(上海觀安信息技術股份有限公司��,上海 264001)
0 引言
隨著網(wǎng)絡信息技術創(chuàng)新持續(xù)進步和發(fā)展�����,我國的數(shù)據(jù)規(guī)模不斷擴大。在以數(shù)據(jù)為關鍵生產(chǎn)要素的數(shù)字經(jīng)濟發(fā)展歷程中����,數(shù)據(jù)要素憑借邊際成本低�、規(guī)模效應大���、流動性高��、可復用性強等區(qū)別于傳統(tǒng)生產(chǎn)要素的新特點����,對我國的產(chǎn)業(yè)上下游的融合貫通和產(chǎn)業(yè)數(shù)字化升級起到了關鍵作用�����。
數(shù)據(jù)資源目前已成為國家基礎戰(zhàn)略資源�����,數(shù)據(jù)確權、數(shù)據(jù)安全��、隱私保護等問題也隨之受到高度關注����。隨著數(shù)字化新技術、新業(yè)務的不斷引入�����,衍生出對數(shù)據(jù)安全的新挑戰(zhàn)。數(shù)據(jù)安全挑戰(zhàn)主要來自數(shù)據(jù)合規(guī)的滿足和數(shù)據(jù)安全風險防范����。
目前�,電信行業(yè)作為國家支柱性行業(yè)越來越重視數(shù)據(jù)安全合規(guī)�,電信行業(yè)監(jiān)管單位對數(shù)據(jù)安全合規(guī)的技術手段���、綜合管理手段也相繼提出了更多要求�。保障數(shù)據(jù)安全、確保業(yè)務穩(wěn)定運行��,已經(jīng)成為每一個電信企業(yè)應該嚴格遵循且持續(xù)保障的重點[1]�。
1 數(shù)據(jù)安全合規(guī)治理概念
在分析電信領域數(shù)據(jù)安全合規(guī)治理的主要內(nèi)容之前,需要先澄清兩個基本概念��,數(shù)據(jù)安全合規(guī)和數(shù)據(jù)安全合規(guī)治理���。
1.1 數(shù)據(jù)安全合規(guī)
數(shù)據(jù)安全合規(guī)指企業(yè)及其員工對于數(shù)據(jù)各種處理活動����,包括收集、存儲��、使用����、提供、轉移���、共享、發(fā)布����、轉讓�、刪除���、銷毀�����、跨境或非跨境傳輸、流動等保護的行為需符合國際條例和國內(nèi)安全相關的法律法規(guī),以及其他規(guī)范性文件��、行業(yè)準則��、商業(yè)慣例����、社會道德以及企業(yè)章程��、規(guī)章制度的要求����。企業(yè)數(shù)據(jù)可分為個人數(shù)據(jù)與非個人數(shù)據(jù)���,前者是指具有可識別性的個人信息��,如員工數(shù)據(jù)與客戶(用戶)數(shù)據(jù)��,后者是指與個人無關的數(shù)據(jù),如企業(yè)經(jīng)營數(shù)據(jù)、日常管理數(shù)據(jù)��、財務會計數(shù)據(jù)等[2]�����。
1.2 數(shù)據(jù)安全合規(guī)治理
數(shù)據(jù)安全合規(guī)治理是從組織最高決策層到執(zhí)行層自頂而下覆蓋整體組織管理架構的一套滿足數(shù)據(jù)安全合規(guī)的解決方案���,包含了數(shù)據(jù)安全相關管理制度��、流程、技術工具到人等的支撐層面,而組織內(nèi)的各層級�����、各部門均需要對數(shù)據(jù)安全合規(guī)治理的目標達成一致意見�,有利于內(nèi)部相互協(xié)同并采取適當?shù)拇胧┍Wo數(shù)據(jù)資產(chǎn)安全��。
數(shù)據(jù)安全合規(guī)治理理念主要圍繞“人員�����、流程����、技術”三個核心能力領域����,延伸到具體電信企業(yè)的合規(guī)控制要求,從三方面(即安全管理與運營合規(guī)、安全技術合規(guī)、大數(shù)據(jù)組件基線合規(guī))來展開工作,與現(xiàn)有安全框架體系或標準協(xié)同合作來實現(xiàn)治理目標��。數(shù)據(jù)安全合規(guī)治理是以“讓數(shù)據(jù)在各種數(shù)據(jù)處理活動過程中滿足各種合規(guī)要求”為目標����,通過組織人員完備、策略規(guī)程制定、技術工具支撐等能力要素實現(xiàn)的數(shù)據(jù)安全體系化的方法論�。
