2023年初,工業和信息化部、國家網信辦、發展改革委等十六部門聯合印發《關于促進數據安全產業發展的指導意見》(以下簡稱《指導意見》),目標到2025年數據安全產業規模超過1500億元。《指導意見》為我國數據安全產業高質量發展指明了方向,將有力推動我國數據安全發展進入了一個全新的階段。

日前,億賽通咨詢研究部數據安全高級咨詢顧問張藝偉在接受安全牛采訪時指出,數據安全服務是滿足數據安全合規要求、體系化提升數據安全保障能力的重要手段。億賽通希望將其創新打造的數據安全咨詢服務,與傳統數據安全技術工具高度整合,從而更好地為各行業用戶的數字業務流通賦能。

張藝偉

北京億賽通科技發展有限責任公司高級咨詢顧問。先后從事網絡安全行業研究、數據安全戰略規劃、高級咨詢服務顧問,在安全領域具有10年的工作經驗。圍繞數據分類分級、數據安全風險評估、數據出境合規、數據安全治理等方向,主導了政府、金融、央企、能源等多個行業的咨詢服務項目。重點參編標準白皮書十余項,在網絡安全政策及行業發展、數據安全體系規劃與建設方面頗有研究。

數據安全服務浮出水面

當前,以數據為關鍵要素的數字經濟蓬勃發展,經濟社會數字化轉型持續加速。數據已經成為國家戰略資源和新型生產要素,數據安全對國家安全保障和數字經濟發展意義重大。隨著《數據安全法》《個人信息保護法》的公布與實施,法律規范的不斷完善,數據安全的發展也進入了一個新的階段。

張藝偉認為,《指導意見》作為數據安全產業的頂層規劃文件,在貫徹落實國家數據安全法律要求和工作機制,明確數據安全產業發展任務,營造數據安全產業發展生態方面具有重要意義。《指導意見》聚焦數據安全保護和數據資源開發利用需求,提出促進數據安全產業發展的總體要求和階段發展目標,圍繞“產業本身要做什么”,明確了“提升產業創新能力、壯大數據安全服務、推進標準體系建設和推廣技術產品應用”四項重點任務,對數據安全企業制定總體戰略、發展相關業務、深化相關工作樹立了信心、指明了方向。

“1500億元”是業界關注的焦點。業內普遍認為,產業規模的大幅提升,意味數據安全產業范圍和內涵的擴充。在張藝偉看來,在合規、需求、風險等多因素驅動下,數據安全的內涵已從保護數據載體上的信息安全,轉向通過數據安全保護促進數據合法有序開發利用;數據安全的保護對象也從保障數據自身的安全,擴展到數據流通活動安全和數據流通設施安全。

其中,《指導意見》特別強調,要“推進規劃咨詢與建設運維服務”,“鼓勵數據安全企業、第三方服務機構由提供技術產品向提供服務和解決方案轉變,發展壯大數據安全規劃咨詢、建設運維、檢測評估與認證等服務,推進數據安全服務云化、一體化、定制化等服務模式創新。”

張藝偉認為,這是充分結合國家監管要求和數據安全內生需要而提出的戰略方向。一直以來,企業在開展數據安全工作時,面臨數據安全意識和方法論不足、人才短缺、組織內部難協作、管理技術脫節、數據安全狀態難持續等痛點,定制化的數據安全服務以及一體化的數據安全解決方案將成為解決這些痛點的有效手段。張藝偉表示,從市場需求來看,用戶對數據安全服務的重視度和認可度持續提升,數據安全服務也逐漸從以往的支撐產品銷售的打包服務,逐漸脫胎成為獨立的新型產品。

構建數據安全治理的閉環體系

研究數據顯示,數據安全服務作為近兩年發展起來的新興業務,雖然營收在整體數據安全業務中的占比不高,但增速明顯。正是意識到數據安全服務的重要性和需求潛力,數據安全乃至網絡安全領域的各方力量,都紛紛加入數據安全服務大軍。在此背景下,億賽通也通過整合資源并利用自身產品技術服務優勢成立咨詢研究部。

張藝偉認為,數據安全服務是面向組織的數據安全需求,基于數據安全合規要求、專業知識和實踐經驗,提供的以方案為主、產品為輔的業務形態。它不同于具有硬性指標屬性的產品交付,而是基于數據安全理論和實踐的積累,由服務人員利用專業知識,輔以數據安全工具,幫助組織分析現有問題、找到應對方案、實現方案落地的過程。

