一、行业背景
随着云计算、大数据、移动物联网等新技术的全面覆盖,运营商与通讯研发行业在互联网的飞速发展下产生了庞大的、多样化的数据。数据的采集、存储、处理的效率不断提高,也促使数据体量变化越来越大,其中包含这大量的敏感信息和用户个人信息,所以如何合理的利用这些数据的同时还能保护数据安全是我们面临的严重挑战。
此时,国家发布了国家标准《个人信息安全规范》对个人信息的分类分级和安全技术要求做了明确要求。针对通讯行业也发布了《基础电信企业信息安全责任管理办法(试行)》《电信网和互联网信息服务业务系统安全防护要求》对通讯行业相关安全技术要求也做出了详细指引。
二、通讯数据安全风险分析
数据安全的整体需求
1) 系统数据量大,数据关系复杂,难以进行梳理;
2) 个人信息数据没有明确的分级分类;
3) 大量的结构化、非结构化数据没有标准化、规范化;
4) 保护措施无法分级分类管理,保护效能和效率较低。
三、解决方案
数据安全体系化标准
1) 数据安全的人员职责明确化;
2) 数据安全的管理制度需要规范化;
3) 根据数据生命周期不同阶段建立不同的管控手段;
4) 建立数据资产的审计和溯源。
四、方案收益
1.管理型收益
符合国家信息安全相关标准,对组织、人员、制度整体性管理的建设,独立组织、明确职责、规范流程的可持续优化,全面的帮助通讯行业在庞大的体系管理中达到可持续发展。
2.安全性收益
结合相关业务应用的运行现状来建立数据安全体系,数据安全全生命周期技术防护策略配合标准化的管理制度及流程;即可满足现有环境的数据分级安全管理又能保证业务的连续性。
数据安全建设从来不是一蹴而就的,而需要长期不断PDCA进行管理和技术的调整优化。随着管理制度的不断完善,数据安全管控策略也要随之完善优化,通过数据安全工具的日志分析和趋势分析,有针对性地加强各部门安全建设,防控安全风险,也要进行各部门的自查和监督部门的结果性审计检查,同时要做好公司内的培训宣贯,规避常见办公安全风险,贯彻数据安全管理规定。