總體而言����,數(shù)據(jù)安全合規(guī)治理的方法論和組成要素來自于數(shù)據(jù)安全治理��,合規(guī)治理活動也貫穿于數(shù)據(jù)安全治理[3]���。
2 電信領域數(shù)據(jù)安全風險和合規(guī)挑戰(zhàn)
電信行業(yè)是全球數(shù)字化進程的先行行業(yè)�。隨著數(shù)字化進程的迅猛推進���,數(shù)據(jù)安全風險暴露面��、攻擊面越來越廣��,再加上數(shù)據(jù)價值的提升和數(shù)據(jù)市場的發(fā)展���,圍繞電信領域的各種數(shù)據(jù)安全風險如數(shù)據(jù)泄露���、數(shù)據(jù)竊取��、數(shù)據(jù)非法交易����、數(shù)據(jù)濫用及其他數(shù)據(jù)安全事件愈演愈烈[4]���。
2.1 電信領域數(shù)據(jù)安全風險
大數(shù)據(jù)給電信領域帶來新的業(yè)務形態(tài)發(fā)展機遇��,但隨之而來的是數(shù)據(jù)的集中化管控���、數(shù)據(jù)供應鏈的復雜化�����、數(shù)據(jù)開發(fā)利用的普遍化、平臺組件的開源化等新技術特點和新業(yè)務形態(tài)應用�����,也給業(yè)務發(fā)展帶來了新的安全問題�。電信領域數(shù)據(jù)安全主要面臨如下風險。
(1)數(shù)據(jù)集中化管控安全風險
在電信企業(yè)大數(shù)據(jù)平臺中���,集中存儲有不同安全域的業(yè)務運營數(shù)據(jù)、企業(yè)管理數(shù)據(jù)�、用戶相關數(shù)據(jù)���、網(wǎng)絡與系統(tǒng)的建設及運行維護類數(shù)據(jù)等各類電信數(shù)據(jù)���。一旦這些數(shù)據(jù)的集中管控風險轉化為安全事件,則可能涉及大量電信用戶敏感信息和其他類型敏感數(shù)據(jù)遭受泄露或破壞,從而有可能帶來相關敏感數(shù)據(jù)和個人信息保護的安全違法違規(guī)風險。
(2)電信企業(yè)特定數(shù)據(jù)處理活動場景下的安全風險
電信企業(yè)客服門戶網(wǎng)站�����、小程序數(shù)據(jù)收集�����、存儲和使用場景下存在以下安全性風險:數(shù)據(jù)傳輸過程中安全風險�、數(shù)據(jù)存儲和使用環(huán)境云化和虛擬化安全風險、數(shù)據(jù)使用和加工過程安全風險��、電信數(shù)據(jù)跨主體流動安全風險����、API數(shù)據(jù)訪問接口安全風險、電信數(shù)據(jù)出境安全風險等����。
(3)數(shù)據(jù)存儲和使用環(huán)境云化和虛擬化安全風險
越來越多的電信企業(yè)大數(shù)據(jù)部署在云資源池���、云存儲環(huán)境中�,再加上電信的存儲環(huán)境和計算環(huán)境的虛擬化��,導致攻擊者可以利用已有的虛擬主機使用權限��,對同一虛擬化平臺和網(wǎng)絡上的其他虛擬主機進行非法訪問、嗅探和攻擊等�,從而因為數(shù)據(jù)集中化部署和虛擬化環(huán)境帶來隱患產(chǎn)生數(shù)據(jù)泄露����、數(shù)據(jù)丟失等風險�����。
(4)平臺組件開源化安全風險
電信企業(yè)大數(shù)據(jù)平臺普遍采用了Hdoop、Spark���、HDFS等開源組件和系統(tǒng),但由于開源系統(tǒng)高效的數(shù)據(jù)處理能力會容易以系統(tǒng)安全功能相對缺乏為代價,一旦開源系統(tǒng)的組件中出現(xiàn)漏洞��、后門����、Bug,并且沒有及時發(fā)現(xiàn)和修補,容易產(chǎn)生攻擊者非法利用對大數(shù)據(jù)平臺進行數(shù)據(jù)竊取等風險�。
(5)數(shù)據(jù)使用和加工過程安全風險
