一、概述
数据历来是各组织的核心资产,尤其是近年来,随着数字经济的快速发展以及传统业务数字化转型的推进,数据业已成为各组织在数字化转型时代的核心竞争力。2020年4月发布的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》明确将数据列为第五种生产要素,指出要加快培育数据要素市场,提升社会数据资源价值。随着数据成为新兴生产要素,成为基础设施,如何能系统、全面、有效地建设和提升数据安全防护能力,是当下国家、行业以及各企业都非常关注的问题。相继颁布并正式施行的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,也为规范数据处理活动、保障数据安全、促进数据开发利用提供了法律支撑。
数据安全治理能力建设并非单一产品或平台的构建,而是融合了数据安全技术和数据安全管理,建设一个覆盖数据全部生命周期和使用场景的数据安全体系,需要从决策到技术、从制度到工具、从组织架构到安全技术通盘考虑。
二、数据安全治理框架
参考团体标准《数据安全治理能力评估方法》(T/ISC-0011-2021),数据安全治理能力包括数据安全战略、数据生命周期安全、基础安全三部分,见图1所示。
其中,数据安全战略包括数据安全规划、机构人员管理两项内容,数据全生命周期安全包括数据采集在内的八项内容,基础安全包括数据分类分级在内的七项内容。
(一)数据安全战略
在启动数据安全治理工作前,必须制定相应的战略规划,明确治理目标、工作范围和具体任务,并匹配相对应的资源,保障数据治理工作能顺利推进。数据战略可以从数据安全规划和机构人员管理两方面开展。
数据安全规划是指结合组织业务发展需要,梳理数据资产并开展数据安全风险评估,对当前面临的数据安全风险现状进行梳理。可通过工具扫描和专家调研等方式,摸清机构内的数据资产构成,掌握业务系统数据使用情况以及数据的分布情况,形成“数据资产清单”。根据数据资产清单和监管合规要求,参考《信息安全技术 信息安全风险评估实施指南》(GB/T 31509—2015)及《电信网和互联网数据安全风险评估实施方法》等行业标准,开展风险评估工作,形成“数据安全风险评估报告”,结合评估报告制定组织整体发展规划。
机构人员管理是指建立负责数据安全的团队并配备专职人员,为数据安全治理工作的推动、落地提供人员保障。
(二)数据生命周期安全
数据安全治理应覆盖数据采集、传输、使用、存储、共享、交换和销毁全生命周期,在不同的节点采取相对应的安全管控技术措施和管理流程,从技术上和管理上确保数据安全。
数据采集安全是指为保障在组织系统中生成新数据或从外部收集数据过程的合法、合规及安全性,而采取的一系列必要措施。如为业务系统和用户提供透明访问接口、API接口认证、设备认证、用户身份认证等多种认证方式,对源系统访问数据资源采取可信认证、资源访问控制等措施,确保用户和设备身份的合法性及未超出授权使用范围。
数据传输安全是指为保障数据在传输过程中的完整性、机密性、可用性而采取的数据传输加密、数据完整性保护等技术。
数据存储安全是指为保障存储在各类关系型数据库、分布式数据仓库、非关系型数据库和非结构化数据源中的重要业务数据安全而采取的一系列必要措施。 可通过提供加密存储和密文访问控制服务,避免外部攻击、内部违规导致的数据泄露风险。
数据处理安全是指组织在正常开展业务或对外提供服务时,进行数据访问、导出、加工、展示、开发测试、汇聚融合、公开披露等活动的安全。数据使用过程中存在非授权访问、窃取、泄漏、篡改、损毁等安全风险。可通过为数据资源访问、数据加工/计算过程提供细粒度权限管控、异常数据访问行为监控与阻断、数据脱敏、访问代理等技术,降低外部攻击、内部数据违规使用所造成的安全风险。
数据交换安全是指组织在与内部或外部进行数据共享交换时,为保证共享交换过程安全而采取的一系列措施。可通过为数据外部和内部的纵向流通和横向共享提供认证授权、按需脱敏、数据安全标识、流转跟踪等数据安全可控技术,确保数据共享过程中的数据来源真实,重要业务数据、涉敏等重要数据内容合规,交换实体可信、交换行为可查。
