很可惜 T 。T 您现在还不是作者身份,不能自主发稿哦~
如有投稿需求,请把文章发送到邮箱tougao@appcpx.com,一经录用会有专人和您联系
咨询如何成为春羽作者请联系:鸟哥笔记小羽毛(ngbjxym)
作者:龚诗然
第二个问题是建立完善的数据安全体系技术和落地。传统的安全模式,已经无法适应现在数据安全的需要。因为目前的新态势新要求在做好业务安全的基础之上,如果做的比较优秀的一些企业他们会通过一些比较智能化的平台,在技术层面去实现对风险的核查、数据梳理、数据保护,还有数据类型监控预警的核心能力。业务层面在全生命周期的管理也有落地措施,另一方面再理想一些,但目前可能见到的比较少,就是在实验过程中流程自动化。因为人工智能和机器学习其实是未来数据安全工作的一个关键,大型企业,如果在数据和个人信息方面体量,非常大的一个企业,在理想状况下应该是遵从一种流程自动化,包括数据的定位提取,保持制度能切实落地或是有效管理方式。
顺便插一句,在做评估时会出现某些问题,例如人员岗位变动产生的权限管理的矛盾点,HR无法承担离职长远场景下员工数据权限的管理问题,确实是我们在具体实践过程中经常看到的一些问题。就是关于这种离职转岗场景下权限清理不及时,这样的一些流程问题,人员也不具备管理这方面内容的能力,另一方面像数据资产管理,涉及到数据的一些流动,内外部共享情况下,企业合作方的管理和资质审核其实很多仅停留在商务条件方面,商务人员也是无法承担对合作方能力资质的鉴定,然后数据安全的管辖部门不清晰,比如说有很多公司,他们是很难将数据安全管理和网络信息安全管理进行拆分,很长时间仅仅由最初始的信息安全部门担任相关数据安全管理工作,但缺乏一定的标准文件对股市技术能力支撑,包括工作开展思路,还有面向数据操作的审计不完善,要么是没有工具,要么就是存在一定的工具,但在人员配套的能力,或者技能,或者和业务是否能融合存在问题。
以及对于数据安全风险评估,因为刚才数据安全法也提到说要定期去开展风险评估,但是其实关于风险评估方面,企业在做内部的评估和审计的时候缺乏一些规则和办法。目前看到的很多案例里面,一些中小型单位并不具备这些能力,也没有做这方面的工作,其实这就是一个风险点。以上讲到的是数据安全治理中发现的一些问题,侧面佐证了数据安全治理体系这四个要素在理想状态下的是缺一不可。
刚才数据安全法中特别提到,支持做评估和评测工作帮助企业和单位,找到自己的能力差距,然后进行补齐,那么我们目前国内的能力评估现状是怎么样的呢?一方面我们国家高度重视标准化工作的,在左上角的这个列表里面我们都能看到关于数据安全方面有一系列的标准文件,但是从现状的另一方面来说,目前市面上的一些认证都还在基于比较传统信息安全方面的,另外再从市场现状来说,目前行业的数据安全治理还属于发展初期,在评估和评测的过程当中,也会遇到以下这些问题:比如各个行业的能力水平不同,以及在开展评估过程中也发现虽然标准文件很多,但是具体可以量化用来评估度量的方法有一定缺失。另外,与监管要求和公众期待还存在一些差距,我们也现在还不具备贴近产业现状的一个具体的指南。然后企业自身很少见到说形成一个非常完备的体系化的数据安全方面的防御能力。
企业数据安全治理能力不足,规则体系和业务场景太多,经常在开展评估的过程中会花很大一部分时间去履行他们系统所涉及的应用场景,还有数据流转的环节,然后另一方面治理的人才比较缺乏。就像我们在评估过程中经常能看到每个业务线配了一个安全接口人,安全BP的角色,但是职务可能是产品,可能是风控,他们不一定是数据安全治理方面的专业人才,大多数处于兼任的状态。另一方面就是专门做数据安全治理方面,各企业反馈人员配置不足,难以支撑当前的业务体量。最后标题为立法要求,这块讲的是我们现在面临的现状。但是目前国家已经把数据安全治理这方面已经提到战略高度了,在积极推进各种法律,所以需要无论是企业还是第三方机构迅速建立一个能力评估的一套规则,然后去帮助各家尽快建立自己的治理能力,或者说做能力方面的提升。
下面我简单介绍一下信通院推出的DSG评估,DSG评估主要是一款市场化的数据安全治理能力评估的一个服务,从去年十月份中国互联网协会启动了DSG标准的编制,现在其实已经进入到2.0的迭代阶段。但是1.0标准是在去年的时候颁布的,当时第一批通过DSG评估的,有联通大数据、蚂蚁、百度等单位,然后当时标准的制定来自百度、联通、蚂蚁、奇安信等20多家电信互联网单位,30多名专家的参与。