目前國內數據安全服務主要分為咨詢規劃、認證評估、運營保障三大類:

  • 咨詢規劃是數據安全體系化工程的前期重點工作,是為了瞄準方向、分解目標,并通過搭建數據安全組織、完善數據安全制度等服務,推進后續數據安全工作的開展。目前業內關注度較高的分類分級工作,在服務過程中涉及數據梳理,數據分類分級規則制定、實施,重要數據、個人信息等敏感數據目錄編制等,旨在為數據安全管理制度完善、數據安全差異化防護目標和方案確定提供抓手,也被歸為咨詢規劃的范疇;
  • 認證評估分為能力認證、符合性評估、風險評估等:能力認證是對用戶相關數據安全能力的檢驗和認可,如DSMM認證、數據安全產品認證;符合性評估是基于具體合規場景和監管要求,對合規項進行逐一檢查和打分,最終出具是否合規的評估報告;風險評估是為了識別風險要素、分析風險發生可能性和發生后的影響,以便及時整改;
  • 運營保障是基于咨詢規劃方案和認證評估結果,利用數據安全技術和工具,支撐數據安全管理制度落地,監督技術防護效果,并通過定制化的數據安全培訓,從人員層面提升數據安全意識和數據安全專業能力。

在張藝偉看來,這三大類服務與數據安全產品解決方案一起,互為補充和依托,有效打造數據安全狀態持續保障的閉環體系。不過需要指出的是,近兩年億賽通在為用戶提供服務的過程中發現,用戶滿足合規要求、體系化提升自身數據安全能力的需求迫切,對接連發布的合規要求理解不到位、對數據安全管理工作重視不到位、對數據資產和安全現狀摸排不到位的現象較為嚴重,這正是未來安全廠商進一步開展數據安全服務工作的動力。

可落地的數據安全服務

張藝偉強調,隨著《數據安全法》的頒布實施,“統籌發展與安全”已經成為數據安全工作開展的一個重要原則,“數據分類分級”“數據安全風險評估”等被正式確立為數據安全保護制度。而億賽通在2020年就提出并發布的“分放管服”理念,和這些基礎性的重要工作密切相關。

億賽通之所以提出“分放管服”理念,就是希望幫助客戶從整體統一和業務流轉的視角,在對數據敏感程度、人員職責、訪問權限進行精細化分析的基礎上,把握“放”和“管”的平衡,重視產品實施和運營保障服務,從而幫助用戶夯實數據安全能力。

“從國家的文件精神可以看出,‘分放管服’理念到今天仍然有很強的實踐意義。”張藝偉說,在新時期,億賽通對“分管放服”賦予了新的意義,并對其進行升級完善:

  • 在“分”的理念中補充納入“合規政策的對標”“數據和安全現狀的評估”,形成集“分析對標、分析評估、分類分級、分權分則”于一體的更為完善的工作體系;
  • “放”和“管”作為《數據安全法》中“統籌發展與安全”的精神體現,將基于“分”階段的基礎成果,依據差異化的數據安全策略,落實“低敏感數據放行流通”“高敏感數據受控使用”的工作原則;
  • “服”的理念則將從偏向后端的產品實施和運維保障逐漸前置,成為覆蓋數據安全建設工作全流程的關鍵活動,不僅包括數據安全工作初階段的體系規劃,也包括安全管理和技術手段落實效果的持續監控評估、事后的應急響應和總結整改等。“服”充分體現億賽通“以客戶為中心”的經營理念,基于客戶痛點需求和發展現狀,以“有效”和“落地”為最終目標,為用戶定制專屬的數據安全深化方案。

張藝偉同時也強調,數據安全服務必須具備“可落地性”,要善于聯動數據安全技術和工具,為用戶提供可閉環的數據安全解決方案,實現數據安全狀態的可持續。因此,對于億賽通公司而言,也將不斷整合自身在數據安全領域的理論研究和實踐積累,持續提升數據安全服務能力,切實保障數據資產安全,為我國數字強國建設和數據安全產業發展貢獻更大力量。

數據安全 數據治理 信息安全 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接