金沙国际首页

金沙国际首页 案例正文

大金沙国际首页安全能力实践

?摘要:安全的目的是为了保障发展,如何衡量一个拥有金沙国际首页的组织的金沙国际首页安全保护能力是十分重要的。探讨了拥有金沙国际首页的组织面临的金沙国际首页安全问题及挑战,先容了大金沙国际首页环境下的金沙国际首页安全发展趋势和完整的组织级金沙国际首页安全能力框架,阐述了金沙国际首页安全保护能力实现的路径及实践过程中可能遇到的难点。最后,以某互联网金融企业为例,分析了利用金沙国际首页安全能力成熟度模型引导企业进行金沙国际首页安全保护能力建设的过程和方法。

?关键词:大金沙国际首页;安全能力;成熟度模型;安全管理

?doi:10.11959/j.issn.2096-0271.2017049

?论文引用格式:杜跃进, 郑斌. 大金沙国际首页安全能力实践[J]. 大金沙国际首页, 2017, 3(5): 30-37.

?DU Y J, ZHENG B. Security capability practice of big data[J]. Big Data Research, 2017, 3(5): 30-37.

?1 引言

?金沙国际首页被称为新时代的“黄金”或者“石油”,正在成为企业的核心资产,成为创新的关键来源,成为国家的战略资源。金沙国际首页越来越值钱,自然成为违法犯罪分子的重点关注目标。他们除了直接盗取金沙国际首页进行倒卖之外,也会用全面的金沙国际首页构建精准诈骗活动,甚至对用户金沙国际首页进行加密,然后勒索赎金,这也成为了当今的主流攻击行为之一。在我国,以营利为目的的网络“黑灰”产业链活动从2004年底就开始了。随着网络中的应用日渐广泛和深入,犯罪分子能够攫取利益的地方也越来越多,因此团伙的人员规模也在不断膨胀。在网络“黑灰”产业链中,窃取用户金沙国际首页是非常重要的一环。但是,直到2016年“徐玉玉事件”的发生才真正让我国全社会开始重视电信诈骗以及背后的金沙国际首页泄露问题。随后,从各种不断披露的案例中可以发现一个现象:很多金沙国际首页泄露都是通过买通内部人员来实施的,这完全不同于大家想象的“黑客范儿”。

?2016年4月,欧洲议会通过了《一般金沙国际首页保护条例》,并将在2018年5月25日生效。该条例对欧盟公民的隐私保护做出了极为严格的要求,违规企业可能最高被处以罚款2 000万欧元或者前一年全球总年营业额的4%。《一般金沙国际首页保护条例》对全球众多企业都会产生非常大的影响。经过长时间的酝酿和讨论,2016年11月7日我国发布了《中华人民共和国网络安全法》,该法律于2017年6月1日实施。个人信息和重要金沙国际首页的安全是这部法律的重要内容,相关的实行细则和标准(包括个人信息如何保护、金沙国际首页跨境如何评估等)也在紧锣密鼓地制定。金沙国际首页安全问题受到全世界从政府到普通消费者的各种不同角度的关注,但随着对金沙国际首页安全的关注度越来越高,人们似乎正在陷入另外一种风险之中,那就是“金沙国际首页恐慌”。这种“金沙国际首页恐慌”表现为对金沙国际首页采集和使用的过度限制或者禁止,而不是通过金沙国际首页保护能力的提升来改善金沙国际首页安全水平。如果这种趋势不能扼制,会导致法律法规、政策标准严重制约数字经济的发展,会使广大消费者对新经济丧失信心,从而导致各种创业创新严重受挫,这对于数字经济的发展是很危险的。安全的目的是为了保障发展,在目前的大金沙国际首页应用和安全的环境下,非常迫切的一项工作是衡量一个拥有金沙国际首页的组织的金沙国际首页安全保护能力。