然后具体的工作支撑,我做了一张这样的一个图,就是根据我刚才说到的现状中的一些问题,首先从理论基础上来说,这有92%和76%这两个数字,我解释一下大概是什么意思,我们内部通过对数据安全法、还有个人信息保护法的一个对标和分析、拆解,我们把我们评估的方法,大多数都是采集于这两个法案的一些要求,这两个百分比其实是一个条款的覆盖率情况,然后右侧这些标准文件也都是我们编制评估办法的一个重要参考材料,最后形成了我们这一套评估方法,都是我刚才前面讲到了组织建设、制度文件、技术工具和人员能力,也就是说在开展具体评估的时候主要是看这四个维度,然后将这个企业能力水平进行评估评测,最后提供一些相应的咨询方面的建议和意见。
具体的能力项如上图所示,分为三大块,安全战略是一个企业组织的安全规划,以及人员管理,全生命周期安全,就是我们都知道的数据的全生命周期,基础安全是合规管理、合作方管理,还有监控与审计,鉴定与访问等,风险和需求的评估,以及安全事件应急处理的能力。然后结合我刚才所说的一些评估方法,因为我们有做分析处理,我们最后对企业评估分为基础级、优秀级和先进级。因为目前是属于初始评估的阶段,没有把先进级这个口子放开,目前评估的企业基本集中在优秀级和基础级这两个档位。
评估时的重要依据是一个团体标准,是去年开展的DSG评估方法的团标,这个团标是来自不同的电信互联网企业的30多位专家,跟我们一起共同制定的。然后也是我刚才提到的,我们评估的方法和这些能力项目具体是什么,相关文件可以在网上下载。
做DSG评估的意义是什么?其实刚才已经介绍过很多遍,在此我在说一下。我们做DSG评估的主要意义是希望能够准确的评估出行业数据安全治理能力的发展现状,能够发现企业在做数据安全方面的一些问题。然后能够帮助企业因地制宜地指明发展方向,以及提升他们的治理能力。等级分布、共性问题分析以及发现标杆是对于我们评估侧的三个重要意义,对于企业侧的重要意义就是下面这6项,也就是说现状总结,以及接收到我们的一些优化的建议,包括在评估过程中,我们也会促进业内交流,然后对于我们的评估单位也会去因地制宜的提供一些最佳实践,以及包括向我们获取咨询。最后就是在业内交流过程中,促进企业互相之间的一个宣传和推广。
给大家展示一下我们的评估企业,目前第二批正在评估当中,第三批正在报名。首批已经完成,首批的情况均为优秀,左侧这五家单位。我自己也参与了第二批中一些项目,是中间这些单位,他们的评估结果已完成访谈,目前在进行结果评定,出来结果后送到专家评审,11月进行专家评审,如果评审通过会给相应的企业颁发DSG评估证书。然后第三批我们现在进入报名中,如果通过专家评审之后,在12月的数据安全方面高峰论坛上会进行DSG能力等级证书颁发。
关于数据安全推进计划,由中国信息通信研究院发起, 致力于推动法律法规及监管要求的贯彻落实,促进数据安全技术交流,推广数据安全最佳实践,提升数据安全治理水平的公益性活动。具体事情包括做搭建交流平台、开展数据安全研究、建立建设标准体系,以及提供相应的测评服务,以及培训与人才认证。10月20号我们举办了一期数据安全培训研讨会,这是第一期,是金融专场,会邀请信通院政经所还有国内律所,银行金融机构,还有互联网金融公司的专家就数据安全治理和实践进行一定的研讨。
如果加入到我们数据安全推进计划都会有什么样的一个成员权益?做安全很难去回答一个问题:收益在哪里?我做这件事情投入之后,产出在哪里?其实在开展各项活动的时候,也会希望说给我们的同学们,还有成员们讲清楚我们这个活动所能给大家带来的收益都有哪些,一方面是法律法规和政策解读,刚才有提到,虽然各种法律纷纷开始施行,但是因为是基本刑法,还有很多具体的一些内容可能是需要进一步的去拆解。我们这边九月到十月期间举办监管机构最新的数据安全政策方面细化的解读,从九月开始我们开展了很多数据安全方面标准文件的制定,我目前知道的就有三个是关于数据产品的服务能力方面的标准,审计产品标准,这些标准制定需要企业的老师们共同参与共同制定,这样才能说这个标准是更科学,更有普适性的一个工作。培训和公开课刚才也有提到,其实我们在做企业访谈过程中企业经常反复的就是人才的能力提升,还有人才培训这一块存在痛点,那么我们这边也有培训和公开课。
