Service support服务支持
网络安全服务 产品更新 网络安全学堂 常见问题 下载中心

理清数据安全建设思路的着力点—数据安全咨询服务

TIME:2022-11-02   click: 189 次
在中国共产党第二十次全国代表大会报告中,习近平总书记指出,国家安全是民族复兴的根基,社会稳定是国家强盛的前提。必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定。数据安全作为国家安全观的重要组成部分,其重要性不言而喻。体系化的数据安全服务能够切实提升数据安全保障能力,加速推进国家数据安全建设。

 

 

 

 

中国数据安全服务市场的驱动力

 

数据安全重视程度持续提升

随着国家数据安全顶层设计和总体布局全面加强,提升了社会各界对数据安全和个人信息保护的重视程度,这成为了数据安全产业发展快速发展的重要驱动力。

数据是数字经济时代的核心生产要素。数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体、以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。对数据要素掌控和利用的能力,已成为衡量国家竞争力的核心要素之一。

 

刚性数据安全合规要求

近年来,随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的发布,数据要素掌控和利用过程中面临刚性的数据安全合规要求。加强数据安全保护,既是各行业自身发展的主观需要,也是国家监管的客观要求。
 

数据泄露成本上涨推升企业数据安全需求

当前,数据利用与数据安全的平衡兼顾存在“对数据资产识别不完整”、“数据流动路径无法溯源”、“安全与业务难以兼顾”等现实问题。
根据IBM发布的《2021年数据泄露成本报告》,2020年至2021年,企业数据泄露事件成本平均已经达到424万美元,同比增长10%。数据泄露事件导致的最大损失是业务损失,平均为159万美元,占比为38%。统计数据显示,近年来企业数据泄露事件成本不断增加,增长幅度也呈现明显上升趋势。为应对高涨的数据泄露事件成本、降低数据安全泄露事件发生的频率、控制影响程度,65%左右的企业开始采购数据安全风险检测、风险事件及时响应工具、风险自动化处理系统等数据安全产品和服务,庞大的采购需求为相关产品和服务的发展带来了新的机遇。

 

 

 

 

数据安全建设痛点

 

多法并轨、多标准并行下缺乏一致性的合规治理手段

企业或组织需要积极响应相关法律法规及相应的标准规范,落实不同维度、不同侧重的各类监管合规要求。如何应对众多且仍持续颁布的法律法规的合规要求,是摆在企业或组织面前的合规遵循难题。

合规治理下数据安全实施细则尚不完善

面向数据处理活动及数据跨境流动,存在数据所有权与控制权(或使用权)分离的复杂场景,由于相关细化的数据安全监测与管控等实施细则建设尚不完善,导致数据流动控制与数据确权困难。若管理不善,可能会侵犯个人隐私、泄露商业秘密,甚至威胁国家安全。

传统的网络安全风险评估应对数据安全适应度不足

传统的信息安全风险评估主要是面向网络环境下的数据安全载体资产,以某个标准作为基准来设置评估项,展开相对静态、固化的风险评估,无法顺应数据流动过程中不同环境、不同目标下的安全评估要求。

数据安全防护和网络安全防护体系尚未形成有机融合

面向数据本身的数据安全防护与面向数据载体的网络安全防护体系尚未形成有机融合,缺乏围绕数据生命周期流转过程的整体化防护管理能力。数据安全防护和已有的网络安全防护体系如何有机融合是客户面临的一大挑战。

面向海量数据的数据资产梳理与分类分级实施难度大

当前,针对数据分类分级的行业级、精细化标准要求强烈。在技术维度,海量多源异构的原始数据量难以对每一条数据进行分类分级管理,如何快速摸清数据底账并保持数据分类分级的一致性以及防护策略的有效性,是企业或组织当前数据安全治理工作面临的难题。

数据所有权与控制权(使用权)分离导致数据共享和开放困境

数据作为特殊资产,其所有权和控制权(使用权)存在分离的情况,导致在数据共享交换层面面临着无法满足其安全共享和开发的困境。此外,数据处理活动涉及多个部门,主体多元、利益多元,数据安全与发展、秩序与突破,诸多价值目标在这一问题上交织碰撞,如何满足企业或组织内部各方利益关系,实现数据开发利用和安全合规的平衡也成为了难题。

业务动态变化下按需管控的运营机制尚不健全

单纯依靠管理和技术构建相对静态的防护体系,无法及时跟进业务和合规的变化,存在安全策略设置滞后风险,导致出现数据资产新增或调整识别不及时、安全风险监测不准确、安全防护不到位的防护难题。

 

 

 

 

安华金和数据安全服务整体框架

全方位解决用户痛点

 

安华金和的安全咨询服务是通过资深数据安全咨询顾问,利用调研、访谈、评估等多种咨询方法,结合国家法律法规和行业监管标准以及最佳实践经验,协助用户建设符合自身数据安全防护需求的数据安全治理体系,最终实现企业既定的数据安全目标。安华金和综合多年积累的数据安全经验,以紧密的安全咨询服务流程为抓手,以高素质的安全咨询服务支撑团队为两翼,为各行业用户提供高标准的安全咨询服务内容。
 
安华金和数据安全咨询服务包括数据资产梳理现状调研、资产梳理服务、数据分类分级服务、数据安全风险评估服务、数据安全治理体系咨询服务、数据安全检查支撑服务等。

 

图片

 

服务内容

 

1

 