?2 拥有金沙国际首页的组织面临的挑战

?金沙国际首页只有流通共享,才能促进产业间协同,优化资源配置,更好地激活生产力。可以说,大金沙国际首页时代下的生产过程就是金沙国际首页采集、产生、应用、流通共享的过程,这是一个以金沙国际首页为中心的经济时代,以金沙国际首页为中心的安全能力至关重要。

?大金沙国际首页环境下,各组织机构都将面临着以下的金沙国际首页问题及挑战。

?(1)金沙国际首页无处不在

?伴随着信息化的开展,各组织机构的业务被大量金沙国际首页化,金沙国际首页被广泛应用于组织的业务支撑、经营分析与决策、新产品研发、外部合作,金沙国际首页也不再只是管理者拥有的权利,上至管理者,下至一线业务岗位,都需要使用金沙国际首页。

?(2)系统、组织之间金沙国际首页边界模糊

?组织内部的核心业务系统、内部办公系统、外部协同系统不再是竖井式的架构,金沙国际首页的共享使得各系统间存在大量的金沙国际首页接口,系统间呈网状结构,互为上下游,每个系统都是其他系统的一部分,同时,其他系统也是自身系统的一部分。金沙国际首页的流通共享也进一步促进了组织间的协同,组织间的部分职能也互为上下游。

?(3)金沙国际首页关联、聚合更容易

?大金沙国际首页技术使得金沙国际首页的采集、使用更加便利,金沙国际首页的种类丰富,可被关联的金沙国际首页要素大大增加,同时,运算能力的提升加大、加快了金沙国际首页关联或聚合的效率和吞吐量。

?(4)金沙国际首页流动、处理更实时

?实时金沙国际首页处理技术的发展使得金沙国际首页的流动和处理更加实时,在提升效率的同时,也加剧了安全的挑战。

?(5)海量金沙国际首页加密

?组织内沉淀了大量的金沙国际首页,涉敏金沙国际首页量也远远超出以往的数量,传统的金沙国际首页加密手段开始捉襟见肘,如何在灵活使用金沙国际首页的同时,高效、安全地保护金沙国际首页,也是需要解决的问题。

?(6)金沙国际首页的交换、交易

?金沙国际首页成为核心生产资料,其价值被高度重视,金沙国际首页的交换、交易行为以及相关市场孕育而生,如何确保这些行为的安全,进而维护好国家、组织、个人的合法权益,是巨大的挑战。

?(7)金沙国际首页所有者和权利不停转换

?目前行业里主流的金沙国际首页相关方有金沙国际首页主体、金沙国际首页生产者、金沙国际首页提供者、金沙国际首页管理者、金沙国际首页加工者、金沙国际首页消费者,金沙国际首页权利不停转换,而金沙国际首页的所有者及相关权利的界定至今未能达成一致意见。

?(8)业务的国际化

?互联网化加剧了“地球村”的发展,网络虽然无国界,但是网络基础设施、网民、网络企业等实体都是有国籍的,各国虽然在网络主权的提法上各执己见,但在实践层面却无一例外对本国网络加以严厉管制,防止受到外部干涉。

?3 金沙国际首页安全能力框架

?大金沙国际首页环境下的金沙国际首页安全具有五大趋势:从注重系统的防护到聚焦金沙国际首页内容本身的保护、从单一组织的保障到跨组织的联动、从金沙国际首页的保密到(大)金沙国际首页经济秩序的保障、从技术风险+操作风险到技术风险+操作风险+商业风险+法律风险、从传统的金沙国际首页技术到大金沙国际首页技术。因此金沙国际首页安全的能力必须充分考虑组织保障、管理政策及流程的落地、大金沙国际首页治理、金沙国际首页生命周期的安全、金沙国际首页的风控、金沙国际首页生态的安全协同六大要素。