DSI成员可以免费获取一线专家的数据安全方面的公开课,可以优惠参加数据安全体系化培训,从九月启动报名,然后还有“星河”案例,也就是关于数据方面的经典案例,整个行业最佳实践方面的案例题报。可以直接通过评选初审进入专家评审阶段。还有关于数据安全治理能力的在线预评估,还有安全风险评估,评估侧我们也有相应的优惠。最后是一些长期活动,比如说像是牵头成立数据安全的项目组,联合发布数据安全的研究成果。但是标红星主要是由我们DSI联合发起单位独享的。
那么关于参与单位这块,因为刚才有提到联合发起单位,先简单介绍一下现在参与情况,截止9月30日,收到了一百零三家企业正式成为了我们的参与单位,主要行业集中在金融,互联网,汽车,安全厂商等等这些行业里面,其中我们评定的这个联合发起单位共30多家,包括以上这些公司集团。
03 其他工作资讯
那么关一些其他工作资讯的方面,我给大家简单介绍一下。刚才提到,我们和成员单位紧密合作开展数据安全技术方面的研究,具体包括哪些技术呢?我这里做了一张全景图。
其中标蓝的内容是我们目前在做的这个安全技术方面的研究,也是多多鼓励各位企业的老师与我们共同开展这些研究,然后为标准研制,为行业的健康发展提供自己的思路、创新理念和经验。
我目前主要接收服务评估与评侧方面的相关内容,一方面是数据安全的风险评估,我们是根据数安法,个保法,网安法,个人信息安全管理安全规范,还有数据安全治理能力评估方法,等保方面等法律法规文件做了条款的收集和重新归类。最后是通过系统管理安全,系统数据安全,系统应用安全三个方面进行企业数据安全风险方面的评估,工作开展的方式是通过这些条款,做了一个风险矩阵,并且对相应的风险点做量化打分,最后输出一个风险等级,对应不同的风险等级再加上企业相关的业务情况提供一些解决方案。这是我们这一项评估服务的内容。
另一方面是针对一些涉及到大量个人信息方面的企业,我们也推出了个人信息保护方面的评估,具体是通过个人信息保护法,数据安全法,还有35273这三个文件,主要是通过这三个文件,也是通过风险矩阵分析,然后评定风险等级,对应推出相应的解决方案给到企业。这两部分内容大家可以理解为是一种咨询评估服务,主要包括以上六个维度。
我们团队还有相关DSMM的认证服务,关于评估评测方面的这个内容大家都可以直接联系我去了解更多的消息。
-END-
本文为作者独立观点,不代表鸟哥笔记立场,未经允许不得转载。
《鸟哥笔记版权及免责申明》 如对文章、图片、字体等版权有疑问,请点击 反馈举报
Powered by QINGMOB PTE. LTD. © 2010-2022 上海青墨信息科技有限公司 沪ICP备2021034055号-6
我们致力于提供一个高质量内容的交流平台。为落实国家互联网信息办公室“依法管网、依法办网、依法上网”的要求,为完善跟帖评论自律管理,为了保护用户创造的内容、维护开放、真实、专业的平台氛围,我们团队将依据本公约中的条款对注册用户和发布在本平台的内容进行管理。平台鼓励用户创作、发布优质内容,同时也将采取必要措施管理违法、侵权或有其他不良影响的网络信息。
一、根据《网络信息内容生态治理规定》《中华人民共和国未成年人保护法》等法律法规,对以下违法、不良信息或存在危害的行为进行处理。
1. 违反法律法规的信息,主要表现为:
1)反对宪法所确定的基本原则;
2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一,损害国家荣誉和利益;
3)侮辱、滥用英烈形象,歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉;
4)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动;
5)煽动民族仇恨、民族歧视,破坏民族团结;
6)破坏国家宗教政策,宣扬邪教和封建迷信;
7)散布谣言,扰乱社会秩序,破坏社会稳定;
8)宣扬淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪;
9)煽动非法集会、结社、游行、示威、聚众扰乱社会秩序;
10)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益;
11)通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害未成年人形象进行网络欺凌的;
12)危害未成年人身心健康的;
