栏目导航
最近推荐
热点信息
您的位置: 主页 > 好彩妹论坛 >

谈谈数据安全的痛点与策略


发布日期:2019-07-10 19:05   来源:未知   阅读:

  随着大数据时代的到来,数据安全和敏感信息问题越来越被个人、企业乃至国家所重视。那么,我们要怎么看待数据安全相关的各种问题和痛点?又应该如何应对呢?欢迎各位读者朋友在本期文章中寻找答案。

  要把数据安全讲透,无非是要讲明白数据安全的对象和手段,而且在很多情况下,讲清楚对象反而比手段更为关键,对象也比手段更容易混淆。如果说保护的对象都错了,或者根本没法说清楚,那还谈何保护呢?

  在此前写的数据治理文章中,笔者提出了数据认责的概念,特别是数据所有者的权利和责任。那么,科技部门是数据的所有者吗?显然不是,科技部门不产生数据、不修改数据、不定义数据,只是负责数据在系统的落地,那么只应是数据的技术实现者,最多可以作为数据的托管者。而业务主管部门,才是数据真正的所有者,要对数据承担最终责任,负责定义数据、解释数据、对数据质量负责。

  因此,业务主管部门应对自身数据的业务重要性,包括敏感等级进行定义,当然,这里也需要有统一的数据管理部门(可以是信息技术部)统筹管理并制定分类标准,并组织业务部门对各自数据的敏感等级进行认定。

  做风控出身的同僚们都知道,风控和效率之间是需要平衡的,没有绝对的管控,也没有百分百的效率。数据安全也是这样,需要在合规前提下结合企业自身的风险偏好,建立适合企业的一套管理机制,否则就容易陷入两个极端:要么是触碰合规的红线遭到处罚,要么是太过保守无法有效开展业务,相信这都不是投资人与管理者愿意看到的结果。

  那么,在目前这种情况下,企业要如何有效应对呢?笔者认为,可以从以下几个方面入手:

  这里连着提三个意识,除了重要的事情说三遍以外,其实它们的含义都有所不同。

  第一个意识,指的是一定要意识到数据安全或敏感信息保护不是某一个部门的事情,而是公司管理层以及所有部门的事情,不要想着把工作简单交给信息科技部门,就能解决数据安全的问题,那是不现实的。

  第二个意识,指的是不要太迷信安全技术手段,而要关注流程和人员的管理。如果大家仔细分析过往一年来业界的敏感信息泄密事件,就可以发现大部分数据泄密的原因不是由于企业的安全技术不够先进、安全加密强度不足等等,往往出问题的这些企业(特别是金融机构)在安全技术上已经是很领先、很成熟的了,问题往往出在内部管理流程和人员上。比如企业内部人员舞弊作案,有再强的安全技术手段那又有什么用?直接内部突破!中国人特别有意思的一个特点是迷信技术、忽视管理,很多领导觉得买套技术软件、硬件值这个钱,但是请咨询公司提升管理水平不值这个钱,这种观点需要改改啦!第三个意识,指的不是企业自身的意识,而是员工和客户安全意识的长期培养。

  首先让我们看看国标是如何界定敏感信息的,根据国家质量监督检验检疫总局和国家标准化管理委员会最新发布的《信息安全技术个人信息安全规范》,所谓个人敏感信息,是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。除了财产信息、健康生理信息、生物识别信息、身份信息和网络身份标识信息以外,还包括电话号码、网页浏览记录、行踪轨迹等。在国家标准层面,首次界定和列举了个人敏感信息的内涵与外延,这为企业、监管部门和第三方评估机构的监督、管理、评估提供了基本依据。

  尽管有相关国家标准作为依据,但是如何要把数据安全落到实处,企业一定要进一步明确具体的数据项和敏感分类等级。不具体、不精细化、不可执行是业界目前存在的通病。笔者和一些金融机构主管人员经常会聊到如何进行界定,似乎有一些字段是非常明确的,一定需要纳入敏感信息保护范围的,比如客户的身份证号、电话号码、支付密码等;但是有些字段就比较模糊,比如姓名包括曾用名、性别等信息,而且结合不同的数据应用场景和使用对象,又会有不同的考虑,在界定方面确实情况比较复杂。

