前言
随着数字化转型在各行业的持续推进,数字经济业务模式探索与创新不断深入,如何保障“数据”这一生产要素的安全,如何在数据安全各项法律法规强监管之下,确保企业业务合法、数据使用合规、业务有序发展成为当前全行业关注的焦点。
本文通过对当前国内数字化转型的数据安全现状的分析,梳理当前数据安全治理在实践过程中存在的难点,基于存在的难点简述安恒信息数据安全的最佳实践与思路。
一、数字化转型趋势下,数据安全治理是保驾护航的重要措施
早在2020年3月,《关于构建更加完善的要素市场化配置体制机制的意见》提出,数据对于个人、社会以及国家来说,其重要程度越来越高。2021年我国相继发布《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》以及《要素市场化配置综合改革试点总体方案》等文件中,数据已经作为第五大要素,成为经济发展新的增长点。经济数字化、数字经济化已成为各地政府、各行各业投建的热点。由此可见,数据开放利用是数字化转型的核心关键。
而数据的开放和利用离不开数据安全的保驾护航,数据的多元、流通和复杂性也为数据要素的流通带来了更多的威胁和挑战。
二、当前数据安全治理建设难点
数据动态流通为数据安全建设提出更高的要求
随着数字化业务的建设,数据量大、数据调用常态化、数据处理活动复杂,数据流转在终端、应用、组件等,数据安全场景发生巨大改变,数据安全打破传统的网络安全区域划分,传统的边界、主机、系统、终端、数据库的单点防护已无法满足数据安全防护的需求。
数据安全相关法律法规仍在持续完善、健全过程中
近年来,我国数据安全相关法律制度已取得很大进展,《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》的颁布以及《网络数据安全管理条例》《网络数据分类分级指引》等条例的发布,已构成基本的数据安全保障网,是基本的数据安全法律框架。
但目前数据安全法律制度仍不完善,存在边界覆盖不全、操作性不强等问题。特别是数字化转型背景下,各类数据跨行业、跨机构的交换传输越来越多,数据之间的边界越来越模糊,导致监管依据不足,不知如何落实数据安全工作等问题。
敏感数据识别及数据分类分级落地效果差
数据的分类分级是全行业关注的焦点,数据分类分级离不开数据资产的识别和敏感数据的发现。首先,在数据分类分级方面,从国家到各地均出台了相关的规范和指南,但是不同行业的业务数据差异化明显,很难依据规范开展落地实践的分类分级;其次数字化转型过程中数据量极大,要做到批量的字段级的分类分级,难上加难;而且数据分类分级现有的技术手段有限,针对同一字段不同敏感度的数据难以标识。
数据安全共享流通的权属和权限不明确
数据安全治理的难点和重点在于明确数据的权属关系,没有明确的数据权属关系就无法实现“最小权限”的权限划分,那在数据处理活动的各个环节,过度采集个人隐私数据、数据权限过度放大等情况会常态化和普遍性,数据安全的控制范围和责任就难以确定。
三、数据安全治理体系化建设路径探索和实践
在面临数字化转型带给数据安全治理的未知和难点,数据安全咨询服务是理清数据流转,以数据为核心的业务视角,开展数据安全治理工作的必由之路。那从数据安全咨询的视角出发,基于当前的数据安全治理存在的难点以及安恒信息在数据安全治理方面的实践经验,针对数据安全的体系化建设给出以下实践方案:
1
责任到人,建立共建共治的协同管理能力
明确数据安全建设职责,安全不是一个部门的事情,明确好数据提供者、数据平台提供者、数据使用者、数据安全管理者等多角色,充分调用各个角色参与到数据安全的建设工作中,建立共建共治的协同管理能力。
2
借助识别工具以及元数据管理平台
开展数据分类分级工作
分类分级是数据全流程动态保护的基本前提,多视角开展数据定级工作,从数据共享的视角以及安全视角相结合开展数据定级,例如“公开、有条件申请、审批通过可看……”同时结合安全防护的角度定级,不同级别的数据在存储、传输、共享等流程中需要采取加密、脱敏等措施。