数据分类分级服务

海量数据的数据资产梳理与分类分级实施难度大是各行业客户普遍反映的痛点,安华金和依托自身研发能力,借助自动化数据识别发现工具,并基于行业专家团队大量成功案例积累,形成行业级、精细化的分类分级知识库,实现智能化、高效化分类分级,并可将分类分级成果运用到对不同级别数据的安全动态防护中。

 

2

数据安全风险评估服务

安华金和以数据安全风险评估框架为基础,面向数据本身及其数据处理活动,围绕资产的重要程度、面临的安全威胁、脆弱性及安全措施等评估维度,在数据资产识别、法律法规遵循、数据处理活动、数据跨境流动、数据支撑环境等方面建设针对特定数据应用场景的安全风险评估机制。另一方面,帮忙用户建立面向数据的全链路的数据流动监测与数据泄露风险分析机制,有效监控数据共享和开放过程的安全风险,并通过访问控制、数据脱敏等防护手段,保障数据共享和开放的安全性。

3

数据安全治理体系咨询服务

即便用户已经开展针对数据本身的数据分类分级、访问控制、数据加密、数据审计、数据脱敏等单点数据安全防护能力建设,然而面向数据本身的数据安全防护与面向数据载体的网络安全防护体系尚未形成有机融合,缺乏围绕数据生命周期流转过程的整体化防护管理能力。
安华金和帮助用户构建数据安全体系,结合以往网络安全体系等保合规建设成果,充分依托现有成熟的网络安全管理组织及人员、网络安全管理制度及流程、运维保障机制,扩展以数据为中心,围绕数据处理活动场景的数据安全管理体系,运用业内领先成熟方法论和最佳实践经验,明确数据内容安全管理的思路和定位,构建符合监管合规要求、具有客户行业特色的数据安全体系。
 

服务优势

1

专注、专业

安华金和专注数据安全领域十三年,是中国“数据安全治理”理念、体系的提出者和践行者。公司围绕数据为核心,提供覆盖数据安全合规、数据安全保护、数据安全管理、数据安全共享四大领域的数据安全整体解决方案。以“平台化、体系化、可视化、实用化”为出发点,建立一站式数据安全治理能力,包括数据资产梳理、数据安全监测、数据安全防护、数据安全运维等,实现面向各数据处理活动的事前防护、事中监测、事后审计的整体、动态安全防护体系。
公司咨询服务团队由数据安全领域15年以上老兵组成,根据国家政策、法规及标准要求,结合各行业发展趋势,深度调研分析不同用户差异化场景和需求,为用户构建符合监管合规要求、具有行业特色的数据安全体系。

2

技术创新

区别于仅做咨询服务的提供商,安华金和是中国专业的数据安全产品与解决方案的提供商,拥有数据库安全核心技术储备,包括数据库加密技术、数据脱敏技术、数据库通讯协议解析和控制技术、数据库攻击和防御技术;此外,安华金和研发完成数据资产发现和分级分类技术、数据水印溯源技术等,形成了一条更为完整的数据安全产品线:涵盖数据库漏洞扫描产品、数据防火墙产品、数据库加密产品、数据库脱敏产品、数据库监控与审计产品、数据库安全运维产品、数据资产梳理产品、数据水印产品。
专注专业+技术创新是安华金和数据安全服务取得优秀成果的重要引擎与动力。

 

 

 

 

中国数据安全服务市场发展态势

 
当前在我国数据安全市场中,数据安全服务占比相对较低。目前国内市场上的数据安全服务主要涵盖数据安全合规评估、数据安全规划咨询、数据安全治理(分类分级)三大类,数据安全托管、数据安全运维、数据安全测评、数据安全防护能力评定等服务开展较少。安全厂商数据安全服务在总销售额中的占比水平普遍较低,且目前数据安全服务缺乏标准化的规范指导,尚未建立成熟的服务评价体系,企业在选择过程中缺乏参考指导。但近两年,随着数据安全市场规模不断扩大,数据安全服务市场也将迎来高速发展期。
据中国信息通信研究院《数据安全技术与产业发展研究报告(2021年)》显示,未来数据安全市场3到5年内将保持继续高速增长态势。
 

数据安全保护规则体系进一步细化

未来将进一步细化数据分类分级、重要数据目录、数据风险评估、数据出境等重点工作的相关规范要求,进一步明确国家核心数据、重要数据保护手段。
个人信息出境安全评估、安全认证、个人信息侵权案件公益诉讼等重要制度也将逐步落实,成为个人信息保护的有力抓手。
下一步,企业层面也需要建立健全个人信息合规体系,落实敏感个人信息保护、个人信息影响评估、合规审计等法定保护义务,重点对自动化决策、未成年人个人信息保护、个人信息主体的权利实现等方面加强企业内部管理制度机制建设。
 

数据安全趋于行业差异化、需求定制化

数据安全将向专业化、体系化方向不断迈进,数据安全服务垂直细化的趋势愈加明显,促使数据安全企业的服务愈加专业,企业与企业之间、行业与行业之间的独立性越来越强,专业化聚焦基础上的“差异化共存”成为商业主流,以“需求定制”为驱动的专业型供给时代正在到来,专业型数据安全企业将迎来创新发展新机遇。

数据安全服务是数据安全建设的前哨兵和主要抓手,随着未来我国数据安全法律法规和监管要求的不断完善,安华金和将发挥自身的技术实力和人才优势,整合安全能力,持续为用户提供更全面、完善的安全咨询服务,助力各行各业用户持续开展数据安全体系建设,应对新时代下多元化的安全挑战。

文章来源于CCIA数据安全工作委员会 ,作者石广悦