通信世界网消息(CWW)随着数据的战略性地位空前提高,数据安全风险日益成为影响产业发展、经济运行甚至国家安全的重要因素,数据安全也成为保障数据要素市场有序发展的必要前提。
2021年我国数据立法进展突飞猛进,备受关注的《中华人民共和国数据安全法》(简称《数据安全法》)和《中华人民共和国个人信息保护法》分别出台,与《中华人民共和国网络安全法》共同形成了数据安全领域的“三驾马车”,为我国数字经济的健康有序发展保驾护航。在此基础上,重点行业及地方政府也陆续出台相应政策法规[1],落实国家要求,推进数据安全建设工作。
在强监管趋势下,如何落实监管要求,保障业务发展的合规合法,是社会各界面临的重要议题。《数据安全法》中就明确指出“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”并鼓励“数据安全检测评估、认证等服务的发展”。为落实国家法律法规要求,全面、准确、客观评估数据安全治理能力建设情况,推进行业数据安全治理能力建设,本文给出针对数据安全治理能力的评估框架,并从评估项、评估维度、评估等级三方面进行详细研究分析。
1 数据安全治理能力评估现状
1.1 国外数据安全评估现状
随着大数据时代的到来,数据安全成为关注焦点,早期聚焦于信息安全的相关评估认证也逐渐转移至数据安全保护。目前,美国、法国、英国等国家纷纷根据各自法律要求,针对企业的数据使用、数据存储、数据流通和隐私保护等开展安全评估认证,旨在保护数据安全,保障数据价值。表1对部分代表性的数据安全认证进行了介绍。总体上看,部分发达国家依托市场化机制,已经形成了较为完备的数据安全第三方评估测试体系,在助力法律法规落地,提升数据安全管理水平,推动行业健康有序发展方面发挥了重要作用。
表1 部分代表性数据安全认证
1.2 国内数据安全评估现状
我国高度重视数据安全标准化工作,自2017年开始就发布了数据安全管理、个人信息安全管理等方面的标准,这表明我国在数据安全技术产品、服务能力、安全能力等方面的规范化要求逐渐增加,基于标准的评估评测市场需求也愈加旺盛。《数据安全法》 中明确提出支持专业机构开展数据安全相关评估认证服务工作。
目前,我国第三方数据安全评估工作尚处于起步阶段。2020年12月,中国信息通信研究院依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》[2]推出了国内首个数据安全治理能力评估服务,并提出数据安全治理总体视图[3-4],为治理实践提供操作指南和度量准则。
2 数据安全治理能力评估框架
数据安全治理能力的建设是一个持续性的过程,成效评估是考核组织数据安全治理能力的重要环节,其结果也是新一轮数据安全治理的改进依据。如何评价数据安全治理成效,并实现治理体系的优化改进是组织在数据安全治理能力建设过程中面临的重要问题。依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》,本文提出如图1所示的数据安全治理能力评估框架,主要包括评估项、评估维度、评估等级3部分内容,具体如下。
图1 数据安全治理能力评估框架图
2.1 评估项
评估项作为数据安全治理能力的主要考察对象,包括数据安全战略、数据全生命周期安全、基础安全3部分。
2.1.1 数据安全战略在组织启动数据安全治理工作前,必须制定相应的战略规划,明确治理目标和具体任务,匹配对应的资源,使得治理工作能够有条不紊地展开[5]。数据安全战略可以从数据安全规划、机构人员管理两个能力项入手,前者确立目标任务,后者组建治理团队。
(1)数据安全规划关注组织对当前数据安全风险现状的梳理情况,要求结合业务发展,制定组织整体的数据安全发展规划。
(2)机构人员管理关注组织数据安全治理的团队及人员,考察在人员入职、转岗、离职等环节设置的安全控制措施,防范由人员本身带来的数据安全风险。
2.1.2 数据全生命周期安全数据安全治理以数据为中心,围绕数据全生命周期展开,以采集、传输、存储、使用、共享、销毁各个环节为切入点,通过对数据全流转过程进行规范和约束以有效降低数据安全风险。
(1)数据采集安全关注直接和间接采集过程的各项安全保护措施、采集原则以及采集的合规性评估等工作,要求责任部门在利用数据采集工具或系统完成相关工作时,应严格执行相关采集制度规定。
(2)数据传输安全关注数据在传输过程中的安全性保障,主要通过对传输通道两端的身份验证确保可信任性、对传输通道及传输数据本身的加密确保机密性、完整性等内容。
(3)存储安全关注存储介质、存储系统或平台的安全建设内容。存储介质作为数据承载工具,需要明确介质使用的各项管理规定,防范不当使用造成的数据泄露风险。存储系统或平台需要明确架构设计、安全配置策略、认证鉴权、访问控制等内容。数据备份与恢复关注数据的可用性建设。本部分明确了对数据备份、数据恢复的相关管理要求、操作规程及技术手段。
