由于数据本身具有流动性、多样性、可复制性等特性,数据安全风险在数字经济时代被不断放大。发展数字经济,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。
为了帮助各组织、机构建设和提升数据安全治理能力,中国信通院云大所联合行业专家编写了《数据安全治理实践指南(1.0)》,指南根据多家企业数据安全治理最佳实践,提炼出了数据安全治理的总体视图,并给出了具体的实践路径。
数据安全问题由来已久,尤其在数据上升为新型生产要素后,面临的挑战越来越大。一方面,各类数据泄露事件频发,为组织和企业的数据安全状况敲响警钟,另一方面,数据和隐私相关法律规范陆续颁发,监管力度不断加强,监管要求不断提升。然而,当前的行业数据安全治理处于发展初期,与监管的要求存在较大差距。企业整体数据安全治理能力参差不齐,治理方法论缺失,数据安全技术工具不成熟,人才匮乏,提升数据安全治理能力是数字经济时代最紧迫的议题。
尤其今年6月份《中华人民共和国数据安全法》重磅颁布,标志着数字产业进入安全与发展并重的阶段,为各行业开展数据安全工作提供了重要依据。数据安全法中明确提出要建立健全数据安全治理体系,提高数据安全保障能力。可以预见,组织和企业数据安全治理体系的建设以及能力的提升必须要提上日程,加快推进。
在这样的背景下,为了给组织和企业开展数据安全治理提供理论和实践指引,信通院云大所联合多家企业编写《数据安全治理实践指南(1.0)》。指南有4个亮点:一是首次从广义、狭义角度对数据安全治理进行定义;二是首次系统的提出了数据安全治理总体视图;三是创新性的给出了可落地的实践路径;四是从三个层面、两个核心,提出了数据安全治理的未来发展建议。
首先,我们要明确何为数据安全治理。
数据安全治理这一概念被提出以来,对它的定义一直没有统一,国际知名的Gartner和多个组织机构都对它进行定义描述。本指南认为数据安全治理的定义分为广义和狭义两方面。从广义来看,数据安全治理是国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设与实施标准体系,研发并应用关键技术,培养专业人才等。
从组织内部来看,数据安全治理是指在组织数据安全战略的指导下,为确保数据处于有效保护和合法利用的状态,多个部门协作实施的一系列活动集合。主要包括组织机构建设、制度流程规划、技术工具构建、人员能力培养等方面的工作。
我们可以从三个要点来理解数据安全治理的内涵。
数据安全治理工作是以数据为中心开展的。要根据具体的业务场景和数据生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。
数据安全治理需要多方共治。仅依靠安全团队或者法务团队一方力量是无法开展数据安全治理工作,必须构建多方参与的工作机制,明确各方职责,分工协同推进。
数据安全治理强调发展和安全的平衡。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全,同时也要以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。
我们可以从三个要点来理解数据安全治理的内涵。
数据安全治理工作是以数据为中心开展的。要根据具体的业务场景和数据生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。
数据安全治理需要多方共治。仅依靠安全团队或者法务团队一方力量是无法开展数据安全治理工作,必须构建多方参与的工作机制,明确各方职责,分工协同推进。
数据安全治理强调发展和安全的平衡。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全,同时也要以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。
数据安全治理作为一项系统化工程,我们在指南中提出了数据安全治理的总体视图,包括治理目标,治理参考框架和实践路线三部分内容。
我们认为,数据安全治理的目标是在满足数据合规要求、控制数据风险的前提下,充分利用数据的价值,保障业务的持续健康发展,从而实现安全与发展的双向促进。
数据安全治理参考框架是数据安全治理的参照对象,指南主要是依据团体标准《数据安全治理能力评估方法》的内容进行制定,主要包括数据安全规划、数据全生命周期安全和基础安全。
围绕数据安全治理参考框架,可以实践路线分为治理规划、建设、运营、成效评估四个环节。