存在違反法律�、行政法規(guī)規(guī)定的目的和范圍使用加工數(shù)據(jù)�����,導致數(shù)據(jù)越權使用�、使用權限混亂�、數(shù)據(jù)過度獲取、信任濫用威脅、分析結果濫用�、違規(guī)操作的風險��。
(6)數(shù)據(jù)跨主體流動安全風險
電信領域敏感數(shù)據(jù)跨部門、跨主體流動�����,如雙方?jīng)]有簽訂數(shù)據(jù)安全保密協(xié)議�、數(shù)據(jù)安全跨部門流動安全保密措施不當,均可能存在發(fā)生敏感數(shù)據(jù)泄露��、丟失等風險[5]�。
(7)API數(shù)據(jù)訪問接口安全風險
電信領域由于業(yè)務的快速發(fā)展和迭代,電信企業(yè)無法完全掌握API的應用情況����、業(yè)務與安全存在割裂現(xiàn)象��,容易導致API接口的憑據(jù)失陷、越權訪問、數(shù)據(jù)篡改�����、違規(guī)爬取�、數(shù)據(jù)泄露等諸多安全風險產(chǎn)生���。
(8)數(shù)據(jù)出境安全風險
電信企業(yè)數(shù)據(jù)會因為業(yè)務出海涉及一定的個人信息����、重要數(shù)據(jù)、電信數(shù)據(jù)跨境訪問需求���,在數(shù)據(jù)跨境過程中隨之會帶來一定的數(shù)據(jù)安全風險。
2.2 電信領域數(shù)據(jù)安全合規(guī)挑戰(zhàn)
(1)電信領域數(shù)據(jù)安全合規(guī)監(jiān)管的加強帶來難度增大
電信領域大數(shù)據(jù)業(yè)務發(fā)展過程中必然伴隨著數(shù)據(jù)安全合規(guī)挑戰(zhàn)����。數(shù)據(jù)安全合規(guī)是直接關系到電信業(yè)務運營順利進行的重要因素��。目前�,電信企業(yè)為實現(xiàn)電信數(shù)據(jù)安全合規(guī)持續(xù)展開對大數(shù)據(jù)安全防護管理及技術手段建設���,并且持續(xù)查找大數(shù)據(jù)系統(tǒng)平臺運營的安全薄弱環(huán)節(jié)和隱患���。對于電信大數(shù)據(jù)運營平臺�����、數(shù)據(jù)安全治理體系滿足國家法律法規(guī)和電信行業(yè)規(guī)范要求及集團管理要求的合規(guī)性遵從方面也做了很多工作���。
電信企業(yè)亟需通過主管部門的安全合規(guī)檢查監(jiān)督�,掌握電信數(shù)據(jù)安全管控現(xiàn)狀�。
電信行業(yè)主管部門近些年密集開展了國家數(shù)據(jù)安全法律法規(guī)和電信領域相關的管理規(guī)章的編制和監(jiān)管/執(zhí)法工作,由于數(shù)據(jù)安全是一項復雜的系統(tǒng)性工程,涉及規(guī)范����、標準眾多,數(shù)據(jù)安全標準解析與落實難度加大����,對企業(yè)數(shù)據(jù)安全領域的人員水平與經(jīng)濟投入提出了更高的要求�����。同時,需要更好地平衡業(yè)務發(fā)展與數(shù)據(jù)安全的關系�����,以避免因數(shù)據(jù)安全能力建設不足����,導致企業(yè)業(yè)務發(fā)展過程中遵循數(shù)據(jù)安全合規(guī)監(jiān)管的難度加大。
(2)數(shù)據(jù)安全風險防范難度持續(xù)升級�,合規(guī)管控難度隨之增加
電信領域數(shù)據(jù)安全風險的源頭可能由于內(nèi)部人員的惡意行為�����、失誤操作或設備故障導致,也可能因為外部黑客的惡意攻擊導致���,包括采用惡意軟件、安全漏洞���、社會工程學等手段或多種手段的組合,這為數(shù)據(jù)安全風險的防范帶來一定難度�。
隨著電信領域網(wǎng)絡形態(tài)不斷演化��,新技術、新應用場景日漸復雜�����,不斷涌現(xiàn)出新的數(shù)據(jù)類別�、數(shù)據(jù)生產(chǎn)和處理方式等���,從而引發(fā)新一輪的數(shù)據(jù)安全事件�����,而對于新型安全風險的研究和防范能力目前還有待提升�����,安全挑戰(zhàn)不斷加劇。
