Gartner最新研究：洞察中國企業(yè)的數(shù)據(jù)安全

Gartner 中國企業(yè) 數(shù)據(jù)安全

原創(chuàng) 木清漪 | 2022-11-18 13:51

【數(shù)據(jù)猿導讀】隨著我國《數(shù)據(jù)安全法》和《個人信息保護法》的正式頒布施行，數(shù)據(jù)安全與隱私保護問題越來越引起國家、社會以及企業(yè)的重視。數(shù)字時代到來，面臨越來越多的數(shù)據(jù)，許多企業(yè)都面臨著這樣一個問題：如何能夠合規(guī)使用手里的數(shù)據(jù)讓其發(fā)揮價值，又最大限度保護自身的數(shù)據(jù)的安全

數(shù)據(jù)安全現(xiàn)狀：

從事件+合規(guī)驅動到業(yè)務驅動

現(xiàn)如今，許多企業(yè)面臨這樣的數(shù)據(jù)使用情況：一方面，業(yè)務部門嘗試用不同的方法挖掘數(shù)據(jù)的使用價值，對數(shù)據(jù)做分析、應用。比如在營銷的場景中，許多互聯(lián)網(wǎng)企業(yè)、金融企業(yè)，用客戶的數(shù)據(jù)去做用戶畫像或精準營銷。另一方面，數(shù)據(jù)安全和隱私合規(guī)部門持續(xù)對數(shù)據(jù)的使用情況進行溝通，擔心違背數(shù)據(jù)保護與合規(guī)的要求。比如: 遵守相關的法律法規(guī)，保護客戶數(shù)據(jù)隱私，核心業(yè)務數(shù)據(jù)不能隨意的和第三方做共享。如此一來，使用數(shù)據(jù)時，企業(yè)如果不能找到一個比較有效的機制去平衡數(shù)據(jù)保護方和數(shù)據(jù)使用方之間的需求，就很難把有價值的數(shù)據(jù)資產(chǎn)在企業(yè)內部或外部之間流動起來，真正去發(fā)揮數(shù)據(jù)的價值。

據(jù)Gartner研究顯示，過去的事件驅動型的投資在如今已經(jīng)轉換為合規(guī)驅動性的投資。研究總監(jiān)陳延全曾說，“滿足合規(guī)要求是數(shù)據(jù)安全工作的底線，不是最終目的，最終數(shù)據(jù)安全的投資需要反映到對業(yè)務產(chǎn)生的價值。” 因此他們對于數(shù)據(jù)安全治理提出新方法，既幫助企業(yè)平衡業(yè)務部門使用數(shù)據(jù)進行創(chuàng)新的需求，又能協(xié)助企業(yè)能夠滿足相關的監(jiān)管合規(guī)要求。可以幫助企業(yè)從“合規(guī)驅動型”的數(shù)據(jù)安全投資，逐漸轉向成“業(yè)務驅動型”的投資。

目前數(shù)據(jù)安全領域的產(chǎn)品市場呈現(xiàn)出碎片化的情況，數(shù)據(jù)安全產(chǎn)品的品類、品相非常多、廠商也非常多。這造成甲方企業(yè)客戶在選購數(shù)據(jù)安全產(chǎn)品上，會有一定的困難。在此基礎上，Gartner進一步分析了六個能夠影響到數(shù)據(jù)安全發(fā)展和治理的驅動力，分別是監(jiān)管合規(guī)要求、安全威脅、IT戰(zhàn)略、數(shù)據(jù)可見度、碎片化產(chǎn)品和業(yè)務需求。

Gartner_中國企業(yè)_數(shù)據(jù)安全-1

如魔方示意圖所示，六個數(shù)據(jù)安全發(fā)展的驅動力互相關聯(lián)，相互作用。因此企業(yè)要考慮從這六個方面綜合考慮自身的數(shù)據(jù)安全治理。首先要考慮的就是合規(guī)，Gartner預測：2025年，在中國開展業(yè)務的大型跨國機構將近有半數(shù)以上會開始設置專職的數(shù)據(jù)安全負責人。這些數(shù)據(jù)安全負責人必須具備有一定程度本地的法律專業(yè)知識，還有語言技能，才能夠更好幫助服務的企業(yè)來滿足中國本地相關的數(shù)據(jù)安全保護需求。目前國內在數(shù)據(jù)安全方面主要以滿足《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》三部法律為基礎，同時網(wǎng)信辦及各個行業(yè)監(jiān)管機構發(fā)布的相關規(guī)范，多項法律法規(guī)的頒布讓企業(yè)在數(shù)據(jù)使用上如履薄冰，“數(shù)據(jù)使用是否符合規(guī)定”成為了企業(yè)不得不考慮的問題。

如何實現(xiàn)數(shù)據(jù)安全治理？四步走戰(zhàn)略

根據(jù)Gartner最新發(fā)布的一系列“最佳實踐”的分析報告和“企業(yè)如何去響應《數(shù)據(jù)出境安全評估辦法》”的相關報告顯示，大多數(shù)企業(yè)的數(shù)據(jù)安全治理會分為以下4個步驟：

一、設置數(shù)據(jù)安全治理與管理職能。

這一步主要是設定組織內部的角色分工，比如設置安全管理部門、建設企業(yè)內部的數(shù)據(jù)安全管理體系等。

二、落實數(shù)據(jù)發(fā)現(xiàn)與分級分類。

通常企業(yè)處理的數(shù)據(jù)類型涉及多種，有些數(shù)據(jù)是屬于結構化數(shù)據(jù)，是傳統(tǒng)數(shù)據(jù)庫里面的表單數(shù)據(jù)，有些是非結構化數(shù)據(jù)。比如：辦公文檔，甚至圖文件、視頻、語音等都屬于非結構化數(shù)據(jù)，這些數(shù)據(jù)一般放在公司內部本地部署的服務器或通過云上的SaaS服務來存儲使用。