这张图展示了数据安全治理参考框架的主要内容。其中,数据安全战略包括数据安全规划、机构人员管理两项内容,数据全生命周期安全包括数据采集安全在内的九项内容,基础安全包括数据分类分级在内的七项内容。
详细来说,数据安全战略是从组织的顶层规划方面提出要求,为数据安全治理体系的建设定目标、建团队。
数据全生命周期安全是以采集、传输、存储、使用、共享、销毁各个环节为切入点,设置相应的管控点和管理流程,对数据全流转过程进行规范和约束。
基础安全可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。
针对参考框架,指南从实践角度出发,给出了数据安全治理的实践路线。第一步就是要进行治理规划,它是数据安全治理工作能够有条不紊的开展的前提,可以按照现状分析、方案规划、方案论证的环节顺序推进。其中,现状分析是数据安全治理规划设计的依据,可以从外部合规遵从、现状风险分析、行业最佳实践对比入手,总结组织现状;再通过设计组织架构、制度流程、技术工具、人员能力等的体系建设实现整个规划方案的设计;最后从可行性、安全性、可持续性三方面进行对方案进行论证,保障方案的切实可行。
有了明确的规划方案,下一步就是具体实施。
明晰的组织体系是保障数据安全工作顺利开展的首要条件,可以参考图示内容进行建设。其中,决策层是统筹部门,可以采取“一把手负责制”,管理层是数据安全工作的管理团队,执行层是数据安全工作的具体执行者和参与者,监督层负责对管理层和执行层的工作进行监督,对违规行为予以纠正。
制度流程作为数据安全防护要求、管理策略、操作规程等的集合,一般会从业务数据安全需求、数据安全风险控制需要、法律法规合规性要求等几个方面进行梳理。相关制度文件的制定可以参考以下四个层级。
一级文件是面向组织层面的方针和总则,二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准,三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南。四级文件属于辅助文件,是具体制度执行时产生的过程性文档。
技术工具作为落实各项安全管理要求的有效手段,是支撑数据安全治理体系建设的能力底座。围绕参考框架,结合实际场景,构建完善的技术工具,可以体系化的解决数据全生命周期各阶段安全隐患。可以参考图中的技术框架,完善各项技术工具以及产品平台的功能项,确保数据安全技术能力的具体落实。
数据安全治理离不开相应人员的具体执行,因此,加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色,明确相应的能力要求,并建立适配的数据安全人员能力培养机制。可以从数据安全意识提升、数据安全能力培训、数据安全能力考核三方面进行培养。
数据安全治理的持续运营,能够打通各环节的建设内容,促进整个体系的良性发展。治理运营分为三个方面,一是风险防范,二是监控预警,三是应急处理。
首先,通过数据安全策略制定、基线扫描、风险评估可以实现对数据安全的事前风险防范。
其次,通过态势监控、日常审计、专项审计三种监控预警手段实现事中的有效控制。
最后,从应急处置、复盘整改、宣贯培训出发,实现事后的总结优化。
数据安全治理必定是一个持续性过程,如何评价数据安全治理成效,并实现治理体系的优化改进是组织在数据安全治理能力建设过程中面临的重要问题。一般来说,可以从内部评估和第三方评估两个维度入手,内部评估包括自行检查、开展应急演练、进行对抗模拟等方式。第三方评估则是通过外部评估机构依据相关标准开展评估,能够更加客观的对组织现状进行总结,《数据安全法》里也对这项工作进行了肯定。我们云大所依托互联网协会团体标准《数据安全治理能力评估方法》,推出了首个市场化评估服务,已经完成首批评估,第二批评估工作正在进行,欢迎大家关注。
作为维护国家安全的战略需要,也是组织重构竞争力的必要手段,数据安全治理未来还有很多的发展空间。国家层面,通过构建《数据安全法》的配套制度、措施,将推动法律法规的全面落地;行业层面,通过完善标准体系、推动第三方评估评测、建立人才培养机制,推进数据安全治理的建设;企业层面,则是要不断探索数据安全技术发展及应用,持续完善自身的数据安全治理体系。围绕以上三个层面的发展,未来数据安全治理将在“行业化”、“场景化”两方面有针对性的展开,同时也将促进“离散化”治理方式到“体系化”治理模式的转变。
声明:本文来自何所思,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