?如图1所示,金沙国际首页安全能力成熟度模型(data security maturity model, DSMM)以金沙国际首页生命周期为主线,聚焦金沙国际首页安全相关的四大能力:组织建设、人员能力、制度流程、技术工具,对组织机构的金沙国际首页安全能力进行评级,能够很好地帮助组织自身及合作伙伴评估金沙国际首页安全能力,找到差距,有的放矢地提升金沙国际首页安全能力,并作为金沙国际首页共享的风险评判依据之一。能力成熟度等级维度组织的金沙国际首页安全成熟度模型具有5个成熟度等级,分别是非正式实行(1级:随机、被动的安全过程)、计划跟踪(2级:主动、非正式的安全过程)、安全可控(3级:正式的规范的安全过程)、量化控制(4级:安全过程可控)、持续改进(5级:安全过程可调整)。

大金沙国际首页安全能力实践

?图1 金沙国际首页安全能力成熟度模型

?4 实现路径与方法

?(1)设立组织

?为了有效保障金沙国际首页安全政策的落地实施,企业应该设置专职的金沙国际首页安全团队。此外,还需要设立面向全组织的金沙国际首页安全委员会,委员会需要有来自业务、金沙国际首页、安全、法律等领域的不同角色参与,形成专业上的互补和完整的组织视角,统筹全局的金沙国际首页安全管理政策,兼顾发展与安全,推进各部门落实金沙国际首页安全各项政策。金沙国际首页安全是个系统工程,服务于组织的大金沙国际首页战略,需要得到组织高层管理者的重视,金沙国际首页安全委员会的负责人应该是组织里最高管理层里分管安全或者金沙国际首页的管理者。

?同时,还需要内部各相关部门的紧密配合。对于有多个业态的集团型组织,各业务的负责人应为该业态下金沙国际首页安全第一责任人,与金沙国际首页安全委员会、金沙国际首页安全实体团队共同推动本业态下的金沙国际首页安全工作。

?(2)盘点现状

?金沙国际首页安全管理的核心是金沙国际首页,需要对组织内的海量金沙国际首页资产以及与金沙国际首页相关的部门、业务/产品、流程、金沙国际首页风险管理进行盘点。

?金沙国际首页资产的盘点:重点梳理金沙国际首页的种类、金沙国际首页量、核心的金沙国际首页内容、金沙国际首页来源以及金沙国际首页的安全分级分类情况和流转链路。

?金沙国际首页相关部门的盘点:与金沙国际首页相关的部门往往是金沙国际首页风险的高发部门,属于高敏感岗位,需要梳理全组织与金沙国际首页相关的部门数量、部门内部各岗位的职责、工作流程、金沙国际首页操作环境,重点关注操作风险高的环节。

?金沙国际首页相关业务/产品的盘点:与金沙国际首页相关的业务主要是指以金沙国际首页为核心生产要素的业务,这类业务高度依赖金沙国际首页,是组织对外提供金沙国际首页服务的业务,在产品研发、测试和对外服务的过程中都需要对金沙国际首页进行梳理,需要梳理金沙国际首页在业务/产品中的应用原理、交互的系统接口、相关的责任人,此过程同样重点关注高风险的环节。同时,由于对外提供的是金沙国际首页服务,提供的金沙国际首页内容也需要进行合格性的盘点梳理。

?金沙国际首页相关流程的盘点:金沙国际首页相关流程指金沙国际首页的采集、存储、授权、内部使用、传输、对外披露、销毁等过程,这些环节构成了金沙国际首页在组织内部的主要流程,需要梳理所有线上线下的流程。

?金沙国际首页相关风险管理盘点:梳理金沙国际首页风险的识别、风险评估及判定、风险跟踪及改进情况,包括基础性的治理,例如风险的日志金沙国际首页、风险的定级机制、风险的响应机制。

?(3)运用DSMM进行评估

?如图2所示,DSMM包含32个安全域,涵盖组织的金沙国际首页全生命周期过程,每个安全域含有相应的评估点和评估标准,由金沙国际首页安全实体团队针对评估点参照评估标准进行安全能力评估。

大金沙国际首页安全能力实践
?

