热线电话
  • 010-88558925010-88558943
  • 010-88558955010-88558948
CMIC专家更多

中国半导体行业协会副

3月21日,SEMI产业创新投资论坛在上...更多>>

赛迪研究院未来产业研

近日,工业和信息化部、科技部、交通运输部...更多>>

中国市场情报中心 > CMIC研究 > 管理研究
CMIC:如何构建和评价云服务提供商数据安全能力

发布时间:2018-10-19 17:02:20

来源:赛迪-中国软件评测中心

作者:赛迪-中国软件评测中心

【打印】 【进入博客】 【推荐给朋友】

  【CMIC讯】一、云计算时代数据安全问题凸显
  
  近年来,随着云计算、大数据、人工智能等新兴领域的不断发展壮大,推动着我国由传统经济向数字经济的快速转换,企业由“业务驱动”不断地向“数据驱动”迈进。数据作为一种重要的战略资产已经得到广泛的共识,谁拥有数据,谁就拥有话语权。
  
  在云计算时代,用户将数据和业务系统迁移到云计算平台上,与传统IT模式相比,一方面失去了对数据和业务的直接控制能力,另一方面云服务商具有访问、利用或操控用户数据的能力。所以在云计算时代下,云服务提供商为了扩大市场份额,赢得客户信任,首先需要回答的就是是否有能力保护用户数据的安全。
  
  但从中国软件评测中心云计算测评实验室开展的云服务能力评估结果来看,国内云服务提供商数据安全能力参差不齐,“重市场占有率、轻能力建设”是国内大部分云服务提供商软实力的真实写照。在国家积极倡导提升信息服务质量的大背景下,云服务提供商是否主动积极构建自身数据安全能力体系,是提升云服务质量、扩大市场占有率,提升差异化服务能力的关键。
  
  二、如何构建数据安全能力
  
  云服务提供商数据安全能力的构建需要以数据为中心,从自身业务范围内的数据生命周期的角度出发,结合自身业务安全实际需求及我国法律法规要求,构建适合自身业务发展的数据安全能力。
  
  一是构建数据安全能力标尺
  
  通过定义数据安全能力模型框架和方法论,确定数据安全能力基线要求,即标尺。该标尺至少包括以下几个维度:
  
  数据生命周期维度:组织在数据生命周期各阶段开展的数据安全实践构成了数据安全的过程域。
  
  数据安全能力维度:组织完成数据安全过程域所需要具备的能力。
  
  二是构建数据全生命周期安全能力要求
  
  数据全生命周期安全要求的构建应至少包括通用安全要求和各阶段安全要求,其中:
  
  通用安全要求应侧重于建立数据安全策略和规程,建立系统和数据资产清单、组织和人员岗位,制定符合业务流程的数据供应链结构和接口规范,建立符合国家法律法规和相关标准要求的个人信息、重要数据及数据跨境保护规范。
  
  各阶段安全能力要求应侧重于覆盖数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等关键环节的安全管理规范。
  
  三是构建数据安全能力维度
  
  数据安全能力维度的构建至少包括组织建设、制度流程、技术工具和人员能力四个关键维度,其中:
  
  组织建设侧重于数据安全组织机构的架构建立、职责分配和沟通协作。
  
  制度流程侧重于组织机构关键数据安全领域的制度规范和流程落地建设。
  
  技术工具侧重于通过技术手段和产品工具固化安全要求或自动化实现安全工作。
  
  人员能力侧重于执行数据安全工作的人员意识培训及专业能力提升。
  
  三、如何评价数据安全能力
  
  对于不同的组织机构由于在业务规模、业务对数据的依赖性、机构对数据安全工作定位等方面存在差异性,所以对于数据安全能力的评价需要有的放矢。组织机构应根据数据全生命周期所覆盖的业务场景按照以下步骤开展自我评价或第三方评价:
  
  1. 明确数据安全能力等级
  
  根据不同安全能力等级要求,结合组织机构对数据安全工作的定位、业务对数据的依赖性,确定组织机构预期要达到的数据安全能力等级。
  
  2. 选取适用的数据安全能力
  
  针对组织机构的数据相关业务现状、结合预期要达到的安全能力等级要求,选取适当的数据安全能力纳入评估范围。
  
  3. 数据安全能力评估
  
  基于选择的数据安全能力,一是针对各项数据安全能力对组织机构的数据安全实践情况进行现状的调研和分析,二是针对每一项数据安全能力从组织建设、制度流程、技术工具和人员能力四个维度开展量化评估工作。
  
  组织建设:评估是否具有开展工作的专职/兼职岗位、 团队或人员,其工作职责是否通过规范要求或其他手段得到确认和保障。
  
  制度流程:检查关键数据安全领域的制度规范和流程在组织内的落地执行情况。
  
  技术工具:检查组织内的各项安全技术手段、通过产品工具固化安全要求或自动化的安全作业的实施运作情况。
  
  人员能力:执行数据安全工作的人员是否经过专业的技能和安全意识教育培训
  
  4. 识别与目标等级的差距
  
  针对数据安全能力实际评估分析的内容,结合预期要达到的数据安全能力等级要求,识别与目标等级的差距。
  
  5. 制定改进计划
  
  结合现有数据安全能力评估分析结果及预期要达到的数据安全能力等级要求,制定能力改进计划。
  
  以上评价步骤在未达到预期的数据安全能力等级要求之前,需要以闭环的方式循环迭代执行,直到符合预期的数据安全能力等级要求。

责任编辑:言笑晏晏

相关报道
  • --

联系我们:8610-8855 8955 zhouhl@staff.ccidnet.com

广告发布: 8610-88558925

方案、案例展示: 8610-88558925

Copyright 2000-2011 CCIDnet.All rights reserved.

京ICP000080号 网站-3