数据安全底座设计核心 :设计原则

共 2710字,需浏览 6分钟

 ·

2021-10-20 23:31

—背景—

上篇文章《数据时代,数据安全底座建设的必要性》简单阐述了数据安全底座对于数据安全治理的重要作用,给大家一个简单的提醒,随着对数据安全底座的深入研究,数据安全底座能否最终发挥效能,不能单一考虑技术问题或管理问题,还要充分考虑工程问题、职权问题、现实问题、社会问题等多方面的内容,所以作者认为数据安全底座的设计核心:数据安全底座的设计原则。原则正确,后续一切才有 了基础,才有了方向。本文是作者认为数据安全底座在设计和建设过程中应该遵守的部分设计原则:


—1、合情、合理、合法—

合情,数据作为物质资产存在,明确权属是第一要务,数据权属很容易界定,做到合情是第一准则。比如,数据权属拥有者提出对数据后续的操作行为拥有知情权、监督权等都是合情的。

合理,在数据业务处理过程中,其关联者对数据行为操作是避无可少的,其操作行为需要强调合理性,不能超越自身的权力范围。合理性,是数据安全底座设计在功能层面最重要的环节,用技术语言表达就是合理的授权和控制,用管理的语言表达就是责权利清楚。

合法,数据作为资产、作为重要要素,强调权属问题,需要在法律和政策的框架下进行。鉴于数据的特殊性,数据安全底座是保障数据权属、元数据关联、数据服务、数据管理等多层面的合法性是重要工作之一,也是落实《数据安全法》、《个人信息保护法》等重要措施。合法性要求数据安全底座在框架上、技术上、管理上、体系上、系统上都需要考虑满足法律要求。


—2、有效、有度、有节—

有效,数据是流动的,数据是多方面的,保障数据安全是一件很不容易的事情。数据安全底座对数据的保护做到有效这是能力的重要体现。做到有效性就需要数据安全底座具备全局性和适配性,在功能上要做到平台、工具、策略、定制等多层次的联动。

有度,数据安全底座针对数据的保护需要按照数据的价值高低匹配对应的方法不能一刀切。数据保护的核心是分类分级保护,所以,有度是数据安全底座需要按照数据的具体价值情况适配对应的保护机制,也要求数据安全底座提供多样的保护手段,充分分析数据价值和应用场景是数据安全底座设计的重要工作。

有节,一方面数据安全不能一撮而就,需要长效落实;另一方面,数据安全不能监守自盗,需要保障自身可控。为此数据安全底座一方面保障完整性的前提下进行长效扩展,一方面切实保障自身的安全和可控。


—3、能用、用好、好用—

能用,鉴于数据安全底座不是单一系统,而是一套完整的体系,做到能有效使用时第一步,为此数据安全底座在落地前期需要定格一个场景进行,不能求大求全。但是,作为数据安全底座本身,就需要支持由简到难的落地过程,在功能必须做到按场景化设计,不能按技术功能性设计。


用好,数据安全是数据治理的核心,做不到安全的数据治理是灾难性的,所以数据安全底座必须坚持保障安全要用好的原则。做到这一点,数据安全底座就需要按照在场景化适配上、功能封装上、工具种类上、习惯兼容上做到尽可能的高度集成。做到这些就需要数据安全底座不光有完善的系统保障,还需要有配套的生长和开发保障。


好用,数据安全底座将随着数据应用面的扩大而扩大应用范围,使用安全底座的行为操作者和数据承载环境也会越来越复杂,这就要求数据安全底座在好用层面做到方方面面。做到这一点是很难得,需要大量和长期的系统打磨,这是个长线工作,也是个长期目标。数据安全底座在设计时需要制定好做好长期完善的应对机制。


—4、保障、服务、增值—

保障,数据安全底座对于数据首要的任务是安全保障,是数据安全底座建设的第一阶段定位,这是最基本的目标定位。

服务,数据安全治理是数据治理重要的组成部分,数据安全底座在确保基本安全保障的前提下,需要通过各项服务的提供来支持数据治理。服务提供成为数据安全底座第二阶段的重要定位。

增值,安全保发展,发展促安全,是国家对安全和发展的定位。安全一方面的是保障作用,但是随着业务的发展,安全也能成为业务,所以数据安全底座可以单独以业务服务的形式为承建者结合实际情况获得业务增值。数据安全底座要做到增值,就需要在每个部分具有业务化甚至是商业化的设计考虑,每个部分都尽可能的做到独立成场景体系。


—5、意识、系统、运营—

意识,意识问题永远是解决安全问题的首要工作,数据安全尤为如此。数据安全底座作为一个体系化的工程,必须重视安全意识的引导和强化作用。做到这一点,数据安全底座需要提供意识培养和训练保障功能,整合和联通外部能力公共为数据安全底座的应用单位开展安全意识强化功能。

系统,数据安全底座需要通过系统的方式提供相关技术、管理和保障功能,这一点无容置疑,能通过系统完成的业务处理的就尽量不需要人工参与,达到用系统的客观性来弥补人性的主观性。数据安全底座的系统性,一定要确保有效、高效、易用和完整。

运营,安全三分靠技术、七分靠管理。所以,数据安全底座在保障技术的前提下,提供完善的运营管理保障关乎数据安全治理的最终效果。做到这一点,就需要数据安全底座有完善的运营保障体系设计,做到管理、服务、职责等多个维度的可靠、可控并且无死角。


—总结

上述内容未完待续

任何事情只有想明白了,才有可能做好,所以数据安全底座应该遵循什么样的设计原则,是数据安全底座能否适应需求,真正发挥作用最需要解决的核心问题。上述几个原则仅是抛砖引玉,给大家一些考虑问题的方法而已,具体细致问题,希望大家自己把握。


(欢迎大家加入数据工匠知识星球获取更多资讯。)

联系我们

扫描二维码关注我们

微信:SZH9543
邮箱:ccjiu@163.com
QQ:2286075659

热门文章


一文读懂什么是元宇宙(内附下载链接)


图解《个人信息保护法》及55条改动对比丨(内附下载链接)


中国信通院发布《数据安全治理实践指南(1.0)》(内附下载链接)


业务架构设计方法(内附下载链接)


从COBIT5谈谈IT治理(内附下载链接)


IT建设目标及IT规划初步方案(内附下载链接)


数据安全法规及标准建设(内附下载连)

我们的使命:发展数据治理行业、普及数据治理知识、改变企业数据管理现状、提高企业数据质量、推动企业走进大数据时代。

我们的愿景:打造数据治理专家、数据治理平台、数据治理生态圈。

我们的价值观:凝聚行业力量、打造数据治理全链条平台、改变数据治理生态圈。

了解更多精彩内容


长按,识别二维码,关注我们吧!

数据工匠俱乐部

微信号:zgsjgjjlb

专注数据治理,推动大数据发展。

浏览 107
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报