需要注意的是,分类分级的工作需要与数据治理相结合,借助大数据平台的元数据管理以及业务功能完善识别工具无法实现定级的特殊情况,补齐数据分类分级的能力,针对数据量大的问题,需要在数据量大的时候选取前一百行数据等抽样的方式或者借助大数据平台的元数据管理进行标记实现。
3
开展常态化的数据安全风险评估
基于数字化业务的数据体量大,且数据敏感程度较高,风险不可知等特点,所以开展数据安全建设的首要工作是让风险可知。从合规视角和风险视角开展数据安全风险评估,以“数据”为核心梳理数据业务流和数据流,基于数据流通的业务场景,识别关键节点的数据安全风险,基于风险评估的结果进行数据安全体系化规划,此路径经实践较为科学,可操作性强。
4
落实数据安全体系化规划和建设
根据分类分级的结果,不同级别的数据,采取不同的防护手段,通过全面了解数据安全威胁,建立数据安全解决方案,数据安全运营能力建设,实现数据安全运营流程化、集中化。同时,数据安全治理需要数据安全管理方建立管理能力和运营监管能力,数据安全运营方建立日常运营(监测和管理)能力,数据作业方建立监测和防护能力,从而构建运营体系、管理体系、技术体系阶段相辅相成的行之有效的数据安全治理体系。
在管理制度建设层面,在考虑建设数据安全制度的同时,需要考虑客户已有的网络安全制度,充分考虑与现有的网络安全管理制度的融合。
在数据安全技术管控层面,基于数据业务流程与具体应用场景对不同级别的数据进行针对性技术防护。采取数据传输加密、存储加密、脱敏、水印、访问控制、审计、API接口鉴权及监控等技术措施,全面覆盖数据全生命周期过程。
在数据安全运营建设层面,建立数据安全运营“团队+机制+工具+服务”的数据安全运营体系,运营是数据安全建设最重要的一步,管理体系和技术体系是否能更好的落地依托于运营体系的建设,通过数据安全运营实现持续化的运营落地,形成闭环优化的机制。
四、总结
数据驱动业务发展已是数字化转型趋势下的显著特点。在探索和落实数据安全建设的路上,安全与业务的平衡是个永恒的课题,有规划地逐步建设数据安全能力,使得数据安全治理与数字经济的发展相辅相成,才是正确的数据安全治理之道。
前言
随着数字化转型在各行业的持续推进,数字经济业务模式探索与创新不断深入,如何保障“数据”这一生产要素的安全,如何在数据安全各项法律法规强监管之下,确保企业业务合法、数据使用合规、业务有序发展成为当前全行业关注的焦点。
本文通过对当前国内数字化转型的数据安全现状的分析,梳理当前数据安全治理在实践过程中存在的难点,基于存在的难点简述安恒信息数据安全的最佳实践与思路。
一、数字化转型趋势下,数据安全治理是保驾护航的重要措施
早在2020年3月,《关于构建更加完善的要素市场化配置体制机制的意见》提出,数据对于个人、社会以及国家来说,其重要程度越来越高。2021年我国相继发布《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》以及《要素市场化配置综合改革试点总体方案》等文件中,数据已经作为第五大要素,成为经济发展新的增长点。经济数字化、数字经济化已成为各地政府、各行各业投建的热点。由此可见,数据开放利用是数字化转型的核心关键。
而数据的开放和利用离不开数据安全的保驾护航,数据的多元、流通和复杂性也为数据要素的流通带来了更多的威胁和挑战。
二、当前数据安全治理建设难点
数据动态流通为数据安全建设提出更高的要求
随着数字化业务的建设,数据量大、数据调用常态化、数据处理活动复杂,数据流转在终端、应用、组件等,数据安全场景发生巨大改变,数据安全打破传统的网络安全区域划分,传统的边界、主机、系统、终端、数据库的单点防护已无法满足数据安全防护的需求。
数据安全相关法律法规仍在持续完善、健全过程中
近年来,我国数据安全相关法律制度已取得很大进展,《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》的颁布以及《网络数据安全管理条例》《网络数据分类分级指引》等条例的发布,已构成基本的数据安全保障网,是基本的数据安全法律框架。
但目前数据安全法律制度仍不完善,存在边界覆盖不全、操作性不强等问题。特别是数字化转型背景下,各类数据跨行业、跨机构的交换传输越来越多,数据之间的边界越来越模糊,导致监管依据不足,不知如何落实数据安全工作等问题。
