企业数据安全管理体系建设 六步走
发布时间:2022-06-13 00:44:56 所属栏目:安全 来源:互联网
导读:大多数受访者(71%)来自美洲,另外17%来自亚洲,13%来自欧洲、中东和非洲。在这些参与者中,49%影响决策过程,39%管理决策过程本身。该报告调查了来自不同行业的组织,如电信(25%)、金融(22%)和政府(9%)。 虽然这项调查有很多值得借鉴的地方,但以下是我们
|
大多数受访者(71%)来自美洲,另外17%来自亚洲,13%来自欧洲、中东和非洲。在这些参与者中,49%影响决策过程,39%管理决策过程本身。该报告调查了来自不同行业的组织,如电信(25%)、金融(22%)和政府(9%)。 虽然这项调查有很多值得借鉴的地方,但以下是我们排在前7位的焦点。 1:SaaS 错误配置导致安全事件 自 2019 年以来,SaaS 错误配置已成为组织最关心的问题,至少有 43% 的组织报告他们已经处理过由 SaaS 错误配置引起的一个或多个安全事件。然而,由于许多其他组织表示他们不知道自己是否经历过安全事件,因此与 SaaS 配置错误相关的事件的数量可能高达 63%。与 IaaS 错误配置导致的 17% 的安全事件相比,这些数字令人震惊。 2:缺乏可见性和过多的访问部门被认为是导致SaaS错误配置的主要原因 那么,这些SaaS错误配置的原因究竟是什么呢?虽然有几个因素需要考虑,但受访者将其归结为两个主要原因——有太多的部门可以访问SaaS安全设置(35%),以及对SaaS安全设置的变化缺乏可见性(34%)。这是两个相关的问题,考虑到在采用SaaS应用程序时缺乏可见性是最重要的问题,而且组织中平均有多个部门可以访问安全设置,因此这两个问题都不足为奇。缺乏可见性的主要原因之一是,有太多部门可以访问安全设置,而其中许多部门没有接受过适当的培训,也没有关注安全性。 3:对业务关键SaaS应用程序的投资正在超过SaaS安全工具和人员 众所周知,企业正在采用更多的应用程序——仅过去一年就有 81% 的受访者表示他们增加了对业务关键型 SaaS 应用程序的投资。另一方面,SaaS安全性方面在安全工具(73%)和人员(55%)上的投入较低。这种不一致意味着现有安全团队在监控SaaS安全性方面的负担越来越重。 4:手动检测和修复 SaaS 错误配置使组织暴露在外 46% 手动监控其 SaaS 安全性的组织每月只进行一次或更少的检查,而 5% 根本不进行检查。发现错误配置后,安全团队需要额外的时间来解决它。大约四分之一的组织在手动修复时需要一周或更长时间来解决错误配置。这个漫长的时间使组织容易受到攻击。 5:使用 SSPM 可以缩短检测和修复 SaaS 错误配置的时间 另外,已经实施 SSPM 的组织可以更快、更准确地检测和修复他们的 SaaS 错误配置。这些组织中的大多数 (78%) 使用 SSPM 每周或更多次检查其 SaaS 安全配置。在解决错误配置方面,81% 的使用 SSPM 的组织能够在一天到一周内解决它。 6:第三方应用程序访问是最受关注的问题 第三方应用程序,也称为无代码或低代码平台,可以提高生产力,实现混合工作,并且对于构建和扩展公司的工作流程至关重要。但是,许多用户快速连接第三方应用程序而不考虑这些应用程序请求的权限。一旦被接受,授予这些第三方应用程序的权限和后续访问可能是无害的,也可能是恶意的。如果没有对 SaaS 到 SaaS 供应链的可见性,员工将连接到其组织的关键业务应用程序,安全团队对许多潜在威胁视而不见。随着组织继续采用 SaaS 应用程序,他们最关心的问题之一是缺乏可见性,尤其是第三方应用程序访问核心 SaaS 堆栈的可见性 (56%)。 7:提前规划和实施 SSPM 尽管该类别在两年前就被引入市场,但它正在迅速成熟。在评估四种云安全解决方案时,SSPM 的平均评级为“有些熟悉”。此外,62% 的受访者表示他们已经在使用 SSPM 或计划在未来 24 个月内实施。 结论 《2022 年 SaaS 安全调查报告》提供了有关组织如何使用和保护其 SaaS 应用程序的见解。毫无疑问,随着公司继续采用更多的业务关键型 SaaS 应用程序,风险也越来越大。为了直面这一挑战,公司应该开始通过两个最佳实践来保护自己: 第一个是让安全团队能够全面了解所有 SaaS 应用程序的安全设置,包括第三方应用程序访问和用户权限,这反过来又允许部门保持其访问权限,而不会有进行不当更改而使组织易受攻击的风险。 其次,公司应该利用自动化工具(例如 SSPM)来持续检测和快速修复 SaaS 安全错误配置。这些自动化工具允许安全团队近乎实时地识别和修复问题,从而减少组织易受攻击的总体时间或防止问题一起发生。 这两个实践都为他们的安全团队提供了支持,同时不会阻止部门继续他们的工作。本文提出数据安全保障体系“六步走”建设思路,旨在为客户数据安全建设提供体系化思路及参考。 构建数据安全保障体系需要厘清如下思路: 首先,需要明确《数据安全法》和《网络安全法》、《个人信息保护法》以及“等保2.0”之间的关系。这几者是关联关系,即在保证网络安全的前提下,覆盖数据安全及个人信息安全,在行业领域建设相关安全体系时,特别涉及到关键信息基础设施时,必须要遵从“等保2.0”相关规范。在关联性基础之上,建设单位需要结合具体场景、行业特性、数据属性量等,综合判断自身业务特点应该参照哪一部或哪几部法律法规。 