全国首个政务场景DSMM三级认证”,帮助无锡大数据管理局形成层层设防,重点突出,策略联动,管理为上的防护能力,极大提升了用户数据安全管理水平,满足了未来几年信息安全建设的需求。


数字化浪潮席卷各行各业,保证数据自由流动、充分发挥其价值的前提是塑造安全的数据环境。


启明星辰集团数据安全治理体系可以帮助企业或组织理清数据安全现状,及时发现企业和组织的数据安全能力短板,协助企业或组织通过DSMM相应等级的建设,提升企业或组织的数据安全能力,在一定程度上降低数据安全事件给企业组织带来的不良声誉影响和可能的经济损失;同时助力企业或组织提升数据安全管理人员的技能、安全意识,确保已建立的数据安全保障体系有效运转和持续提升,从而整体上提升企业的数据安全水平,从数据的安全保护、合规使用到数据的开发利用,帮企业或组织为数据生产要素价值的实现打好基础。


作为行业内最早布局数据安全的安全企业,启明星辰集团已拥有十余年的数据安全技术积累与实践经验,在政府、公安、医疗等行业得到广泛的应用部署,2020年集团数据安全产品收入约6亿,得到了行业与用户的持续信赖与选择,成为数据安全市场的领军品牌。


目前,《数据安全法》的实施开启了数据安全新时代,数据安全已上升至国家战略高度,集团将紧跟国家发展战略机遇,持续加大数据安全技术研发投入,深入用户数字化场景,持续整合数据安全创新能力,形成数据安全交付的持续升级,护航“数字中国”高质量建设与发展。


上一篇 下一篇