2022年12月8日,由中國網絡安全產業聯盟(CCIA)主辦、CCIA數據安全工作委員會支持、杭州美創科技股份有限公司承辦的“數據安全風險評估及數據安全服務實踐”主題技術沙龍成功舉辦。
當前,我國數字經濟快速發展、數字化轉型持續深入,促進數據要素依法有序流動,數據安全已是事關國家安全和經濟社會發展的重大議題。而隨著數字化的發展,數據安全正在面臨更高的要求和更大的威脅挑戰,體系化的數據安全建設,不僅僅是產品技術建設支撐,作為安全建設中必不可少的內容,數據安全服務也日益受到業界關注。對此,本期沙龍聚焦數據安全評估、數據安全運營等數據安全服務,國家互聯網應急中心、美創科技、數安行專家代表共同探討分享相關方案與實踐。本次沙龍也是中國網絡安全產業聯盟“CCIA技術沙龍”系列活動之一。
中國網絡安全產業聯盟副秘書長許玉娜表示,數據安全所面臨風險和威脅的多樣性、多變性使得我們的處置方法和應對策略,已經不能再依靠單一的產品來完成和解決,以數據安全咨詢規劃、分類分級、數據安全評估、安全運營為主的數據安全服務正在成為提升數據安全能力的重要手段。中國網絡安全產業聯盟一直為聯盟會員搭建溝通、交流、合作的平臺,也衷心地希望各會員單位與聯盟共同探索現階段數據安全面臨的問題與挑戰,讓數據安全在企業數字化和產業化轉型中進一步發揮更強大的中堅力量。
隨后,各位專家代表進行主題分享,并與線上聽眾開展了熱烈討論。
國家互聯網應急中心
《開展數據安全風險評估,促進數據要素有序流通》
從為什么需要開展,如何開展數據安全風險評估進行詳細分享,國家互聯網應急中心高級工程師林星辰表示,數據安全風險評估是建立數據要素有序流通的重要手段之一,是行業主管監管部門依法行政的重要抓手,也是企業合法合規利用數據的機制保障。開展數據安全風險評估工作,應以《數據安全法》等法律法規及行業標準為依據,確定需開展數據安全的場景,以數據資產為評估對象,以發現數據處理活動中的風險為主要目的,從邏輯維度(如計算環境安全、數據自身安全、合法合規的行為要求等)、數據處理活動維度(如數據收集、存儲、使用、加工等)綜合研判分析。在數據安全風險評估工具使用上,林星辰介紹,目前市面上已有諸如數據資產探測工具、數據分類分級工具、數據接口探測工具等,單位組織可結合自身需求場景選擇適當的方法與工具。
杭州美創科技股份有限公司
《數據安全服務及案例實踐》
當前,數字化業務的開展、數據流動共享、威脅形勢、合規要求的極大變化,帶來數據安全保護工作的顛覆性轉變,大大增加了數據安全建設工作的復雜性。政企機構面臨諸多痛點難題,對數據安全的需求不僅僅是產品技術實現有效防護,更對前期規劃及后期數據運維、安全運營服務提出更高的需求,美創科技以治理咨詢、安全運維及數據運營三大服務體系構筑“知、建、管”三位一體的數據安全閉環服務,切實幫助用戶有效開展數據安全建設,持續提升數據安全能力,如數據安全建設初期,美創科技提供整體數據安全治理咨詢,以及數據分類分級、數據跨境安全評估、數據安全風險評估、個人信息風險評估在內的專項咨詢服務,著眼解決用戶存在的數據安全“需求不明確、責任不清晰、管理不規范、建設不匹配”等一系列問題。同時,美創科技數據安全咨詢服務團隊負責人王彥翔結合案例實踐詳細分享美創科技數據安全服務的整體方案路徑。
北京數安行科技有限公司
《基于DataSecOps的數據安全合規防護體系建設》
數字化轉型進程中,面向網絡和系統邊界的傳統數據安全防護方案,很難應對數據流動過程中的合規及未知的攻擊竊取風險,這需要將數據防護措施從傳統的邊界攔截延展到數據運營全流程。對此,數安行CTO苑海彬提出DataSecOps數據運營安全防護理念,核心思想強調數據全生命周期流轉運營過程中的內嵌安全屬性,以全鏈路數據識別和跟蹤、輕量化自適應防護、全流程風險監測評估為三大核心,重點圍繞數據識別與數據流映射、保護自動化、風險持續監控、數據安全合規評估等四個方面進行數據安全體系建設。通過DataSecOps的防護理念,可以更全面地識別數據,更有效地保護重要數據,更早地識別風險,打破業務、IT以及數據安全團隊的溝通界限,從而整體上降低數據安全建設成本,提升數據安全建設收益。
本次聚焦“數據安全風險評估及數據安全服務實踐”主題的沙龍,多位專家暢所欲言、各抒己見,提出了許多真知灼見,也為政企開展數據安全風險評估和數據安全服務建設提供了開闊的思路和寶貴的經驗,希望有更多的企業能夠享受數據安全服務建設所帶來的益處。今后,中國網絡安全產業聯盟也將繼續加強會員單位間的合作和服務,為各界提供一個開闊視野、拓寬思維的交流平臺。
