2022年4月1日,由全知科技联合凡泰极客、华傲数据共同举办的“不确定性局势下的金融安全保障”线上沙龙成功举办。全知科技创始人&CEO方兴聚焦金融行业的合规安全挑战,分享了以《数据在流动,可见才安全》为主题的精彩内容。
如何理解“数字化转型”和“数据安全”?方兴分享道:从传统信息时代到数据智能时代,其最大的变革就是数据已经由信息的载体变革为生产知识和情报的核心生产资料;而以数据来重构业务就是企业和社会的数字化转型。
在数据业务化的当下,数据会通过业务采集和多种外部来源渠道汇集、加工、回流、使用,形成了非常复杂的上下游消费链路,而数据的管理、用途授权控制、业务使用流动的都带来了非常复杂的新兴风险。
在这样的背景下,数据创造价值必然的流动性,和传统数据安全以限制数据流动换取安全的保护体系,两者形成了巨大的冲突和矛盾,数据安全就是对数据价值释放和安全保障的协调和平衡。
针对数据安全保护,在法律政策的合规要求方面,方兴分析认为,根据《数安法》要求,对企业建立数据分类分级制度、建立健全全流程数据安全管理制度等都进行了严格规定,企业如果要落实好数据安全保护,其本质就需要对数据进行全流程的刻画和保护。
方兴表示,不同于《数安法》,《个人信息保护法》的核心视角是站在个人上的数据安全保护,其对个人信息处理活动过程中的个人权利进行了重点保护,也对数据处理者的义务划定了边界和红线,企业身上的数据保护责任变得越来越重。
当前的数据安全困境之一是缺乏一套风险设计视角的体系。方兴认为,数据生命周期提供的是阶段的最佳安全实践经验,但难以替代数据安全治理的体系设计;只有紧密围绕设计里的风险进行管理措施细化,才能将管理和风险威胁结合起来。
困境之二就是在数据处理活动的划分上是过程视角。传统的数据生命周期模型对数据进行了6个阶段的划分:即采集、传输、存储、使用、交换、销毁;但这个生命周期的划分是面向过程而不是面向风险的,是看不见数据风险的全貌,无法完全覆盖“数据安全”的核心要求。
数据的风险往往产生于业务处理活动中,数据的安全是数据业务处理活动中的安全,不仅仅只是静态存储的安全;但是实际上,大多数企业根本不清楚自己的数据状态和数据处理活动。
对企业来说,只有看见数据,清楚数据状态,才能保障数据安全。在复杂的数据流动场景下,数据安全体系建设的核心需要解决的就是数据的可见性,知道数据在哪是什么状态才能评估风险,继而实现后续的管理和控制措施。
数据安全涉及到数据的可用与风险的平衡,对此,方兴表示,企业应该采用一套面向风险设计的数据安全治理体系,动态识别数据风险,并结合风险的大小进行针对性的缓解。
依据此模型,进行数据全流程动态的风险映射。“以数据&风险为驱动”,将合规风险、安全风险以及质量和管理风险映射到关键数据要素中,做好数据流动节点、数据去向等行为审计,实现数据流动可见。
面对数据泄漏、隐私合规等安全风险,如何做好数据流动过程中安全保护至关重要,尤其是合规、安全要求更加严格的金融行业。
作为新一代数据安全引领者,全知科技将继续全力保障数字化发展与数据安全的平衡,赋能企业实现数据流动可见,全面提升企业数据安全治理能力。