运营商们快来get√,数据安全合规能力建设“秘籍”
网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。
——《数据安全管理办法第六条》
随着信息化大力发展,持续提升运营商“互联网+”服务能力,运营商已经较全面建立了信息化的业务系统。相对于普通的互联网应用系统,电信运营商的业务系统更加复杂,大致可分为固网业务系统和移网业务系统。其中,固网业务系统可细分出统一平台的综合业务系统、互联网服务平台、企业信息化平台、客服系统、邮件系统等,移网业务系统可细分出计费系统、网上营业厅系统、移动办公系统、短信系统、彩信系统、无线增值系统等。多种业务系统中都存储着大量的数据,数据在个人终端存储、内部业务系统流转、数据离网及外发等环境下都存在泄密的风险。在业务系统使用过程中也面临被违规越权使用或被用于非法用途等数据信息泄漏的安全风险。
这些承载在各个业务系统上的数据资源,一方面是电信运营商长期运营积累的宝贵财富,另一方面也是国家监管部门监督检查的重点。无论是国家法律法规还是行业准则,都对运营商数据安全监管提出了明确的要求:
国家层面:《网络安全法》、《数据安全法》、《个人信息保护法》等从法律制度层面对数据的安全提出了相关防护要求。
行业监管:工信部网络安全管理局下发《各省级基础电信企业网络与信息安全工作考核要点与评分标准》、工信部办公厅下发《电信和互联网行业提升网络数据安全保护能力专项行动》等规范都对数据安全的合规性建设提出了相关的要求。
·数据安全分类分级
实施数据分类分级管理,对数据处理活动相关平台系统进行全面清查,输出数据资源分类分级清单;识别重要数据,形成重要数据清单。
·数据安全技术防护能力建设
强化企业大数据安全重点技术能力建设和使用,具备对数据资产的识报送信息包括企业数据资别脱敏、接口安全管理、访问和操作行为安全审计等技术能力。
作为国内新一代信息安全技术企业的代表厂商,明朝万达基于对数据安全领域的深入探索和研究,依托强大的技术产品实力,可为运营商提供多种自主研发的数据安全产品和相关安全服务,满足运营商合规建设,提升数据安全防护能力。
数据分类分级服务
明朝万达针对运营商行业对数据分类分级需求,提供数据分类分级服务。以运营商两大分类(用户相关数据和企业自身数据),四级数据分级为数据分类分级标准,使用分类分级工具通过自动发现、数据录入等方式对企业内部数据库资产进行管理。同时支持对企业内部服务器的非结构化文件进行管理。最终通过数据分类分级服务输出详细的分类分级清单。用户可直观感知敏感资产信息,为企业管理员人员的数据安全决策提供数据依据。
数据合规检查服务
随着数据安全法的颁布,运营商既要保护敏感数据资产的安全,符合监管要求;又要在不改变现有业务流程的前提下快速部署实施,降低自身员工生产过程中使用数据资产的操作复杂度,提升生产效率。
针对上述问题,明朝万达推出了Chinasec(安元)数据安全合规检查工具。该工具支持用户能够对标现有基础的等保、数据安全法以及数据安全管理行业管理规定,提前对办公终端电脑、服务器环境中的数据文件进行合规性自检。提前发现数据安全管理的风险并由用户进行响应的合规性处置,帮助企业用户平衡敏感数据资产的生产效率与合规风险。
数据安全技术防护能力建设
在网络与数据资源高度融合的环境下,围绕数据全生命周期,从采集、传输、存储、处理、共享、销毁等环节,以数据为核心,形成覆盖“云、网、应用、数据、终端”的一体化安全服务,实现主动防御数据安全防护体系能力。
实现成果
·满足监管要求
数据安全防护服务提供多种安全能力,贯彻落实《网络安全法》、《数据安全法》等法律法规及标准,以防滥用、防泄露作为数据安全核心需求,实现针对数据全生命周期的分类分级、数据识别、安全审计、防泄漏等安全技术,响应《电信和互联网企业网络数据安全合规性评估要点(2020年)》中的基础性评估要点、数据生命周期评估要点以及技术能力评估要点的技术内容。符合《各省级基础电信企业网络与信息安全工作考核要点与评分标准》中的实施数据分类分级管理和强化企业大数据安全重点技术能力建设标准,满足运营商数据安全监管要求。
·应对业务需求
因工作需要从支撑系统、业务平台或通信系统中提取的文件包含敏感数据时,从技术手段上防止其被泄漏。可采用的技术手段包括文件内容加密、数字水印、数字签名、文件打开次数限制、文件修改权限限制、文件打开终端限制等。以业务系统的数据安全为核心目标,贴近用户使用场景,为用户构建整套立体数据防泄密体系。
·提升数据防护
以数据为中心,建立覆盖运营商数据生命周期安全防护机制。在采集、传输、存储、处理、共享、销毁等环节,提供相应的数据安全保护服务。(如数据分类分级、访问控制、数据加密、数据脱敏、用户行为分析等),满足数据全生命周期不同阶段的安全需求,全方位提升核心应用、业务及数据数据安全防护能力,有效应对外部攻击和内部泄露,构建面向数字时代的新一代主动防护安全体系。