供应链场景的数据安全建设实践-姚兴.pdf

1、供应链场景下的数据安全建设实践京东集团信息安全部 姚兴 总监目录数据安全建设背景和挑战供应链场景下的数据安全治理思路数据安全建设落地实践数据安全法律法规要求数据安全法律法规要求工信部APP侵害用户权益专项整治行动专栏通知公告，总共通报2626批次，共计通报了23822382款APP，下架了509509款APP，总体来看，通报APP数量波动起伏较大，反复性强。2022年工信部共计通报了846846款APP，下架了264264款APP，在第2424批更是刷新了历史最高记录，共计通报了368368款APP。数据安全合规情况数据安全合规情况 根据Verizon数据泄露调查报告显示，2020年全球数据泄

2、露事件为39503950起，2021年为52585258起，到2022年为52125212起，82%82%的数据泄露违规行为涉及人为因素。根据IBM安全发布的2022年数据泄露成本报告中统计，2022年数据泄露成本达到历史新高，平均为435435万美元万美元，该数字相比去年增加了增加了2.6%2.6%，2021年数据泄露成本为424424万美元万美元。而相比2020年的386386万美元万美元，2022年的数据泄露成本增长了12.7%12.7%。近年数据泄露趋势近年数据泄露趋势其他背景挑战其他背景挑战数据安全事件频频发生数据安全事件频频发生数据泄露事件频发、隐私滥用事件也是逐年呈上升趋势，给企

3、业带来不可估量的负面影响，甚至对个人造成人身伤害或财产损失企业对安全使用数据有迫切需要企业对安全使用数据有迫切需要数据是企业的重要资产，数据只有流动起来才能产生价值，怎么保障数据在流动过程中还是安全的，保障数据产生业务价值的同时还能满足合规要求，是所有企业都面临的问题安全风险在哪里安全风险在哪里企业缺失数字资产全景画像，导致难以定位安全风险，很多风险都是事后才发现安全风险该如何治理安全风险该如何治理企业缺少面向复杂链路访问请求的卡点和持续验证能力，难以推动安全治理目录数据安全建设背景和挑战供应链场景下的数据安全治理思路数据安全建设落地实践2015 年，Gartner 提出了数据安全治理(DSG

4、,Data Security Governance)概念，并从方法论的角度阐述了数据安全治理的框架。DSG 框架从上到下主要包括五个部分，即平衡业务需求与风险、数据梳理和数据生命周期管理、定义数据安全策略、部署安全能力与产品、策略配置与同步。数据安全治理框架数据安全治理框架 -DSGDSG2019 年 8 月，全国信息安全标准化技术委员会发布国家标准信息安全技术数据安全能力成熟度模型(GB/T 37988-2019)，正式提出数据安全能力成熟度模型(DSMM,Data Security Maturity Model)。DSMM 模型通过三个维度分别对数据安全能力成熟度、数据安全生命周期、数据安

5、全能力进行了定义和划分。数据安全能力成熟度模型数据安全能力成熟度模型 -DSMMDSMM从组织建设、制度流程、技术能力、人员能力层面入手，建立完善的数据安全体系从组织建设、制度流程、技术能力、人员能力层面入手，建立完善的数据安全体系数据安全管理制度数据分类分级制度数据生命周期管理流程资产平台、资产扫描、敏感信息分类分级、数据防泄漏、数据操作审计、风险策略引擎、加解密、脱敏、水印、审计溯源、资产风险量化、零信任平台等。从日常运营，定期巡检，应急响应，安全治理等四个维度建立数据安全运营体系，持续提升数据安全保护能力。管理层：安全与风控委员会决策监督层：数据安全隐私合规工作组执行层：安全执行工作组数

6、据安全数据安全体系体系组织建设制度流程人员能力技术能力京东数据安全能力建设思路京东数据安全能力建设思路1 12 23 34 45 56 6现状调研数据流程企业架构网络拓扑安全现状业务流程数据梳理制定分类分级标准数据资产打标分级数据血缘链路分析敏感数据识别风险评估围绕数据全生命周期进行风险评估、法律法规等对标分析体系设计基于风险评估、组织架构、业务流程、数据流程，设计数据安全管理及技术体系7 7技术工具基于分类分级、风险评估结果，建设丰富的数据安全技术工具试点验证通过试点运行，及时发现可能存在的管理漏洞和技术缺陷，并通过定期审计发现可能存在的运营不足持续优化设立运营指标、定期审计、持续优化改进，