IDC发布数字政府数据安全领导者实践报告
我国前期陆续颁布施行的《十四五规划纲要》、《数据安全法》、《个人信息保护法》等政策法规,明确提出推动发展数据战略,统筹数据开发利用、隐私保护和公共安全,规范数据有序流通,保障数据安全。2022年6月,国务院正式印发了《国务院关于加强数字政府建设的指导意见》,对数字政府建设做出全面部署。文件明确提出加快建立数据资源产权等制度,强化数据资源全生命周期安全保护。不断夯实数字政府网络安全基础,加强对关键信息基础设施、重要数据的安全保护,提升全社会网络安全水平,为政府数字化发展营造安全可靠环境。
本IDC PeerScape报告根据政府行业数据安全建设的案例收集甄选,及对相应的IT负责人或领导者进行访谈而形成。上海市政务云、内蒙古自治区某政府机构的数据安全实践入选数据安全云化服务化类别领导者实践;烟台市大数据局、上海市大数据中心的数据安全实践入选数据安全运营体系建设类别领导者实践;杭州市数据资源管理局、烟台大数据局的数据安全实践入选数据安全新技术应用类别领导者实践;大理州数字办、湛江市霞山区政数局、浙江省农业农村厅、某省医保局、北京某区信息中心的数据安全实践入选数据安全治理体系建设类别领导者实践。
IDC观察到,数字政府数据安全建设中,引入了很多新技术、新模式、新体系。例如,利用云化、服务化实现安全大规模建设的集约共享,利用工具及人工智能技术进行数据梳理及分类分级,利用大数据、机器学习和UEBA(用户和实体行为分析技术)技术对流转中的数据交互进行审计和稽核,从组织、制度、流程、技术几个维度进行数据安全体系建设,通过建设数据安全常态化运营体系提升组织整体的安全能力等。
IDC认为,
数字政府在进行数据安全建设时,
需要从以下几点考量:
●? ?建立针对数据安全的组织制度。数据安全建设不能局限于网络安全的视角,建立数据安全组织和管理制度,对日常的数据安全管理工作进行相关约束,从网络安全合规演进到数据安全合规。
●? ?进行数据治理,有效梳理数据资产和进行分类分级。通过网络扫描和数据库的遍历查询,自动梳理数据资产清单,基于机器学习实现字段与分类分级标准的映射,实现智能数据分类分级。
●? ?云化、服务化实现安全大规模建设的集约共享。通过采用高集约化的云融合密码服务模式, 提供了满足云时代分层解耦的安全服务能力。通过云化集中管控海量设备和资源,策略更新自动下发,实现安全的统一防护,安全数据的可视化,为大规模部署提供了可能。
●? ?利用大数据和人工智能技术实现数据流转中的泄漏分析和溯源。通过用户和资产画像,对数据共享开放过程中的数据交互行为进行审计和稽核,实时感知数据异常和潜在风险,结合数据流转实时地图,进行数据泄露的溯源。
●? ?汇聚各类数据,建设数据安全运营体系。对各层面环节的数据安全统一策略防护和管控,建设一体化运营平台,实现业务敏感数据的规范化、标准化和常态化管理,推动数据安全管控目标的落地。
分析师观点
IDC中国助理研究总监孙吉峰表示,数字政府的建设今年发生了重大变化,更专注提供一体化公共服务,基于七大履职能力体系的建设方式,是跨层级、跨部门、跨业务的协同建设方式,其支撑核心是强化数据赋能、数据共享,发挥数据融合的作用,数据的共享开放是当前数字政府建设的前提,而数据安全又是这一切的保障。数据安全在数字政府领域被提到了前所未有的高度,本研究甄选了数字政府领域建设的优秀实践,希望对数字政府数据安全的建设有所启示。