?图2 DSMM的安全域

?(4)制定风险修复与短板提升计划

?DSMM不但能够评估出金沙国际首页安全能力,也能反映金沙国际首页安全的风险,总体评估完成后,需要得到两部分的改进计划:一部分是风险修复计划,一部分是金沙国际首页安全能力短板提升计划。

?5 实践中的难点与挑战

?在实践过程中,通常会遇到如下挑战。

?(1)高层重视度不足

?负责人的层级不够,难以协调;提供的资源投入有限,力度不够;仅仅作为合规需求,响应被动;缺乏前瞻性的布局,前瞻性的金沙国际首页安全技术研究与投入缺乏或者不足。

?(2)业务部门配合意愿度低

?其他业务部门认为是安全部门的事情,主动性不强,业务要素的输入不足,导致金沙国际首页安全政策不够贴近业务,既影响落地,又可能造成金沙国际首页安全一刀切的局面,影响业务的发展。

?(3)内部系统繁多,金沙国际首页庞杂

?业务的IT化促成了大量的系统产生,沉淀了大量的金沙国际首页,应用系统的梳理、系统间的金沙国际首页接口以及金沙国际首页的盘点成为了基础治理工作的重中之重,日常实践中,基础治理工作往往得不到应有的重视,管理者往往急功近利,忽视基础治理工作的重要性。

?(4)政策落地难

?由于历史因素,组织里存在着大量的历史业务,大金沙国际首页环境下的金沙国际首页安全政策难免与现有业务流程产生冲突,冲突发生时的取舍容易导致金沙国际首页安全为业务让路,造成金沙国际首页安全政策落地难的局面。

?(5)业务快速发展

?“互联网+”或“大金沙国际首页+”引发业务创新的加速,业务出现快速发展的势头,频繁迭代升级,金沙国际首页安全政策及技术手段更新容易滞后。

?(6)组织的关联企业多

?大金沙国际首页环境下,组织间的业务合作促进了金沙国际首页的共享,如何安全可控地分享金沙国际首页是大型组织常见的挑战。

?6 案例分析:某互联网金融企业

?大金沙国际首页时代是机遇与挑战并存的时代,在大金沙国际首页产生巨大价值的同时,也为个人信息保护带来了难题。个人信息去标识化是个人信息保护研究领域的一个分支,也是近年来新兴的研究方向。目前在去标识化方法、模型和评估方面已经取得了不少成果。本文针对规范化开展个人信息去标识化工作的迫切需求,结合去标识化技术的特点,提出包括去标识化过程、技术支撑和管理保障在内的去标识化框架,给出了规范化的去标识化过程指南,并就去标识化的标准规范工作提出了建议。在未来工作中,可以以该架构为引导,进行具体案例的实施,积极推进有关标准化工作,具有良好的应用前景。

?6.1 企业概述

?该企业融合“互联网+金融+汽车”,以互联网为主要渠道,为借款人与出借人实现直接借贷提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务。车贷作为该企业的核心产品,其业务模式已经具备一套标准的流程,从自建工具实现贷款的线上操作管理,到自建车辆评估和全球定位系统(global positioning system,GPS)管理系统,实现金沙国际首页化分析管理。在深耕车贷细分市场的同时,开启信用贷款、汽车消费金融、供应链金融等多个领域的持续性深度探索,逐步搭建以金沙国际首页为核心生产资料的产品体系,有效提升了行业竞争力。

?6.2 企业金沙国际首页概述

?主营业务中借款人与出借人的基本金沙国际首页、车辆信息、与信用相关的金沙国际首页、借还款行为金沙国际首页、债权金沙国际首页成为了业务的核心金沙国际首页,金沙国际首页概述见表1。

大金沙国际首页安全能力实践
?