数据销毁安全是指在数据使用完成后采用全自动、半自动和手工擦除方式,对数据内容及存储介质进行安全销毁,防止数据被恶意恢复、窃取和利用。
数据备份与恢复是指通过规范数据的冗余备份、恢复机制,保障数据的高可用性。
数据处理环境安全是指在数据处理过程中所涉及到的系统、终端、平台等外部环境安全。
数据全生命周期安全防护能力具体措施可参考图2。
2020年3月1日正式实施的《信息安全技术 数据安全能力成熟度模型》(GB/T 37988—2019)给出了数据全生命周期安全能力的成熟度模型架构,将每个阶段的数据安全防护能力成熟度划分为五级,在数据全生命周期安全能力建设过程中,也可参考此模型(见图3)。
(三)基础安全防护
基础安全防护是数据安全治理的基础,也是数据安全治理体系建设的通用要求。
数据分类分级是指根据法律法规及业务需求,明确组织内部的数据分类分级原则及方法。数据分类是按照一定的原则和方法对数据进行归类,以便更好地管理和使用数据的过程;分级是按照一定的分级原则和涉密程度的高低对分类后的数据进行定级,以实现差异化的数据安全管理。
合规管理是指组织内部业务需求和业务开展场景,要符合相关法律法规要求,要通过制定管理措施降低组织面临的合规风险。
合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。
监控审计是指通过建立监控及审计工作机制,保障数据安全治理策略和规范被有效执行和落地,并通过审计来掌握威胁与风险的变化,明确我们的防护方向,进而调整和优化安全治理策略。
鉴别与访问是指用户、业务互访过程中的身份鉴别与访问控制管理。
风险和需求分析是指实时的风险发现和定期的风险评估,并根据风险状况提出有针对性的防护对策和改进措施,将风险控制在可接受的范围内。
安全事件应急是指通过建立数据安全应急体系,确保在发生安全事件后能够快速响应,最大限度降低安全事件造成的影响。
三、数据安全治理路径
参考中国信息通信研究院发布的《数据安全治理实践指南1.0》,围绕上述数据安全治理框架模型,按照规划、建设、运营、评估的实践路线,制定如图4所示治理路径。
(一)治理规划
现状分析包含合规分析和风险分析,通过对业务适用的外部监管要求进行梳理,将重要条款与现有情况进行对比,分析其差距,确定合规需求;通过资产调研和风险评估,梳理并形成组织风险问题清单,明确内外部风险形成原因,提炼数据安全建设需求点。统一合规需求和安全风险需求,制定数据安全治理方案,并组织专家对方案进行论证。
(二)治理建设
治理建设包含组织架构梳理、流程制度完善、技术工具补充、人员能力提升。需成立专门的数据安全管理团队并完善相关管理制度,从架构、制度和流程上确保技术措施落地。同时在数据全生命周期各个阶段配置技术管控措施,在人员能力上,注重对人员安全意识、安全能力加强培训。
(三)治理运营
在治理运营阶段需建立有效的风险监控预警措施,在数据全生命周期各阶段开展安全监控和审计,知晓数据在组织内的安全状态,以实现对数据安全风险的防控,一旦风险防范及监控预警措施失效,导致发生数据安全事件,组织应立即进行应急处置、复盘整改。同时通过定期、常态化的数据安全风险评估,检验安全防范能力。
(四)成效评估
成效评估包含内部评估和外部第三方评估。组织应形成周期性的内部评估工作机制,常见的内部评估手段包括评估自查、应急演练、对抗模拟等。外部第三方评估是指以国家、行业及团体标准等为执行准则,结合业务场景和数据全生命周期数据流,从组织架构、制度流程、技术工具、人员能力体系的建设情况入手,考察组织数据安全治理能力的持续运转及自我改进能力。
四、开展数据治理的意义
在宏观层面,数据要素市场化配置、加速数据流通是推动数字经济、数字社会发展的必要前提;在微观层面,数字化转型是各组织融入产业链、社会经济与社会治理的必然选择。在以数据为核心生产要素的大前提下,数据安全治理将为数字化转型保驾护航,对于全面建设社会主义现代化国家起到核心推进作用。
(作者:夏正朴,系奇安信科技集团股份有限公司河南区技术总监)
微信公众号
新浪微博