此外,傳統(tǒng)網(wǎng)絡安全邊界的模糊化��,使得傳統(tǒng)安全防護體系不再能滿足當前跨組織的數(shù)據(jù)流通安全等數(shù)據(jù)安全治理需求�����,多方面因素導致滿足數(shù)據(jù)安全合規(guī)的管控難度持續(xù)升級��。
(3)電信領域數(shù)據(jù)處理場景趨于復雜�,數(shù)據(jù)安全保障難度增加
在電信領域數(shù)據(jù)處理活動過程中���,數(shù)據(jù)處理主體和數(shù)據(jù)技術手段日趨繁雜����,且數(shù)據(jù)流動范圍越來越廣�����,數(shù)據(jù)跨境傳輸需求也越來越多,數(shù)據(jù)活動場景趨于復雜���,也提升了數(shù)據(jù)安全的管控難度���。一是互聯(lián)網(wǎng)技術日新月異���,技術和產(chǎn)品不斷快速迭代中探索全新的數(shù)據(jù)處理模式���,對數(shù)據(jù)安全技術和管理流程的革新速度提出了更高要求�����;二是數(shù)據(jù)規(guī)模極速增長��、數(shù)據(jù)類型與數(shù)據(jù)形態(tài)變化多樣給數(shù)據(jù)安全識別與防護的時效性、可靠性帶來挑戰(zhàn)���;三是數(shù)據(jù)處理環(huán)節(jié)繁雜眾多,數(shù)據(jù)流通�、應用及共享過程當中涉及了眾多數(shù)據(jù)處理主體�����,為數(shù)據(jù)安全策略管理和數(shù)據(jù)泄露定責帶來困難[6]。
3 電信領域數(shù)據(jù)安全合規(guī)需求
3.1 滿足監(jiān)管合規(guī)要求
從滿足運營商數(shù)據(jù)安全監(jiān)管的要求出發(fā),電信領域數(shù)據(jù)安全防護體系需要包含多種安全能力,貫徹落實法律法規(guī)、電信行業(yè)數(shù)據(jù)安全規(guī)章如《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》,以防濫用、防泄露作為數(shù)據(jù)安全核心需求�,建設針對數(shù)據(jù)分類分級、敏感數(shù)據(jù)識別和梳理、數(shù)據(jù)安全審計����、數(shù)據(jù)流轉監(jiān)測、數(shù)據(jù)溯源�����、數(shù)據(jù)防泄露等安全防護技術支撐體系,滿足電信企業(yè)網(wǎng)絡數(shù)據(jù)安全合規(guī)性評估要點等技術內(nèi)容,符合電信企業(yè)網(wǎng)絡與信息安全工作考核要求中關于實施數(shù)據(jù)分類分級管理并強化電信企業(yè)大數(shù)據(jù)安全合規(guī)性要求�。
3.2 滿足電信業(yè)務安全和合規(guī)需求
從滿足電信業(yè)務數(shù)據(jù)安全和合規(guī)需求出發(fā)�,需要建立電信領域以數(shù)據(jù)為中心的涵蓋各數(shù)據(jù)處理活動各環(huán)節(jié)的防護機制��。在各數(shù)據(jù)處理活動過程中,提供相應的數(shù)據(jù)安全技術保障��,如數(shù)據(jù)分類分級����、數(shù)據(jù)識別和梳理、身份鑒別���、訪問控制、數(shù)據(jù)加密�、數(shù)據(jù)脫敏�����、數(shù)據(jù)溯源、數(shù)據(jù)備份和恢復等���,全方位提升核心應用、業(yè)務及數(shù)據(jù)安全防護能力����,有效應對外部攻擊和內(nèi)部泄露��,構建面向數(shù)字時代的新一代主動安全防護體系[7]。
4 電信領域數(shù)據(jù)安全合規(guī)治理工作建議思考
對于電信領域數(shù)據(jù)安全合規(guī)治理作為一個系統(tǒng)化工程的展開��,聚焦組織�、流程、技術��、人員等方面,從討論對齊����、體檢分析�����、診斷治療、持續(xù)監(jiān)護���、執(zhí)行監(jiān)督等維度進行綜合考慮�,建立數(shù)據(jù)可知、風險可視����、體系防護�、持續(xù)有效����、不斷提升改進的數(shù)據(jù)安全合規(guī)治理體系,筆者提出了以下建議���。
4.1 以數(shù)據(jù)安全合規(guī)遵循為邏輯起點