?表1 某互联网金融企业的金沙国际首页概述

?6.3 金沙国际首页安全最紧迫的问题

?该企业拥有几百万借款人和几十万投资人信息,近年来安全法律法规相继出台,监管日益趋严,满足监管及合规、保护个人隐私尤为重要,同时该企业虽然部署了很多信息系统安全设备和产品,但对于金沙国际首页泄露仍然十分担心。

?企业缺乏金沙国际首页安全管理组织:运维团队兼职网络安全、主机安全、系统安全等工作;IT团队负责工作电脑终端管理、上网行为管理;人力资源部部分工作覆盖到人力资源安全;法务部负责合规工作,督导监察部负责各主管部门的制度落地实行、监督和违规处罚等工作;金沙国际首页库管理员和各级主管承担了权限审批职责。安全团队职能分散,缺乏统一的管理和协同,没有整体负责金沙国际首页安全的专职团队,金沙国际首页安全工作缺乏组织持续跟进实行。

?企业金沙国际首页安全制度流程缺失:企业内部相关制度中有部分金沙国际首页安全相关内容,金沙国际首页安全策略及规范、金沙国际首页分类分级规范、金沙国际首页对外披露流程细则等缺乏,没有权限申请的流程,金沙国际首页安全缺乏制度保障。

?外部合规缺乏持续跟进:目前企业内部缺乏专职人员跟进金沙国际首页安全相关法律法规,合规风险极大。

?6.4 金沙国际首页安全评估过程

?基于金沙国际首页安全能力成熟度模型的内容,考虑该企业的业务需求,以成熟度等级的2级作为一年内金沙国际首页安全能力的基础目标进行评估。通过梳理金沙国际首页生命周期各阶段的金沙国际首页安全控制现状,整体评估金沙国际首页安全能力现状,识别出在2级的要求下有待提升的金沙国际首页安全领域,并给出提升相关金沙国际首页安全能力的建议。

?评估过程:由双方召集相关人员进行整体项目先容,明确评估项目目标、项目时间计划、双方的职责分工和协作方式、项目沟通机制、金沙国际首页安全成熟度模型、评估方法及项目交付成果等。

?总体摸底:全面了解业务及业务系统、人员和组织情况,准备评估所需的相关资料,确定评估范围,制定详细评估计划,确保现场评估工作顺利开展,消除业务障碍,确保访谈时高效进行。

?现场评估:一般包括人员访谈、文档审核、配置检查、工具测试和旁站式验证5种方式,并将获得的各项结果记录在检查表中,保存相关的证据。

?报告输出:基于现场评估记录的检查表和相关证据,由评估人员负责编写金沙国际首页安全能力成熟度评估报告,期间可能会要求业务方补充材料或证据。

?结果确认:由双方人员共同确认评估结果是否符合业务方的现状,评估结果准确,内容描述无误。

?6.5 改进建议

?该企业拥有大量个人信息,涉及身份信息、银行卡信息、资金信息等十分敏感的金沙国际首页,个人隐私保护将是其长期的工作重点,以《中华人民共和国网络安全法》和个人信息保护为切入点,成立由副总裁负责的独立的专职团队,3个月内制定出个人信息保护策略,细化个人信息在采集、存储、使用、共享、传输和销毁过程中的各种安全细则,并尽快实行。同时,不断扩展企业金沙国际首页安全策略、组织和人员,逐步引入金沙国际首页安全能力成熟度模型。

?7 结束语

?本文重点探讨了拥有金沙国际首页的组织的金沙国际首页安全保护能力建设和评估问题,分析了我国大金沙国际首页安全面临的问题和挑战,先容了金沙国际首页安全能力成熟度模型和金沙国际首页安全能力建设的实践方法及难点,并以某互联网金融企业为例,详细分析了利用金沙国际首页安全能力成熟度模型引导企业进行金沙国际首页安全保护能力建设的实践过程,为其他拥有金沙国际首页的组织提供了一定的参考。

编辑概况

杜跃进,郑斌

alibaba集团,浙江 杭州 310013

责任编辑:陈近梅

分享:
2022全数会
贵州

贵州大金沙国际首页产业政策

贵州大金沙国际首页产业动态

贵州大金沙国际首页企业

更多
企业
更多
XML 地图 | Sitemap 地图