敏感数据识别及数据分类分级落地效果差
数据的分类分级是全行业关注的焦点,数据分类分级离不开数据资产的识别和敏感数据的发现。首先,在数据分类分级方面,从国家到各地均出台了相关的规范和指南,但是不同行业的业务数据差异化明显,很难依据规范开展落地实践的分类分级;其次数字化转型过程中数据量极大,要做到批量的字段级的分类分级,难上加难;而且数据分类分级现有的技术手段有限,针对同一字段不同敏感度的数据难以标识。
数据安全共享流通的权属和权限不明确
数据安全治理的难点和重点在于明确数据的权属关系,没有明确的数据权属关系就无法实现“最小权限”的权限划分,那在数据处理活动的各个环节,过度采集个人隐私数据、数据权限过度放大等情况会常态化和普遍性,数据安全的控制范围和责任就难以确定。
三、数据安全治理体系化建设路径探索和实践
在面临数字化转型带给数据安全治理的未知和难点,数据安全咨询服务是理清数据流转,以数据为核心的业务视角,开展数据安全治理工作的必由之路。那从数据安全咨询的视角出发,基于当前的数据安全治理存在的难点以及安恒信息在数据安全治理方面的实践经验,针对数据安全的体系化建设给出以下实践方案:
1
责任到人,建立共建共治的协同管理能力
明确数据安全建设职责,安全不是一个部门的事情,明确好数据提供者、数据平台提供者、数据使用者、数据安全管理者等多角色,充分调用各个角色参与到数据安全的建设工作中,建立共建共治的协同管理能力。
引自:GB/T 35274-2022 信息安全技术 大数据服务安全能力要求
2
借助识别工具以及元数据管理平台
开展数据分类分级工作
分类分级是数据全流程动态保护的基本前提,多视角开展数据定级工作,从数据共享的视角以及安全视角相结合开展数据定级,例如“公开、有条件申请、审批通过可看……”同时结合安全防护的角度定级,不同级别的数据在存储、传输、共享等流程中需要采取加密、脱敏等措施。
需要注意的是,分类分级的工作需要与数据治理相结合,借助大数据平台的元数据管理以及业务功能完善识别工具无法实现定级的特殊情况,补齐数据分类分级的能力,针对数据量大的问题,需要在数据量大的时候选取前一百行数据等抽样的方式或者借助大数据平台的元数据管理进行标记实现。
3
开展常态化的数据安全风险评估
基于数字化业务的数据体量大,且数据敏感程度较高,风险不可知等特点,所以开展数据安全建设的首要工作是让风险可知。从合规视角和风险视角开展数据安全风险评估,以“数据”为核心梳理数据业务流和数据流,基于数据流通的业务场景,识别关键节点的数据安全风险,基于风险评估的结果进行数据安全体系化规划,此路径经实践较为科学,可操作性强。
4
落实数据安全体系化规划和建设
根据分类分级的结果,不同级别的数据,采取不同的防护手段,通过全面了解数据安全威胁,建立数据安全解决方案,数据安全运营能力建设,实现数据安全运营流程化、集中化。同时,数据安全治理需要数据安全管理方建立管理能力和运营监管能力,数据安全运营方建立日常运营(监测和管理)能力,数据作业方建立监测和防护能力,从而构建运营体系、管理体系、技术体系阶段相辅相成的行之有效的数据安全治理体系。
在管理制度建设层面,在考虑建设数据安全制度的同时,需要考虑客户已有的网络安全制度,充分考虑与现有的网络安全管理制度的融合。
在数据安全技术管控层面,基于数据业务流程与具体应用场景对不同级别的数据进行针对性技术防护。采取数据传输加密、存储加密、脱敏、水印、访问控制、审计、API接口鉴权及监控等技术措施,全面覆盖数据全生命周期过程。
在数据安全运营建设层面,建立数据安全运营“团队+机制+工具+服务”的数据安全运营体系,运营是数据安全建设最重要的一步,管理体系和技术体系是否能更好的落地依托于运营体系的建设,通过数据安全运营实现持续化的运营落地,形成闭环优化的机制。
四、总结
数据驱动业务发展已是数字化转型趋势下的显著特点。在探索和落实数据安全建设的路上,安全与业务的平衡是个永恒的课题,有规划地逐步建设数据安全能力,使得数据安全治理与数字经济的发展相辅相成,才是正确的数据安全治理之道。
Copyright © 2005-2021 网信安全世界版权所有