天融信数据安全专家钟诚围绕规划中提出的“数据安全治理”和“数据安全防护”两方面的能力要求,阐述了天融信以数据为核心的安全体系框架,以及“六步走”的建设思路,并结合在实际项目中碰到的难点、痛点等问题,对数据安全建设提出了参考经验分享。
天融信以数据为核心的安全体系框架以及“六步走”的建设思路,紧紧围绕数据安全治理评估、数据安全组织建设、数据安全管理制度规范建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建设等进行有序、全方位展开。
Q
A
这需要对数据资产进行准确分类分级,并对不同类别、级别的数据资产进行合理的安全防护。钟诚认为,在实际项目中更倾向于细化不同的场景需求,结合数据字段本身以及该字段会应用的不同场景,综合判断其级别,并对不同场景进行分类分级规范和策略的设计,从而更好地解决类似问题。
此外,开展数据资产梳理是落实数据分类分级的基础,根据数据资产的不同类别和级别制定不同的安全防护策略,在数据安全治理过程中,通过对机构现状的全面的摸底,掌握机构当前的数据安全现状,再结合《GBT 37988-2019 信息安全技术 数据安全能力成熟度模型》,开展差距性分析,根据差距评估结果来建立针对性的改进建议。
Q
A
钟诚认为,当前基于数据全生命周期进行识别、防护、检测、响应,不是单一的安全防护产品就可以实现的,需要对多个安全防护手段进行统一、协同管理,并将数据安全治理融入到数据生命周期各个过程中。比较现实可落地的措施是建立起支撑数据安全治理的集中运营管控,在完成数据全生命周期定义和风险定义后,通过建设数据安全智能管控平台,纳管所有数据安全组件,完成全生命周期的风险全面管控,并从数据资产管理、分类分级管理、风险识别、风险处置、安全审计等多个方面建立一套完善的运营体系,为金融机构提供长期的安全运营能力。
数据安全智能管控技术架构
TOPSEC
相关阅读