根據(jù)法律法規(guī)、行業(yè)規(guī)章和電信領域合規(guī)遵從情況,基于行業(yè)與現(xiàn)行互補、兼容���,并推陳出新,同時注重與國內(nèi)政策的體系化綜合運用�����,以合規(guī)遵循作為電信領域數(shù)據(jù)安全治理的邏輯起點���,全面開展?jié)M足電信領域數(shù)據(jù)安全合規(guī)為核心的數(shù)據(jù)安全合規(guī)治理工作����。在此基礎上,電信企業(yè)應建立電信領域的數(shù)據(jù)安全合規(guī)遵從知識庫���,該合規(guī)庫的組成應該包含安全法律法規(guī)、電信行業(yè)行政規(guī)章���、集團總部數(shù)據(jù)安全管理要求、商業(yè)協(xié)議等��。所有不同合規(guī)條款都應該經(jīng)過融合成為一套有機的去重后的數(shù)據(jù)安全合規(guī)體系�。
4.2 繪制電信領域數(shù)據(jù)資產(chǎn)安全現(xiàn)狀�,明確安全合規(guī)治理目標
依據(jù)國家法律法規(guī)、電信行業(yè)安全規(guī)章,通過調(diào)研訪談�����、文檔審閱、現(xiàn)場核查��、技術檢測����、流程查看等方式,從管理體系、技術體系��、運營體系����、數(shù)據(jù)處理活動等方面開展數(shù)據(jù)安全現(xiàn)狀分析,評估差異與不足,量化安全合規(guī)差距���。集合多個業(yè)務系統(tǒng)的調(diào)研結果��,掌握組織數(shù)據(jù)安全全局現(xiàn)狀,找出數(shù)據(jù)安全合規(guī)問題,明確安全合規(guī)治理目標���。
4.3 開展數(shù)據(jù)安全合規(guī)性評估和數(shù)據(jù)安全風險評估
電信企業(yè)可根據(jù)數(shù)據(jù)載體類型�、數(shù)據(jù)內(nèi)容屬性等信息定期開展面向電信領域數(shù)據(jù)資產(chǎn)平臺、個人信息�����、APP��、大數(shù)據(jù)����、云平臺等各類信息系統(tǒng)平臺或對象的安全評估活動��。
首先����,從業(yè)務視角出發(fā),對業(yè)務應用現(xiàn)狀進行調(diào)研,對業(yè)務流程進行分析��。
其次�,圍繞數(shù)據(jù)處理活動各環(huán)節(jié)的數(shù)據(jù)分布、處理活動類別、業(yè)務場景中的數(shù)據(jù)流���、數(shù)據(jù)流轉環(huán)節(jié)及管控措施等酌情梳理、搜集與分析,針對業(yè)務各系統(tǒng)及數(shù)據(jù)資產(chǎn)全面開展評估梳理工作�����,梳理并繪制數(shù)據(jù)資產(chǎn)安全全貌�����,并形成數(shù)據(jù)資產(chǎn)臺賬���、數(shù)據(jù)安全管理規(guī)范矩陣��。明確大數(shù)據(jù)平臺數(shù)據(jù)各活動場景中數(shù)據(jù)重要程度等內(nèi)容。
再者���,在數(shù)據(jù)資產(chǎn)識別和數(shù)據(jù)處理活動識別基礎上進行合規(guī)性問題分析和數(shù)據(jù)安全風險分析,結合對數(shù)據(jù)安全措施的分析����,找出主要業(yè)務所面臨的管理、技術及運營合規(guī)問題和風險[8](見圖1)��。
最后�,基于數(shù)據(jù)安全合規(guī)性評估和風險評估結果建立符合業(yè)務所需的安全合規(guī)性治理策略和風險管理策略。
4.4 完善安全管理制度與流程�����,構建安全合規(guī)管理體系