(4)使用安全关注数据使用方对数据相关操作的安全管理,一方面通过规定采用数据脱敏等措施实现敏感及隐私数据的可靠保护,另一方面通过对数据使用需求进行审批、评估,防范使用风险。数据处理环境安全关注不同处理场景、不同处理平台的身份鉴别、访问控制、监控审计、日志记录等安全策略的实施。
(5)数据内部共享安全关注组织内部数据流通的安全保障建设。一方面对共享过程的加密、审核、评估、监控等进行要求,另一方面对共享平台或接口的管理进行考察,以保障内部共享过程的规范性和安全性。数据外部共享安全关注不同组织主体之间的数据流通安全建设。要求明确共享双方的安全责任,对共享接收方的安全能力进行评估,明确合作方驻场人员的安全管理策略,明确共享平台或接口的安全管理规范,并实现对共享过程的审核、评估、监控、溯源等。
(6)数据销毁安全关注数据及介质的销毁管理。考察组织在销毁工作机制、流程、方式、场景、工具等方面的管控内容,并实现销毁过程的监督和销毁结果的验证。
2.1.3 基础安全
基础安全能力作为数据全生命周期安全能力建设的基本支撑,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。
(1)数据分类分级关注分类分级的原则、方法、结果清单,以及不同的安全保护策略等内容。通过分类分级的精细化管控方式,可以实现数据资源的定制化管理,保证数据应用与数据保护的有效平衡。
(2)合规管理关注组织数据安全建设是否符合国家法律法规、行业监管指引等的要求。通过合规评估、合规检查、合规监控等方式实现数据安全的合规保障。
(3)合作方管理关注组织对合作伙伴、合作驻场人员的各项安全管理要求。明确规定了合作方及合作方驻场人员的接入、审批、权限管控等管理要求。
(4)监控审计一方面关注数据全生命周期的流动行为,另一方面关注人员对数据的操作行为。通过建立监控审计平台实现各类异常数据操作、人员违规操作等的风险控制。
(5)鉴别与访问关注组织人员的账号管理、访问权限控制的建设情况。规定了全生命周期中用户、数据、权限三者之间的安全管理规范,保障数据安全。
(6)风险和需求分析关注组织发展过程中面临的数据安全需求分析及风险控制问题。要求组织根据业务场景,适时开展需求分析和风险评估工作。
(7)安全事件应急关注数据安全事件的定义、分级、响应处置、上报等工作的开展。要求组织建立相应应急预案,定期开展应急演练,形成应急知识库。
2.2 评估维度
评估项实际建设情况考察,主要从组织建设、制度流程、技术工具、人员能力4个维度开展。
(1)组织建设是数据安全工作开展首要环节,也是数据安全治理持续运转的首要保障,完善的组织架构有助于数据安全工作的协同执行。该维度关注数据安全治理组织的设立、职责分配及沟通协作程度[5]。
(2)制度流程是有效约束和规范相关人员日常工作行为,保障数据安全治理工作有据、可行、可控的重要措施。该维度关注数据安全领域制度规范的制定及流程执行情况。
(3)技术工具是推动数据安全工作建设的能力底座,是落实制度要求和管控策略的有效手段。该维度关注数据安全技术的应用情况及对制度流程的固化执行能力。
(4)人员能力是数据安全工作落实的关键环节,对相关人员数据安全意识的培养、能力的提升及考核是该维度的关注重点。
2.3 评估等级
数据安全治理能力评估等级将从组织建设完备程度、制度流程覆盖面、技术工具支撑力度、人员能力培养4 个维度划分为三级,分别是基础级、优秀级、先进级。每一个等级都对应着该阶段组织机构须具备的能力要求,每个后一级的要求均是在前一级基础上的加强(见表2)。
表2 数据安全治理能力评估等级
(1)第一级:基础级基础级数据安全治理能力主要体现在离散的项目中,由各业务团队负责数据安全日常工作的开展及管理,仅根据日常业务工作需求建立相应的管理流程和技术工具。这一级别的数据安全治理能力虽然在不同业务、不同项目中暂未形成统一的管理规范,但也为组织层面的规范化统一治理奠定了基础。
(2)第二级:优秀级优秀级数据安全治理能力体现在组织层面,由专门的数据安全管理部门负责不同业务团队及项目以规范化、标准化的方式落地数据安全工作的各项要求,实现对组织数据安全治理能力的进一步集成,达到体系化运行的程度。可以说,该级别已形成一个相对合理、科学、规范的管理模式。
(3)第三级:先进级先进级数据安全治理能力体现在拥有完善的数据安全治理能力量化评估体系和持续优化策略,一方面能够准确评价治理效果,实现优化调整,另一方面能够确保对新技术、新风险、新要求的及时应对。
3 结束语
数据作为数字经济时代的核心生产要素,已成为经济社会发展的新动能。发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置,要着力解决数据安全领域的突出问题,有效提升数据安全治理能力。针对数据安全治理能力的建设成效评价问题,本文从评估项、评估维度、评估等级出发构建评估框架,通过准确度量数据安全治理能力现状,提炼关键问题,分析当前差距,规划后续改进方向,以推动行业数据安全治理能力水平的提升。
