企业数据安全

成功的企业数字化转型不仅是通过信息和数字化技术重塑企业核心业务,还要具备配套的数据安全能力,以让数字化转型后的企业在数据时代持续“活下去”。

数字化转型涉及对企业和组织如何利用新技术追求新收入或新商业模式的彻底反思,还需要跨部门协作,把专注于业务的理念与面向未来的IT技术配合起来。成功的企业数字化转型不仅是通过信息和数字化技术重塑企业核心业务,还要具备配套的数据安全能力,以让数字化转型后的企业在数据时代持续“活下去”。

企业架构与安全是数字化转型的基础需求

数字化转型主要的意义是一个公司无论从流程、产品设计都要基于大数据、云计算的架构来为企业业务发展制定方向。很多企业管理者会认为IT只是辅助业务发展的工具,但在大数据时、云计算和人工智能时代,IT是生产力的重要组成部分。同时,数字化正在进入深水区,制造业、服务业等传统意义上的非数据密集型行业开始产生海量的数据,更不用说原本就是“数字企业”的金融、互联网、教育等等行业,毋庸置疑,数据已经成为各行各业的基本生产要素之一。

事实上,如果不先打破IT和业务之间的隔阂,数字化转型就根本无法开始。正因为这样,企业架构才成为数字化转型的两大基础需求之一,也是企业在筹划转型前的必修课。通过对企业战略、组织、职能、业务流程、IT系统、数据、网络部署等的完整、一体化描述,明确企业业务的状况,体现业务与IT的映射关系,明确各类IT设施对业务的支撑关系,从而构建稳健的企业信息系统架构,实现数据共享、模块集成、业务协同,满足未来不断变化的业务需求。

随着烟囱似的信息化逐渐破除,信息系统间开始打通、共享、协同,数据时代的重要生产要素—数据也开始在企业内部快速流转,直至“失控”。由于在完成数字化转型后,所有的企业都将变成数字型企业,业务也将数字化,被“萃取”出更高的价值,一切的资产都将以数据的形式呈现,传统的设备也将变为联网设备持续在线,接收信息指令的控制。如果不在转型过程中把数据安全作为基础需求,企业管理者恐将在日后的数字化业务大发展的时候惴惴不安。

用企业架构的模式思考数据安全治理

企业架构是对真实世界企业的业务流程和IT设施的抽象描述,通过分析企业业务战略导向、企业组织与流程、信息化需求、企业业务能力与业务模式来确定业务架构,进而确定企业的IT架构。企业架构是企业信息化的顶层设计、完整理念和方法论。

目前数据安全领域普遍存在安全目标与业务目标相脱节、数据安全需求不明确、控制措施是否得当缺乏明确依据等问题。为了确保数字化支撑下的业务的“长治久安”,数据安全治理也需要量身定制,贴合企业业务来进行。因此,数据安全治理绝不仅仅是一个产品或解决方案“套餐”,而是从决策层到技术层,从业务部门到IT部门,从管理制度到技术支撑,自上而下贯穿企业各个部门的完整覆盖,并且要与其间的各个环节相匹配和适应。企业内的各个层级之间也需要对数据安全治理的目标和宗旨取得如企业架构一般的共识,确保采取合理和适当的方法对数据资产实现有效保护。
体系化地进行数据安全治理,就要走出以往头痛医头脚痛医脚的安全建设误区,比如只重视攻防对抗,轻视数据保护;重视单点防御,缺乏体系建设;重视技术产品,与业务结合差;重视满足合规,对实效没有更高要求等一系列问题。

要想做好数据安全治理,首先要自问下面这些问题:

是否有安全效果问责制
谁对数据安全治理具有决策权
有无划定可接受的安全风险范围
数据安全方案设计是否有业务部门参与
目前的数据安全手段有无能力进行有效的风险控制
是否有风险控制措施有效性的评估手段

数据安全治理要深入业务流程

数据安全治理不是一个IT项目,而是与其他业务线发展同等重要的业务行为,与业务流程改进一样,是能够为企业良性发展提供有力保障的战略行为,或者说数据安全其实是企业业务的一个组成部分,而不仅是技术支撑。