13)含有法律、行政法规禁止的其他内容;
2. 不友善:不尊重用户及其所贡献内容的信息或行为。主要表现为:
1)轻蔑:贬低、轻视他人及其劳动成果;
2)诽谤:捏造、散布虚假事实,损害他人名誉;
3)嘲讽:以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述,以此来激怒他人;
4)挑衅:以不友好的方式激怒他人,意图使对方对自己的言论作出回应,蓄意制造事端;
5)羞辱:贬低他人的能力、行为、生理或身份特征,让对方难堪;
6)谩骂:以不文明的语言对他人进行负面评价;
7)歧视:煽动人群歧视、地域歧视等,针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击;
8)威胁:许诺以不良的后果来迫使他人服从自己的意志;
3. 发布垃圾广告信息:以推广曝光为目的,发布影响用户体验、扰乱本网站秩序的内容,或进行相关行为。主要表现为:
1)多次发布包含售卖产品、提供服务、宣传推广内容的垃圾广告。包括但不限于以下几种形式:
2)单个帐号多次发布包含垃圾广告的内容;
3)多个广告帐号互相配合发布、传播包含垃圾广告的内容;
4)多次发布包含欺骗性外链的内容,如未注明的淘宝客链接、跳转网站等,诱骗用户点击链接
5)发布大量包含推广链接、产品、品牌等内容获取搜索引擎中的不正当曝光;
6)购买或出售帐号之间虚假地互动,发布干扰网站秩序的推广内容及相关交易。
7)发布包含欺骗性的恶意营销内容,如通过伪造经历、冒充他人等方式进行恶意营销;
8)使用特殊符号、图片等方式规避垃圾广告内容审核的广告内容。
4. 色情低俗信息,主要表现为:
1)包含自己或他人性经验的细节描述或露骨的感受描述;
2)涉及色情段子、两性笑话的低俗内容;
3)配图、头图中包含庸俗或挑逗性图片的内容;
4)带有性暗示、性挑逗等易使人产生性联想;
5)展现血腥、惊悚、残忍等致人身心不适;
6)炒作绯闻、丑闻、劣迹等;
7)宣扬低俗、庸俗、媚俗内容。
5. 不实信息,主要表现为:
1)可能存在事实性错误或者造谣等内容;
2)存在事实夸大、伪造虚假经历等误导他人的内容;
3)伪造身份、冒充他人,通过头像、用户名等个人信息暗示自己具有特定身份,或与特定机构或个人存在关联。
6. 传播封建迷信,主要表现为:
1)找人算命、测字、占卜、解梦、化解厄运、使用迷信方式治病;
2)求推荐算命看相大师;
3)针对具体风水等问题进行求助或咨询;
4)问自己或他人的八字、六爻、星盘、手相、面相、五行缺失,包括通过占卜方法问婚姻、前程、运势,东西宠物丢了能不能找回、取名改名等;
7. 文章标题党,主要表现为:
1)以各种夸张、猎奇、不合常理的表现手法等行为来诱导用户;
2)内容与标题之间存在严重不实或者原意扭曲;
3)使用夸张标题,内容与标题严重不符的。
8.「饭圈」乱象行为,主要表现为:
1)诱导未成年人应援集资、高额消费、投票打榜
2)粉丝互撕谩骂、拉踩引战、造谣攻击、人肉搜索、侵犯隐私
3)鼓动「饭圈」粉丝攀比炫富、奢靡享乐等行为
4)以号召粉丝、雇用网络水军、「养号」形式刷量控评等行为
5)通过「蹭热点」、制造话题等形式干扰舆论,影响传播秩序
9. 其他危害行为或内容,主要表现为:
1)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好影响未成年人身心健康的;
2)不当评述自然灾害、重大事故等灾难的;
3)美化、粉饰侵略战争行为的;
4)法律、行政法规禁止,或可能对网络生态造成不良影响的其他内容。
二、违规处罚
本网站通过主动发现和接受用户举报两种方式收集违规行为信息。所有有意的降低内容质量、伤害平台氛围及欺凌未成年人或危害未成年人身心健康的行为都是不能容忍的。
当一个用户发布违规内容时,本网站将依据相关用户违规情节严重程度,对帐号进行禁言 1 天、7 天、15 天直至永久禁言或封停账号的处罚。当涉及欺凌未成年人、危害未成年人身心健康、通过作弊手段注册、使用帐号,或者滥用多个帐号发布违规内容时,本网站将加重处罚。
三、申诉
随着平台管理经验的不断丰富,本网站出于维护本网站氛围和秩序的目的,将不断完善本公约。
如果本网站用户对本网站基于本公约规定做出的处理有异议,可以通过「建议反馈」功能向本网站进行反馈。
(规则的最终解释权归属本网站所有)