用戶需要首先發(fā)現(xiàn)識別這些數(shù)據(jù)，識別之后根據(jù)數(shù)據(jù)的使用敏感性及數(shù)據(jù)本身的業(yè)務屬性做分類分級。這也是目前大部分國內企業(yè)在數(shù)據(jù)治理方面的重點工作。

三、開展數(shù)據(jù)安全與合規(guī)評估。

現(xiàn)在國內相關法規(guī)里提到的需要進行的數(shù)據(jù)安全評估的項目非常多，比如：《數(shù)據(jù)安全法》要求企業(yè)在涉及到重要數(shù)據(jù)處理時，定期要開展一次數(shù)據(jù)安全風險評估；其他法規(guī)也提到，如涉及到數(shù)據(jù)出境，需要做數(shù)據(jù)出境安全評估；如若涉及到處理個人信息，也要做個人的影響評估.....因此，數(shù)據(jù)安全使用合規(guī)已成為了企業(yè)需要長期投入成本、持續(xù)運營的一項工作。

四、選擇并整合數(shù)據(jù)安全產(chǎn)品。

Gartner建議企業(yè)如果在選擇數(shù)據(jù)安全產(chǎn)品，盡量采用整合型的數(shù)據(jù)安全產(chǎn)品，也就是平臺型的產(chǎn)品。因為平臺型的產(chǎn)品能夠整合單一功能的數(shù)據(jù)安全產(chǎn)品。如果長期去操作、運維、維護這些單一功能的數(shù)據(jù)安全產(chǎn)品，會給企業(yè)增加相當大的運維負擔。

數(shù)據(jù)安全投資的本質：貼近業(yè)務的需求

據(jù)Gartner預測：2025年，中國60%以上企業(yè)機構的董事會將把網(wǎng)絡安全風險視為一種業(yè)務風險。這個趨勢會幫助我們把網(wǎng)絡安全投資以及數(shù)據(jù)安全投資從合規(guī)性驅動轉換成業(yè)務驅動。在此之前，首先需要安全部門與業(yè)務數(shù)據(jù)使用方建立一個共同理解。因為數(shù)據(jù)對于安全部門和業(yè)務部門是有不同意義的，看待數(shù)據(jù)的視角不同，導致安全部門和業(yè)務部門對于數(shù)據(jù)的分類、管理及風險評估采用的方法不同。

通常來講，企業(yè)里的安全部門會以數(shù)據(jù)的機密性、敏感性來對數(shù)據(jù)做分類分級。通常把數(shù)據(jù)分為外部數(shù)據(jù)、內部數(shù)據(jù)、機密數(shù)據(jù)、絕密數(shù)據(jù)等。業(yè)務部門則更多的從數(shù)據(jù)實用性或者業(yè)務屬性對數(shù)據(jù)分類，大多把數(shù)據(jù)分為“研發(fā)數(shù)據(jù)、財務數(shù)據(jù)、人事數(shù)據(jù)”等。有趣的是，兩個部門管理數(shù)據(jù)的方式也不完全相同。比如：一個企業(yè)數(shù)據(jù)的使用期期限到了。你問業(yè)務部門：“這些業(yè)務數(shù)據(jù)該怎么處理？”業(yè)務部門傾向會說：我們就永久保存，說不定以后還會再用上。而安全部門則會說：“數(shù)據(jù)沒用了就銷毀掉，我們就只保存最少的期限，符合監(jiān)管原則即可。”

這種不同的處理方式也會反映到對數(shù)據(jù)做風險評估、風險處治優(yōu)先級的排序上。Gartner研究總監(jiān)陳延全表示，現(xiàn)在國內有很多不同的數(shù)據(jù)風險評估合規(guī)要求，我們把使用數(shù)據(jù)過程中涉及到的風險分為三大類，自下而上包含：數(shù)據(jù)/隱私風險，業(yè)務風險，以及業(yè)務風險最終會給企業(yè)帶來的財務風險。

Gartner_中國企業(yè)_數(shù)據(jù)安全-2

大部分企業(yè)在做“數(shù)據(jù)風險評估”時，通常最關注底層的數(shù)據(jù)/隱私風險。為了滿足相關監(jiān)管要求，把通過自評估的工作流程如數(shù)據(jù)安全風險自評估、數(shù)據(jù)出境自評估或者隱私影響評估發(fā)現(xiàn)的“不合規(guī)項”直接做處置。

Gartner_中國企業(yè)_數(shù)據(jù)安全-3

Gartner建議企業(yè)透過一些工具、方法、流程，將這些數(shù)據(jù)的風險映射到對于業(yè)務部門的影響上，再基于對這些業(yè)務影響去量化財務風險。這樣，當企業(yè)在做風險處置優(yōu)先級排序的時候，就可以采取由上至下的思路，挑選出能夠最大程度降低企業(yè)的財務風險優(yōu)先處治它，就不單只是考慮合規(guī)的需求、同時也考慮業(yè)務的需求。在完成以上分析的基礎上，企業(yè)可以通過風險、價值、成本的模型去優(yōu)化未來的數(shù)據(jù)安全投資策略組合，讓數(shù)據(jù)安全投資更貼近業(yè)務的訴求。

文：木清漪 / 數(shù)據(jù)猿

來源：數(shù)據(jù)猿

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關內容都會注明來源與作者；轉載我們原創(chuàng)內容時，也請務必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責。