因此,在应用大家耳熟能详的各种安全技术和机制之前,首先需要做的是了解企业安全战略,梳理业务流程、梳理关键数据、梳理信息和数据流、确立权责关系、确立数据权限、功能权限和角色权限。通过梳理业务流程和其中的关键数据,进行威胁建模,有助于建立对应的数据安全治理措施和制定相关的可接受风险承受范围。在一款新产品上市过程中,涉及从战略制定到售后支持等近10个业务阶段和信息化系统,数十种不同的关键敏感数据,不同的数据丢失可能都会给新产品的拓展带来威胁,比如战略决策、拓展计划等文件泄露会遭到竞争对手的提前狙击,供应商、采购价、配方、设计图等信息泄露会导致竞争对手控制原材料采购价或直接复制产品等等。

同样地,在跨系统和业务部门间持续流转的数据,根据业务功能的不同有对应的安全需求。业务活动类别的业务属性为业务功能,逻辑位置,责任追究属性,非常态使用属性。每种概念的安全需求都要从保密性,完整性,可用性,不可抵赖性等安全属性进行分析。数据对象的业务属性决定了其安全属性,需要根据安全属性确定安全需求,根据安全需求实施安全控制。比如业务功能决定了业务活动的重要级别和保密性,关联程度越高数据可用性和完整性要求越高,责任追究属性要求数据的使用记录不可篡改等等。
由于企业内部系统的互通性和复杂性,要求对于数据的安全保护,必须进入到业务流程中。企业还需要对结构化和非结构化数据进行分别保护,根据其所处的位置和形式进行分类划分,以及根据重要程度进行分级(要有密级标识),对不同位置、不a同形式和不同级别的数据实行不同的保护策略。比如未经审批授权无法将数据导出;带出工作环境需要将数据加密处理;不同类别的商业秘密文档,需要按部门、项目组、用户名的方式设置细粒度使用权限,且应给予最小权限等等。

小结

在数字化转型的大背景下,企业需要将数据安全治理与企业架构相结合,形成一个从上而下的整体框架,形成包括治理前提,具体目标和技术支撑在内的完整体系,当然,数据安全治理也不宜冒进,需要确保业务需求与风险控制有良好的平衡,在保障业务发展和业务敏捷度之间找到一个合理的度,才能有效推进数据安全治理进程,实现有效护航企业数字化转型。

原文地址:https://www.cnblogs.com/LILi666/p/10628614.html

时间: 2024-11-05 22:38:47

企业数据安全的相关文章

翼火蛇安全专家:教你5招,企业数据安全不再难

近年来,互联网技术的极速发展,为现代企业带来信息化的飞跃.各领域持续的网络信息化,产生企业数据的井喷.然而,企业安全意识的缺失和防护技术的滞后,使得企业数据安全面临严峻挑战.作为未来企业经营的核心,数据资产的泄露造成的,不只是经济和声誉上的巨大损失,甚至将关乎企业的存亡. 如何保证企业核心数据的安全无忧?翼火蛇专家根据多年深耕企业信息安全领域的丰富经验,总结了5个方面的防护技巧,相信能为你的企业数据安全提供有效的帮助. 一.加强安全意识培训 近年来的一系列企业泄密事件的发生,根本原因还在于安全意

红芯为企业数据安全与隐私保护提供解决之道

过去的一年,网络安全领域可谓机遇与挑战并存.一方面,<网络安全法>的实施,让人们在网络安全领域感受到了"国家力量":另一方面,网络攻击.信息泄漏.诈骗等安全事件屡屡爆出,不断敲响着数据.信息安全的警钟. 相关数据显示,现在的网络安全威胁正在从传统概念上的PC端和移动端的病毒模式逐渐向数字化和破坏性等方面转移.一份来自某知名网络安全企业发布的<2017年度互联网安全报告>(以下简称<报告>)显示,2017年以来,企业面临着多种多样的网络攻击风险,网络安

SaaS企业数据安全赋能

在移动互联网时代,数据成为了这个时代的关键词,无论是国家.企业还是个人,数据都是一笔宝贵的财富,在SaaS企业中,数据尤为重要.所以如何保障企业的数据安全成为企业思考的重点. 2018年11月8日-9日 由国内影响和连接企业服务决策人.B2B领域创始人社群-崔牛会,主办的"回归 · 突破"2018中国企业互联网CEO峰会,在北京辽宁大厦隆重举行,国外大型投资机构Emergence Capital 的5位投资人莅临会场,国内投资机构与企服领域300多名CEO共同出席本次盛会,共话企服Sa