其次,数据安全保障体系建设需要明确“技术”与“管理”并重思路,把“技术”作为“管理”的延续,即基于数据全生命周期构建数据安全指标,借助丰富的数据安全监测手段以及快速响应机制等,通过技术手段的不断进步逐一落实数据安全管理目标。 数据安全保障体系六步走,共分为数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建设。 01 数据安全治理评估 区别于合规要求的网络安全建设,数据安全保障体系应建立在事实依据的基础上,才能对自身业务最核心的数据安全风险采取技防监测、控制手段解决,所以第一步,即开展数据风险发现过程-数据安全治理评估。 通过数据安全治理专家团队,从业务视角出发,对业务应用的现状、使用情况进行调研、分析,确定业务的关联关系、访问的关键路径、数据的流向及演变过程,结合对基础安全管控措施的分析,找出主要业务所面临的管理、技术及运营风险。其次,集合多个业务系统的调研结果,找出系统间的共性问题,为制定业务的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开展评估梳理工作,形成《数据资产清单》,明确相关平台各系统的输入输出,数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。 基于业务场景梳理数据操作过程中的主体(人、用户、账号)、客体(数据)、过程(操作的时域、地域、权限、结果等)属性;以角色控制为视角,明确被审计用户(账号)的类型、角色,包括应用程序所有者(业务账号)、应用程序终端用户(业务终端)、数据管理账户(数据库管理员)等;建立符合业务最小够用的安全策略模型。 02 数据安全组织结构建设 数据安全管理是一项需要多方联动型的复合型工作,在开展组织架构建设时,需要考虑组织层面实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,所有部门均需要参与安全建设当中。同时,需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。 03 数据安全管理制度建设 前期的数据安全组织结构体系建设为后续数据安全建设提供了角色支撑,接下来需要从管理制度手段上进行梳理。数据安全保障体系的规范一般从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。 一般情况下,数据安全管理规体系文件可分为四个层面: 一级文件是由决策层确定管理要求、目标及基本原则;二级文件是由管理层根据一级管理要求制定通用的管理办法、制度及标准。 二级文件作为上层的管理要求,应具备科学性、合理性、完善性及普遍的适用性; 三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范; 四级文件属于辅助文件,一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。 四级文件是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。 例如,数据安全分级指南的建设过程属于数据安全管理制度建设中最为基础的一环,首先要从行业中找到参考的数据分类分级指南(若没有,可采用国标等相关具备参考价值的指南),其次结合自身业务实际情况,对业务数据进行管理层面的分类分级流程,最后基于自身的业务场景,形成自身的数据安全分级指南。 04 数据安全技术保护体系建设 不同安全级别的数据,可参照数据生命周期的原则进行数据安全应用执行。具体保护要求及措施,可参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。 05 数据安全运营管控建设 数据安全保障体系因其业务的持续性,需要进行长期性服务,建立完善的数据安全运营团队是必然选择。数据安全运营主要包括以下内容: 数据安全运维:主要是数据安全措施的使用、运维,驻场或定期对数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化,并定期输出数据安全运维报告和策略优化建议等; 应急预案与演练:按照相关要求,制定数据安全事件应急预案。并按照制定的应急规划,按照安全事件的危害程度、影响范围等对安全事件建分级,定期进行应急预案演练; 监测预警:围绕数据安全目标,依据相关安全标准,建立数据安全监测预警和安全事件通报制度,收集分析数据安全信息,对安全风险及时上报,包括按需发布数据安全监测预警信息等; 应急处置:相关方按照应急预案,在发生安全事件时,采取应急处置措施,向主管部门上报重大安全事件,定期对应急预案和处置流程优化完善; 灾难恢复:在数据安全事件发生后,根据安全事件的影响和优先级,采取合适的恢复措施,确保信息系统业务流程按照规划目标恢复。 06 数据安全监管 移动互联网时代下,数据承载的价值越来越高,数据面临巨大的威胁,监管部门出台相关法律法规,对数据从业者提出了相关要求,也明确了监管机构的责任。公安机关作为监管单位,将依法履职尽责,对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守国家核心数据管理制度、向境外提供重要数据、配合公安机关开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理。 (编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