本文是一篇在职研究生论文,本文主要以N公司的数据安全管理能力提升这一实际问题为出发点,基于DSMM模型,并根据层次分析法对于DSMM模型中的评价体系做了进一步量化,即保证了理论支撑又结合了N公司的具体实际情况,形成了一套新的数据安全管理评价指标体系。
第一章 绪论
1.1 研究背景
随着社会经济的发展,科技技术不断创新,信息和数据的价值不断提高,在社会经济和企业活动中扮演着越来越重要的角色,有学者将数据比喻成未来世界的“黄金”或者“石油”[1]。数据将会是企业生存的重要核心资源之一,技术创新的关键来源,也是国家的战略资源和信息安全保障。根据《国家数据资源调查报告(2020)》的数据,我国在2019年的数据产量总规模为2.9ZB,同比增长29.3%,占全球数据总产量的9.3%。
随着数据价值的不断提升,也引起了不法分子的注意,催生了新的信息安全问题。以往信息安全不法分子的手段是直接盗取数据进行倒卖以赚取利润,现在会用全面的数据构建精准诈骗活动,甚至通过木马程序对用户数据进行加密,然后留下勒索信息,勒索赎金,这是近几年国内外企业所遭遇的主要黑客攻击形式。从2004年开始,我国以获利为目的的网络数据攻击、盗取、倒卖就开始出现了。当今时代,互联网日渐普及、移动互联突飞猛进,而不发分子行骗的手段也与时俱进,从事黑产的人员数量也在不断膨胀,形成了成规模,成体系的网络黑灰产业链。在这条产业链中的重要一环就是窃取用户数据。但是,在2016年之前,社会的关注点还停留在诈骗实施的表面现象,直到“徐玉玉事件”的发生,人们才真正的重视到电信诈骗的精准定位的数据来源以及背后的用户数据泄露问题。随后,如3.15专题报道和其他各种报道披露的案例中可以发现:很多数据泄露事件,都是通过内部人员倒卖数据或者公司直接倒卖用户数据造成的,这完全不同于大家想象的黑客攻击。根据IBM发布的《2021数据泄露成本报告》(IBM: Cost of a Data Breach Report),如图1-1所示,数据泄露的凭据成本逐年增加,并且在2021年增长率突然升高,数据泄露的平均成本在2017年是362万美元,到了2021年,上升到了424万美元。自2015年起,数据泄露的平均成本已经增长了11.9%[3]。
1.2 研究目的及意义
1.2.1 研究目的
近年来电子商务的普及,移动互联的深入应用,数据已经不再是单纯的企业资源,而是生产要素。尤其是近年来的国内外新形势,使得数据安全上升到国家安全层面,事关国家安全与经济社会的发展。人均数据量近年来呈爆发式增长态势,但是,数据安全管理和治理并没有完全跟上,数据泄露事件时有发生,个人隐私信息售卖泛滥,尽管多数企业也采取了相应的对策,从软件,硬件,流程,系统各个方面进行了治理,学界也进行了相关研究,但是从是实践结果上看,企业的数据安全管理依然存在问题,有待提升。
本文研究的目的在于,通过研究与合理设计N公司的数据安全管理,结合数据安全成熟度模型[17](DSMM)建立企业数据安全管理框架,提出数据安全管理能力评级指标体系,保障数据在依法合规前提下,最大限度地被开发使用。通过对企业管理组织、制度流程、安全技术、人员水平能力等方面的评估,分析企业当前的数据安全给管理状况,并根据分析结果和企业需求,因地制宜第得出企业数据安全管理优化方案。切实改善企业的数据安全状况。总体而言,主要的研究目的可以概括为以下两点:
1.基于DSMM模型,通过对N公司从多个维度进行数据安全管理进行评估,分析现存的主要问题,形成切实的解决方案,降低数据安全风险,提升整体信息化水平。
2.通过实证研究,在评价过程中,提出可量化的评价指标体系,优化影响因素,为同行业企业数据安全管理评价和数据安全能力建设提供参考。
第二章 理论研究综述
2.1 数据安全、信息安全与网络安全
对于信息安全、数据安全和网络安全,在大数据概念出现之前,信息安全的概念最为广泛,能够覆盖另外的两个概念,但是随着大数据时代的来临,三者的概念范围也发生了变化[31]。
根据《GB/T25069-2010 信息安全技术 术语》,信息安全(information security)的定义为“保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质[32]。”
在互联网刚刚普及的初级阶段,对于网络安全(Network Security)的通常理解是指保护由计算机网络,不管是局域网还是互联网,使其链接的软硬件能够持续稳定的正常运行,并防御来自于外部的攻击,保护系统中存储的数据不被破坏、篡改和窃取,以保障所服务对象的正常工作[33,34]。在这一阶段,数据安全通常仅仅被理解为保护信息系统中的重要数据,因此数据安全在互联网发展的前期是被看做是网络安全的一部分,即数据安全是网络安全范围内的一项工作[35]。随着云计算和大数据技术的崛起,以互联网,物联网,移动互联为主导的时代来临,数据量急剧增加,数字型社会大发展,人们对于数据越来越的依赖,在这样一个新的技术驱动的时代里,网络的概念开始从几十年前的计算机网络不断转化为云、边缘、终端等新的衍生概念延伸[36],因此网络安全的概念也逐渐演变称为涉及到国家全层面的网络空间安全(Cyber Security)。
