一、 最新数据安全风险形势
企业数据的形式、大小、用途和存储方式都在不断快速变化。企业数据不再局限于孤立的结构中,不再局限于某些业务部门或不受外界影响。数据现在可以自由跨越业务边界。数据在云端漂浮,数据在各业务部门之间传播,随处流动。然后当前数据流动的可见性差,数据安全管控缺乏有效和统一的措施,数据安全相关的管理体系也尚未建立。这些都给企业带来了严峻的数据安全风险。
尽管数据代表着各种变化和机遇,但一旦创建或收集,数据就面临着攻击和滥用的威胁。过去十年,业界披露的数据泄露事件数量翻了一番,去年有五亿条记录被泄露,我们对信息的依赖正因缺乏安全性而受到越来越大的威胁。
收集和处理个人身份信息 (PII) 的公司和政府机构现在必须遵守美国的支付卡行业数据安全标准 ( PCI DSS ) 和健康保险流通与责任法案 ( HIPAA ) 要求
欧洲的通用数据保护条例 ( GDPR )
南非的 POPI
印度的DPDP 法案
土耳其的 KVKK
加州消费者隐私法案 ( CCPA )
中国《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》、《汽车数据安全管理若干规定(试行)》等。
二、 什么是数据安全治理
保护敏感信息:安全和数据治理有助于保护组织中的数据免遭盗窃、丢失或未经授权的泄露。它确保只有授权人员才能访问信息,并且信息得到安全存储。
遵守法规:许多行业都受制于管理数据隐私和安全的法规,例如《健康保险流通与责任法案》(HIPAA)、《通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)。以及国定颁发的各项数据安全相关的法规。组织必须遵守这些法规,以避免法律处罚、声誉损害和业务损失。中国《GB/T44464—2024 汽车数据通用要求》4.1节明确要求汽车数据处理者应建立并实施汽车数据安全管理体系。
最大限度地降低风险:数据治理策略有助于最大限度地降低可能损害组织声誉和底线的数据泄露、网络攻击和其他安全事件的风险。
增强客户信任:客户信任那些重视数据安全的组织。通过实施强大的数据治理框架,组织可以展示其对保护客户个人身份信息 (PII) 的承诺。
改善决策:大数据是组织的宝贵资产,数据安全治理可确保其准确、可靠且在需要时可访问。这可改善决策并帮助组织保持竞争优势。
三、建立数据安全治理框架时可能面临哪些挑战?
组织可能面临诸多挑战,例如抵制变革、数据环境的复杂性、平衡安全性与可访问性以及应对不断变化的威胁和法规。应对这些挑战需要灵活且适应性强的治理方法。
车企当前通常没有明确数据安全主管部门和责任人,导致数据安全合规都是按照项目的方式组织运作的,这通常导致数据安全风险评估工作在企业内容拉通困难,效率低下。 如果数据安全要求没有解释数据风险如何影响车企项目的目标和业务成果,安全领导者很难用业务主管能够理解的语言传达这些要求。这会导致预算和人员不足,以及数据安全工作推动困难,甚至失败。 本地和多云数据存储和处理的动态变化性给安全领导者带来了巨大的挑战,他们要适应并提供一致有效的数据安全措施。影子数据、数据驻留、合规性和相互不连接的安全控制都会影响这一点。 因为大多数云服务和供应商产品都独立运行,数据安全控制、隐私保护以及身份和访问管理 (IAM) 产品之间并为协调一致的工作。 目前针对车企缺乏成熟的数据安全解决方案来高效的进行数据发现、分类和分级操作。
四、 如何创建和实施数据安全治理计划
鉴于数据安全治理计划的重要性,您可以按照以下方法为您的组织创建和实施计划:
4.1.5汽车数据处理者应针对汽车数据全生命周期,制定数据收集、存储、使用、加工、传输、提供、公开、删除等过程的具体分级防护要求和操作规程。
4.1.6汽车数据处理者至少应针对研发设计和生产制造等车辆全生命周期环节制定数据安全流程管理制度。
4.1.1汽车数据处理者应建立并实施汽车数据安全管理体系,采取汽车数据安全保护技术措施,保证汽车数据持续处于有效保护和合法利用的状态。
4.1.8汽车数据处理者应建立汽车数据安全风险监测和事件管理制度,发现汽车数据安全风险时,应立即采取补救措施;发生汽车数据安全事件时,应立即采取处置措施,按照规定及时告知用户并向有关主管部门报告,并应按照规定对重要数据的处理活动定期开展风险评估,向有关主管部门报送风险评估报告。
7. 提供培训和意识:教育所有人了解安全政策和程序。通过网络钓鱼模拟和合规性测试向用户强化政策和程序。持续发布意识材料和提示。
8. 执行审计和监控活动:安排例行内部和第三方数据审计。积极监控系统和用户是否存在违规行为。根据调查结果完善控制措施和政策。
9. 定期审查和报告:重新审视政策和控制措施以进行改进。更新程序以应对新的威胁和法规。向领导层报告进展和指标。
五、 维护数据安全治理的最佳实践
1. 动态监控活动
实施强大的 SIEM 解决方案,收集并关联来自整个系统和网络的日志。调整 SIEM 中的检测规则和分析模型可让您识别表明存在潜在威胁的异常行为。例如,规则可以标记下载活动中的异常峰值、奇数时段的访问尝试和其他异常。用户行为分析为活动建立正常基线,并在实际使用情况出现危险偏差时发出警报。
根据审计结果、政策合规性、培训完成情况和其他治理计划输出建立季度指标,推动安全行为。将这些指标直接与部门奖金挂钩。这在财务上激励所有部门保持您的安全态势。
3. 维护数据清单
发生任何违规事件后,发布详细的事件报告,概述根本原因、采取的响应措施和实施的修复措施。提供这种透明的详细信息可以表明对客户的责任感。
此外,积极沟通您在完善治理计划方面取得的重大里程碑。例如,强调新的培训计划、风险评估完成情况或新的自动化政策控制。这可以建立起您对治理的重视。
六、 结论
有效的数据安全治理需要各利益相关方之间的协作,包括高管、IT 专业人员、法律和监管专家以及业务用户。通过建立强大的数据安全治理框架,组织可以降低数据泄露的风险、保护其声誉和资产并遵守法律和监管要求。。
参考:
https://www.iri.com/blog/vldb-operations/data-security-governance/
https://www.secoda.co/glossary/data-security-governance-framework
https://satoricyber.com/cloud-data-governance/what-is-data-security-governance/
https://cyral.com/glossary/data-security-governance/
END
