常见数据安全问题有哪几种?
数据安全包括哪些内容?通过数据安全合规性检查,会发现很多突出问题是共性的,大家可以针对这些问题进行重点检查和改进。可大致归纳为管理制度问题、研发安全问题、运维安全问题、个人信息保护和数据生命周期安全防护等四大类问题。
① 制度不完善
制度不完善是最突出的问题。数据安全法与个人信息保护法发布实施接近一年,但是大部分单位都没有及时根据新的法律法规制定或者修改自己的相关安全管理制度,应及时由单位落实数据安全管理责任,根据数据安全法和个人信息保护法,调整完善数据安全管理制度。
检查过程,关于管理制度,应该询问管理人员是否熟悉相关制度,数据安全管理部门是否明确数据安全管理制度,落实制度制定和执行情况以及相关台账。
② 研发安全
研发安全问题总是容易被忽视。在研发环境中,可能存在着大量的真实数据,在对这些数据进行开发利用的过程当中,往往缺少数据安全管理能力,对数据没有脱敏加密,没有防泄漏的手段,代码或真实数据违规上传互联网甚至是开发公司违规设计后门和接口。对研发团队、研发管理制度、代码审查、外包人员管理、代码管理和数据防泄漏等方面应重点检查。
③ 运维安全
在运维过程中,往往也存在许多数据安全问题。运维人员接触的数据是否是敏感数据,是否涉及到个人信息,权限是否做了细粒度的风格管控,是否有数据防泄漏措施保证运维环节的安全,是否有堡垒机对运维过程做管控,是否有数据库堡垒机能对数据库运维操作进行审计和阻断,这些都需要制度和安全措施共同配合来提升运维安全。
④ 数据的全生命周期安全
业务系统中经常存储着敏感数据和个人信息,这些数据在收集、传输、存储、处理、共享和销毁等环节,各项数据安全措施往往是缺失的,例如采集数据不规范,数据传输未加密,存储未加密脱敏,处理数据不合规,共享数据不规范,应销毁数据没有进行回收销毁等问题,都亟待解决。
针对行业特定的数据安全重点问题,使用人工加自动化工具方式开展数据安全合规性检查,能够有效发现数据安全问题,并通过对相关的问题进行专业分析,为数据安全整体提升起着至关重要的作用。
原文来源于:https://mp.weixin.qq.com/s/HAt7y7qkGaBnZcVbvdErzQ