堅持數(shù)據(jù)安全合規(guī)治理中“七分管理���,三分技術”原則���,根據(jù)電信企業(yè)的數(shù)據(jù)資產(chǎn)信息情況�,從組織架構、安全責任框架����、運行機制����、風險管理�����、內(nèi)控措施等方面建立電信領域數(shù)據(jù)安全合規(guī)管理體系和合規(guī)內(nèi)在驅動力�。首先����,構建從數(shù)據(jù)安全戰(zhàn)略、管理層到執(zhí)行層自頂向下的滿足電信領域數(shù)據(jù)安全合規(guī)管理架構��。其次�,明確各種數(shù)據(jù)處理場景的數(shù)據(jù)安全管理機制,把安全管理制度和包含的控制措施建立在業(yè)務流程基礎上���,業(yè)務流程建在業(yè)務系統(tǒng)基礎上���,把數(shù)據(jù)安全的控制思想貫穿到業(yè)務流程中,體現(xiàn)在微觀層面就是數(shù)據(jù)處理活動的每個過程�����。讓合規(guī)要求落實到數(shù)據(jù)處理活動的每個環(huán)節(jié)�、每個場景和每個人,使數(shù)據(jù)安全合規(guī)建設從被動轉變?yōu)橹鲃�����。最后����,建立?shù)據(jù)安全合規(guī)遵從的思路和策略,使數(shù)據(jù)安全合規(guī)遵從持續(xù)滿足法律法規(guī)要求及業(yè)務發(fā)展需要�����,形成包含制定計劃�、評估安全、執(zhí)行解決方案�����、總結經(jīng)驗各環(huán)節(jié)的數(shù)據(jù)安全合規(guī)閉環(huán)管理流程�,使數(shù)據(jù)安全合規(guī)管理工作有序發(fā)展、安全能力逐步提升。
4.5 構建數(shù)據(jù)安全技術支撐體系
以組織電信領域數(shù)據(jù)安全建設為基礎��,圍繞數(shù)據(jù)處理活動的各項安全要求��,實現(xiàn)與制度流程相配套的包括數(shù)據(jù)加密����、數(shù)據(jù)備份恢復�、數(shù)據(jù)脫敏���、數(shù)據(jù)溯源�����、數(shù)據(jù)防泄露���、數(shù)據(jù)庫審計�、數(shù)據(jù)流動監(jiān)測等類型技術在內(nèi)的數(shù)據(jù)安全技術支撐體系����。將數(shù)據(jù)安全保護能力與合規(guī)性遵從工作中的關鍵節(jié)點自動化、工具化,并逐步邁向智能數(shù)據(jù)安全管理��,具體如下�����。
通過數(shù)據(jù)安全管控平臺�、數(shù)據(jù)安全態(tài)勢感知系統(tǒng)等手段進行集中化的數(shù)據(jù)安全全域態(tài)勢���、風險和事件監(jiān)測與管理���,全面掌握全域敏感數(shù)據(jù)資產(chǎn)分類�、分級及分布情況,有效監(jiān)測敏感數(shù)據(jù)流轉范圍和動態(tài)流向�;通過集中化數(shù)據(jù)安全管控手段�����,實現(xiàn)數(shù)據(jù)安全態(tài)勢感知風險識別和合規(guī)滿足程度能力。
在完整的安全技術支撐體系基礎上,才能對貫穿于各種業(yè)務流程和數(shù)據(jù)處理場景下的數(shù)據(jù)安全風險程度和合規(guī)滿足度進行全面掌握����。之后,通過可防����、可控����、可查、可審����、可見的統(tǒng)一的數(shù)據(jù)安全態(tài)勢監(jiān)測和審計機制實現(xiàn)數(shù)據(jù)安全監(jiān)測與審計能力��。
4.6 加強人員能力培養(yǎng),提升安全合規(guī)運營保障能力
電信領域數(shù)據(jù)安全合規(guī)治理需要多元主體共同參與���,其中人員是數(shù)據(jù)安全各項要求有效實施的基本元素,也是安全風險的重要產(chǎn)生來源�,因此需要以下舉措來實現(xiàn)對人員的能力提升�。
一是需要建立電信企業(yè)人員安全意識培養(yǎng)機制��,通過定期開展數(shù)據(jù)安全合規(guī)培訓����,將法律法規(guī)����、標準規(guī)范、案例事件等進行宣貫,逐步提升人員對數(shù)據(jù)安全的價值認識和威脅識別能力����。
二是需要加強合規(guī)治理參與人員的技能培訓����,對不同崗位的人員制定科學合理的培訓計劃��,按照必備優(yōu)先,先基礎���、后專業(yè)、再全面的原則�,逐步提升人員的專業(yè)技能�。
三是需要建立應急演練機制����,通過定期或事件觸發(fā)機制,對實際業(yè)務場景中的各類風險主題的處理方式�、協(xié)作流程及響應機制等進行模擬演練����,確保安全措施落實到位��,安全處置流程正確有效等��,全面提升數(shù)據(jù)安全合規(guī)治理運營保障能力。