实现数据安全,企业应该如何操作,2019年互联网时代的数据安全问题,应该如何维护

长久以来,数据安全一直是热门的话题,只是不同时代人们对数据安全的认识程度不高.目前,信息化程度的发展,互联网的普及,办公自动化水平的提高,在不断的发展中,企业及个人都意识到时代数据信息安全重要性.现在,面对这么多勒索.欺诈和数据泄露事故,加密敏感数据显得更加至关重要.那么未来2019年甚至更久,互联网时代的数据信息安全应该如何维护? 想要保证互联网时代企业数据安全,首先要清楚数据泄露的原因及根源,那样才能从根本上去解决问题.对于企业来说,数据安全问题的根源,企业内部电子文件的流通使用就是关键,那

Win10源代码遭泄露,全球数据安全危机风暴来袭

黑客入侵窃取重要文件数据事件此起披伏,从最早的熊猫烧香,到今年出现的勒索病毒,暗云木马等,都危害了全球的文件数据安全.在最近的全球重大新闻事件上,数据文件泄露已经是频频出现在人们视野里,就在几天前,Win10源代码也惨遭泄露.大数据时代,数据文件加密保护已经是每个企业及个人必须要重点对待的重要问题点. 源代码对软件甚至操作系统的安全及其重要,有linux以开源达到安全,也有win以不开源达到安全目的.相信大家对于微软的win 操作系统都不会陌生.近日,外媒获得消息称,微软Win10操作系统源代码

源代码数据安全加密技术分析

现如今各类高新产业已经到了遍地开花的时代,传统与现代产业在不断地碰撞中,擦出了未来的火花.当然在这技术革新的烘炉中,数据安全已经达到了必不可缺的地步.传统的数据安全系统,基本上就是利用防火墙或者病毒防护,再者就是做好入侵检测工作,而这些都已远远不能满足用户的安全需求. 2017年5月12日勒索软件(WannaCry)全球蔓延,此次事件的爆发俨然给全球互联网都带来灾难了性的破坏.这种病毒就是利用了已知OFFICE漏洞.永恒之蓝SMB漏洞.局域网感染等网络自我复制技术,使得病毒可以在短时间内呈爆发态

运维堡垒机—如何解决企业运维操作审计问题?

运维审计作为运维堡垒机的功能之一,是保证企业数据安全不可或缺的重要运维工作内容,运维堡垒机是指在某一个特定的网络环境下,为了保障网络和数据不受来自内部合法用户的不合规操作带来系统损坏.数据泄露,从而实时收集和监控网络环境中每一个组成部分的系统状态.安全事件.网络活动,以达到集中报警,并记录.分析.处理的一种技术手段.那么运维堡垒机如何保障企业运维安全呢? 运维操作无法审计导致数据安全无法得到保障 每个系统独立运行.维护和管理,因此每个系统的审计也是相互独立的.所以需每个主机系统分别进行审计,当安

云计算,企业大数据的守护神

云计算是顺应时代发展的产物,通过因特网的超级计算能力成为可能,企业和个人用户不用再费时费财地去置备昂贵的硬件设施,只需购买或通过互联网租用计算能力即可.可以说,"云计算"给了我们一个伟大的机会,它降低计算成本,让享受信息革命的成果尽可能覆盖到每一个人,使得信息和知识得以有效分享. 云计算已成为IT行业的重点发展领域.无论是国外巨头亚马逊.谷歌.微软,还是国内领跑者百度.阿里.腾讯,都将"云"当做未来发张的重点.美国作为云计算的引领者,整体增速保持在20%以上:而对于

企业业务如何更好地适应云计算?

导读 那么云计算如何让企业业务更加安全呢?对此哟屋昂有表示称,企业的数据安全是一个很受重视的方面,只有企业数据安全得到了保障,企业才能保证业务的顺利展开. 随着云技术和互联网的不断发展,云计算技术跟随互联网的脚步不断发展起来,现在越来越多的企业加入到了云计算的开发当中.就国内云计算产业来说,近些年在云计算的学术领域.技术应用领域多诸多方面都进行了非常多的探索和尝试,现在我国的云计算技术已经发展到了一定的阶段. 那么云计算如何让企业业务更加安全呢?对此哟屋昂有表示称,企业的数据安全是一个很受重视的