数据安全概念的发展也是一个随着技术革新而逐渐演变过程,在未来也许还会衍生出新的内涵,突破现有的认知。目前,对于数据安全的普遍认知是以数据为中心,保护数据再起生存周期,包括但不限于数据采集或生成、传输、储存、处理或使用、交换、销毁等环节的安全性,其存在一方面不能影响数据的自由流转,另一方面,又要保证其安全措施能够覆盖到数据流转的任意环节。
2.2 数据安全治理和数据安全管理
在中国互联网协会发布的《T/ISC-0011-2021 数据安全治理能力评估方法中》,数据安全治理在英文中,治理所对应的词为governance,是指遵照具有共识的指导原则,通过协调和配合共同追求一致目标的过程。而管控是management,是指为达到组织的既定目标而以人为中心对组织拥有的资源进行有效的决策、计划、组织、领导和控制的过程。
2.2.1 数据安全治理
数据安全治理治理的概念更加强调不同机构之间的协调和合作,通常情况下不易用表一套严格的规则条例或正式制度来表达,一般来说,是以一种方法论的形式呈现[37]。
2015年,高德纳公司(Gartner)在《2015年数据安全技术成熟度曲线》报告中,首次使用了“数据安全治理”(Data Scurity Governance,简称DSG)这一概念[38],并且支出,在全球范围内,日趋复杂的数据安全形式是的企业面临着前所未有的风险,原有的数据安全设备和方案在当今的大数据背景下已经很难为企业的所有数据使用环节提供无缝安全保障。应该转变信息安全理念,提倡以数据为中心,强调数据安全治理的概念,建立一体化的安全保障策略。所以,数据安全治理的概更加宏观,并非只是一套具体的解决方案,而是从上到下,从面到点,贯穿整个组织机构的完整链条,是大数据时代背景下,数据安全防护的有效手段[39]。
第三章 N公司数据安全管理的现状分析.........................19
3.1 N公司概况............................19
3.2 N公司数据安全管理现状.......................20
第四章 N公司数据安全管理评估及分析.........................25
4.1 数据安全管理评估原则............................25
4.2 数据安全管理能力评估准备..........................26
第五章 N公司数据安全管理优化...............................53
5.1 数据安全管理能力优化目标和范围.....................53
5.1.1 优化目标..........................53
5.1.2 优化范围................................54
第五章 N公司数据安全管理优化
5.1 数据安全管理能力优化目标和范围
5.1.1 优化目标
N公司经历了多年的快速发展和扩张,和很多企业一样,将产品研发和生产作为日常运营管理工作中的重点,虽然进行了相应的信息化建设,但并没有将数据安全管理工作作为一项日常工作来做,从组织建设项评分相对最低这点上不难看出。在信息化的建设上,N公司在数据安全设备和技术服务的投入了不少的人力和财力,充实了企业的基础设施建设,但是仅仅有硬件的投入,缺乏相关意识的培养和人员素质的培训,很多的安全设备和工具技术的作用难以得到有效的发挥。
一些研究指出[65,66],只单纯重视技术上革新,而没有进行管理方法和安全意识上的转变,很难形成有效的信息防护安全体系。有效的管理体系才是保证数据安全的主要动力来源。所以,在对N公司进行数据安全管理能力优化的实施过程中,重点是在提高管理组织建设上。根据DSMM评分结果,优化方案目标是:
(1)解决N公司目前面临的数据安全管理问题。使评分为1级的细分域安全管理达到DSMM规定的2级水平,实现可管理。中期目标是N公司的数据安全管理可达到DSMM规定的3级水平,最终目标是公司安全管理达到DSMM规定的4级水平,即可量化控制。
(2)加强数据安全的检查监督,对各类涉及信息安全活动进行检查和总结,检验各部门之间的协调配合,共同实现数据安全管理。
(3)加强员工数据工具使用和数据安全的培训,提升公司人员的数据使用的规范和安全意识。
第六章 研究结论和展望
6.1 总结
企业在发展信息