  在明确敏感信息管理的范围和边界后,针对不同的敏感分类提出具体的保护和管控要求,那么就需要通过相配套的管理流程和机制实现了。

  不过这项工作也貌似不是那么简单的,因为首先要回答一个问题,就是这些流程和机制谁来设计?笔者经常会看到,企业内部没有这样一个部门能牵头做这件事。如果这是单纯的科技问题,那么可以由科技部门来完成,但是很多敏感信息保护的管理流程和机制,是要落实到具体的数据采集、数据维护、数据使用的业务流程中的,一旦和业务流程挂钩,涉及业务流程变更,那么就需要相关业务部门的主导了。

  安全技术也同样是实现有效敏感信息保护的重要手段,技术和管理两者缺一不可。当然,由于过去企业都比较重视安全技术,也已投入了很大资源进行相关技术和平台建设,因此这里就不一一展开了。相应地,笔者会从几个点上聊聊常见的一些痛点和难点。

  首先就是新技术标准的应用问题。大家都知道,近期监管机构以及行业协会等发布了很多新的技术标准和要求,比如支付标记化技术等。虽然这些技术本身不难实现,但是难得的是如何在现有的系统架构基础上实现,说白了就是新老平台和设备替换的问题。大家都知道,目前许多机构用的设备(比如POS等)都是老旧设备,如果全面替换的话,成本效率和客户体验都是个问题。此外,传统金融机构的系统架构如何能够支持新的技术方案实现也是一个重大挑战。当然,笔者在此无法给出具体的解决方案,但也算是抛砖引玉,把这些难题抛给行业的技术大拿们,大家一起探讨和研究。

  另外一点就是第三方数据接口管理。按照敏感信息保护的要求,金融机构是不得允许第三方保留客户敏感信息的,而且必须定期(如每年)对其开展独立性的安全评估,并形成报告存档备查。当然,这部分难的环节不完全在于技术本身,而更多的在于如何进行第三方管理,特别是强势的合作机构。最后,当然还是回归到技术如何更好地和业务结合并支持业务。目前行业上的新技术日新月异,云计算、区块链、人工智能等都是热点。未来在数据安全和敏感信息保护上,如何应用这些新技术,也留给大家作为后续进一步探讨和交流的课题吧!

  很多人可能会说,数据安全更多是为了合规要求、声誉风险,本身不创造任何业务价值,只要从合规角度进行推动,满足最低限度要求即可。确实,这种观点不是完全没有道理,至少从很多公司高管来看,只要不出安全事件就是实现了管理目标。

  新的环境下一定有新的挑战,数据安全和敏感信息保护不应该仅仅是合规管理,更应该支持业务的发展。因此,笔者提出,数据安全和敏感信息保护未来要站在企业级数据共享和应用的视角,以合规要求为前提,以数据应用为基础,以满足业务用数据需求为驱动,从技术导向转变为业务和管理导向,来进行统筹规划。当然,由于各类数据应用场景较为复杂,可以先从管理框架入手,先以监管合规要求构建数据安全和敏感信息保护的专项机制,并选择关键的几个业务应用试点作为切入,梳理并制定业务流程和应用场景层面的数据保护要求(保护的另一面就是允许使用数据的需求),并逐步纳入各类不同的业务应用场景,形成完整的体系。基于此,可以考虑和企业级数据治理工作同步推进,通过数据治理自上而下的解决数据需求和认责管理,以此作为数据安全和敏感信息保护的重要业务和管理输入,并基于此进行开展安全专项工作。

  《洞见数据价值》一书是毕马威中国大数据团队近两年来发布的部分原创文章的合集。毕马威大数据团队自成立以来,凭借对行业的深刻认知,专注于大数据等创新技术的探索及应用,为金融业、制造业的诸多客户提供定制化的咨询服务,也协助推动公司的审计、税务等业务的创新。本刊将以连载的方式,陆续推出《洞见数据价值》,对数据挖掘感兴趣的读者,可以通过该书一窥行业门径。

  本网站所有内容属《北京商报》社所有,未经许可不得转载。 商报总机 网站热线

  商报地址:北京市朝阳区和平里西街21号 邮编:100013 法律顾问:北京市汇佳律师事务所()

www.555415.com  |   好彩妹论坛  |   王中王论坛www27792com  |   大丰收心水论坛433377  |   黄大仙综合资料188144  |   793456.com  |   www.706518.com  |  


Power by DedeCms