案例 | 广东联通数据安全治理实践

案例 | 广东联通数据安全治理实践

数据安全 / 数据治理

导读:数据作为新型生产要素,已成为国家重要资产和我国数字经济发展的基础战略资源。2021年以来,国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石,数据安全的重要性愈发突出,数据安全治理需求愈加明显。本文分享了广东联通数据安全治理实践给各位从业者参考。

广东联通数据安全治理建设思路

广东联通以合法合规、安全使用为驱动,强化对内对外数据安全管控,分阶段规划构建“组织、管理、技术、运营”数据安全体系并不断完善。通过对数据全生命周期的防护,实现端到端的数据安全治理。总体分三个阶段建设数据安全体系:

  • 第一阶段为“基础建设”,通过规划数据安全治理体系,组建数据安全组织,建设基础数据安全能力,夯实防护体系底座基础;
  • 第二阶段为“能力升级”,通过升级数据安全一体化运营平台能力,逐步加强数据安全能力覆盖,实现基本完整的运营闭环;
  • 第三阶段为“优化运营”,通过完善数据安全运营体系,实现数据安全指标精细化运营。

在治理过程中:

对内专注于规范数据使用处理全流程,落实看数用数过程中数据分类分级管控各项安全措施;以及对数据要素赋能生产,数据服务过程构建安全防护体系。

对外专注于数据对外合作的安全管控以及个人隐私保护。

广东联通的数据安全治理:

在组织层面,嵌入广东联通数据治理组织架构,构建了自上而下数据安全治理组织,明确部门职责分工、对人员定责定岗;

在管理方面,承接集团数据安全要求,形成四级管理制度体系;

在技术体系方面,广东联通使用集团集约化数安能力,结合省份自建数安能力,搭建对内对外的数据安全防护体系;

在安全运营层面,通过“作业本”方式跟踪数据安全任务,结合考核与激励的管理措施,逐步实现数据安全精细化运营。

广东联通的数据安全治理实践 

(1)构建数据安全治理框架

广东联通综合业界最佳的数据安全框架,依据集团公司战略与数据战略目标,制定数据安全治理战略。在战略指导下,建立如图22所示的一体化数据安全治理体系,即从数据安全组织、管理体系、技术体系到安全运营,提高广东联通数据安全管理及防护能力,使数据安全风险可感、可视、可控,保障数据安全有序流动,如图1所示。

图1 广东联通数据安全体系框架

(2) 建立健全数据安全治理体系

以组织架构为保障,通过建立健全数据安全管理体系、数据安全技术体系和数据安全运营体系,推动数据安全治理。

建立数据安全组织体系。广东联通设置了数据治理指导委员会(办公室),统筹推进数据安全工作,下设数据安全专项组,由管理组、业务组、对外合作组、技术组、隐私保护安全合规组、监督组6个小组构成,合力推动数据安全全面落地。

完善数据安全管理体系。广东联通依据国家、行业主管部门的数据安全相关法律法规与标准规范及联通集团相关数据安全要求,逐步构建四级数据安全制度体系,覆盖了数据全生命周期及数据分类分级、基础安全等各方面要求。

健全数据安全技术体系。广东联通数据安全技术体系以数据识别、数据加密、数据脱敏、接口安全、数据防泄漏、操作审计、数据销毁、数据溯源八个安全能力为基础,围绕数据全生命周期安全需求,在集团能力基础上构建省分集约化数据安全能力,实现数据安全立体化防护。同时,积极研究并逐步推动建立隐私计算平台,探索个人隐私数据对外协同数据处理时合规防护,确保用户隐私数据安全。

完善数据安全运营体系。广东联通以安全合规需求为驱动,组建SOC,构建了围绕数据感知、风险感知、安全合规、事件管理四个方面的运营体系,制定了安全实施、安全意识、数据保护、安全事件、敏感数据扩散五项运营指标,运用恰当的安全技术和管理手段,整合人、技术、流程,持续降低数据安全风险。依据运营指标结果,广东联通不断优化总结运营内容,提升数据安全运营能力,为数据持续性提供安全防护。
广东联通

数据安全治理实践亮点

亮点一:全面梳理和重塑工号实名管理的规范流程,打造基于身份证唯一标识的“实名认证、分级授权、日志溯源”,实现人脸识别、操作留痕、审计追溯,消除工号借用、盗用、越权等隐患。

广东联通2022年实施了工号实名制项目,该项目以“1身份证:1活体认证:N工号”为底层逻辑,以八步法开展工号实名实人、高权限管控,实现核心系统100%实名,100%实人登录,对异常工号行为进行监控,逐步实现工号数字化规范化管理。目前已纳管199套系统进行工号持续安全运营,清理不合规工号28万多个,回收高权限工号1000多个,4套系统启动“活体+账号口令”登录,33套系统启动“短信验证码+账号口令”登录,已设计42项安全指标周期性运营,有效保障了工号权限数据安全。

亮点二:针对IT系统多,且对用户基础数据调用服务需求大,以及业务发展、数据分析、运营等访问敏感数据的频繁需求,启动数据服务安全项目,确保数据服务涉及的数据调用、数据使用安全。

如图2,依托集团数据中台和天擎能力商店,构建省分数据能力开放平台,统一提供基础数据调用服务。通过应用系统注册审批、账号身份校验、账号稽查稽核,并进行接口实时监控审计,确保数据调用安全;2022年累计提供数据能力调用6千万次。同时,建设自助工具平台,并建立OA审批、DLP加解密及溯源联动机制对内部提供批量数据分析需求,批量敏感数据限制特定云终端访问并限制向外传输,以此确保数据使用安全;目前已累计提供批量数据使用需求17万次。通过项目实施,确保了数据服务100%合规、安全。

图2 广东联通数据服务安全体系

经过持续努力,广东联通凭借自身数据安全治理建设参与中国信息通信研究院组织的DSG评估,成为达到三级(目前开放最高等级)的企业!

本文来源:微信公众号 数据安全推进计划

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注