4.7 形成電信數(shù)據(jù)安全合規(guī)核查體系
電信企業(yè)在監(jiān)管部門和集團總部監(jiān)督指導下通過集中開展數(shù)據(jù)安全合規(guī)性評估核查�,監(jiān)督基礎電信企業(yè)強化數(shù)據(jù)安全風險管理����,及時消除重大數(shù)據(jù)安全風險����。電信企業(yè)可將網(wǎng)絡數(shù)據(jù)安全責任和數(shù)據(jù)安全合規(guī)評估落實情況納入基礎電信企業(yè)安全責任考核檢查范疇,并持續(xù)開展對重要數(shù)據(jù)��、個人信息�����、電信敏感數(shù)據(jù)泄露等網(wǎng)絡數(shù)據(jù)安全和用戶信息安全事件監(jiān)測跟蹤���,從而了解并掌握電信企業(yè)數(shù)據(jù)安全合規(guī)遵從現(xiàn)狀,并通過開展電信數(shù)據(jù)安全合規(guī)核查工作,持續(xù)優(yōu)化、改進和實現(xiàn)對電信領域的數(shù)據(jù)安全合規(guī)要求,形成數(shù)據(jù)安全合規(guī)核查體系���。電信企業(yè)可定期對大數(shù)據(jù)平臺及業(yè)務應用部門開展數(shù)據(jù)安全合規(guī)專項核查。
電信領域的數(shù)據(jù)安全合規(guī)核查體系的建立可由數(shù)據(jù)安全管理與運營合規(guī)核查、數(shù)據(jù)安全處理活動合規(guī)核查�����、大數(shù)據(jù)組件基線合規(guī)核查等部分組成�。因篇幅緣故,本文不做贅述。
4.8 建立持續(xù)運作����、不斷優(yōu)化的數(shù)據(jù)安全合規(guī)治理體系
電信企業(yè)為全面掌握數(shù)據(jù)安全管控現(xiàn)狀�����,電信企業(yè)需以數(shù)據(jù)處理活動場景為線索����,選取數(shù)據(jù)合規(guī)治理體系中關鍵的數(shù)據(jù)安全合規(guī)核查內(nèi)容�����,從電信企業(yè)內(nèi)部對數(shù)據(jù)安全關鍵流程實施管控����。
電信企業(yè)可以根據(jù)組織的數(shù)據(jù)安全規(guī)范要求����,選取適合對數(shù)據(jù)安全合規(guī)治理體系進行持續(xù)監(jiān)督檢查的采集項,組成數(shù)據(jù)安全合規(guī)核查規(guī)范�����,并通過后續(xù)手段����,對數(shù)據(jù)安全合規(guī)治理的采集項進行長期監(jiān)督�����,使數(shù)據(jù)安全合規(guī)治理體系持續(xù)運營���,并通過梳理資產(chǎn)���、數(shù)據(jù)�����、用戶、權限等要求,指導安全技術��、管理���、運營能力不斷體系化的持續(xù)升級和改進����。從而在持續(xù)合規(guī)核查和監(jiān)督的基礎上持續(xù)優(yōu)化和提升數(shù)據(jù)安全合規(guī)治理能力。
5 結束語
電信領域的數(shù)據(jù)安全合規(guī)治理建立在電信企業(yè)的數(shù)據(jù)安全管理工作內(nèi)容和實現(xiàn)基礎上,在這個過程中需要達到業(yè)務運營與安全合規(guī)治理之間的平衡��。在具體實施方面���,以數(shù)據(jù)安全合規(guī)為邏輯起點�,對企業(yè)的安全組織和制度規(guī)程能力、安全運營能力�、安全技術能力三方面進行建設���,提供可落地的數(shù)據(jù)安全合規(guī)綜合且正向循環(huán)解決方案。在運行維護過程中����,進行合規(guī)性評估���、風險評估���、監(jiān)督審核和持續(xù)改進��,幫助企業(yè)建立起數(shù)據(jù)安全合規(guī)“評估—優(yōu)化—改進—監(jiān)督”正向循環(huán)體系,實現(xiàn)電信領域數(shù)據(jù)安全治理體系完善�、數(shù)據(jù)有序流動的新局面���。
