面向數字化轉型的內部人員安全管理研究
在數字化轉型過程中,統籌發展與安全是一項基本原則,需要企業等主體構建與自身業務發展相適應的數字化管理模式,改進工作機制,實現業務、人員、資產等多方面的數字化轉型。網絡與數據安全是激活數字要素、推進數字化發展的重要保障和必要基礎。因此,各主體要切實履行網絡與數據安全的主體責任要求,順應數字化時代工作規律,防范化解內部人員帶來的安全風險。
一、關于網絡與數據安全的主體責任要求
我國高度重視網絡安全、數據安全和個人隱私信息保護,對政府部門、平臺企業、運營者等相關方運行重要網絡與信息系統,以及收集、處理、使用數據等行為作出了嚴格規定。
(一)國家層面發布法律法規
《國家安全法》明確指出,國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。《網絡安全法》多項條款明確規定,網絡建設、運營、產品或服務提供商應履行網絡安全保護義務,采取技術防護措施,符合國家相關標準的強制性要求等。《數據安全法》多項條款明確規定,重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。開展數據處理活動應當履行數據安全保護義務。《個人信息保護法》設立單獨章節強調個人信息處理者的義務,并對個人信息跨境制定了明確規則。《關鍵信息基礎設施安全保護條例》設立單獨章節強調運營者的責任義務。《黨委(黨組)網絡安全工作責任制實施辦法》明確了各級黨委(黨組)主要承擔的網絡安全責任、追責情形,以及建立網絡安全責任制檢查考核制度等要求。
(二)監管部門制定政策規章
國家網信部門、公安部門、電信主管部門等陸續發布了《網絡安全審查辦法》《互聯網信息服務管理辦法》《關于進一步壓實網站平臺信息內容管理主體責任的意見》《汽車數據安全管理若干規定(試行)》《網絡產品安全漏洞管理規定》等多份政策文件。上述文件對關鍵信息基礎設施運營者、網絡平臺運營者、互聯網信息服務提供者、重要數據處理者、網絡產品提供者、從事網絡產品安全漏洞相關活動的組織或者個人明確了網絡與數據安全的責任與義務。(三)主管部門規劃管理路徑重要行業主管部門陸續發布了《物聯網新型基礎設施建設三年行動計劃(2021-2023 年)》《“十四五”電子商務發展規劃》《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》等規劃與管理辦法,對相關領域的信息化與安全發展提出了詳細的工作思路和管理要求,對相關責任方提供了明確的發展方向、安全責任與義務要求。
二、內部人員安全管理常見問題
在數字化轉型的道路上,技術能力是載體,人員執行是靈魂。內部人員對于技術發展的認知水平很大程度上影響著技術手段能否在生產生活中發揮預期的能力。如何實現人員勞動力和技術能力最大化融合,是推進數字化轉型,落實主體責任的重要內容。
(一)網絡與數據安全崗位的特點
數字化的快速發展,激發了大量新的應用場景和商業模式,對于從業人員的要求呈現出不同的特點。
一是要有全局認知,推動創建安全的數字化環境。網絡與信息系統為重要數據流通搭建了交通要道,為數據的采集、存儲、處理、傳輸、交換、銷毀等提供了技術載體,構建了共通共享的交流環境。數字要素可以在情報挖掘與處理、模型分析、知識學習、自動決策等方面發揮深度作用,為政府和企業等部門構建數字化、智能化、網絡化的辦公、生產、商業、運輸等模式提供關鍵資源。保障網絡與數據安全關系到業務鏈條的高效運轉,關系到辦公流程的安全可靠,關系到整體環境的穩定有序。
二是要有動態理念,注意安全隱患時刻發生變化。網絡與信息系統的安全不是一勞永逸的。由于網絡與信息系統不斷發生變化,新的安全漏洞也會隨之出現。外部的網絡攻擊威脅時有發生,攻擊者可以通過勒索軟件、惡意木馬、釣魚郵件等竊取重要數據、控制重要網絡、擾亂企業正常生產。因此,從業人員要建立動態的安全觀念,組織建設動態防御的能力,正確使用安全防護技術手段,不能因一時之安全而產生懈怠心理。
三是要有創新精神,直面技術手段迭代更新的挑戰。從業人員面對的是一個時時充滿挑戰的工作。信息通信技術的發展變化,推進了應用場景的更迭,也促進了攻擊手段的升級。因此,從事網絡與數據安全工作的人員要具備總體形勢的把握能力、主動進取的開拓能力、向前一步的謀劃能力、威脅發現的感知能力、突發事件的應對能力、科研創新的研究能力等,在能力創新方面勇往直前、攻堅克難、堅持不懈,在工作實踐上要積少成多、見微知著、未雨綢繆,不斷提高認知水平和業務能力。
四是要有風險思維,明白人員是供應鏈的重要環節。網絡與數據是把雙刃劍,既有便利也有風險。風險既來自外部,也來自內部。外部風險來自于攻擊者可以長期潛伏在網絡和系統中,暗自開展監聽、竊取、篡改等不法行為,也可以直接控制網絡和系統,進而開展勒索、擾亂、攻擊等破壞性行為。內部風險來自于人員無意或者惡意的違規操作。工作人員如何正確規劃、建設、使用網絡和信息系統,如何正確處理重要數據,以及執行相關的管理制度、落實安全防護措施,這是保證所有技術措施有效、正常運轉的關鍵條件。
五是要有解題思路,處理好內外部的復雜聯結關系。網絡與信息系統與內部的物理環境、基礎硬件、網絡架構、應用軟件、代碼編程等相關,與外部的業務模式、應用場景相關,形成了結構上的復雜性。重要數據的采集、存儲、加工、應用、廢棄的主體各不相同,形成了管理上的復雜性。但是二者都與其他類別的工作深度聯結,服務于社會的生產生活,一旦被破壞,會對政府和企業等主體、對人民群眾、對國家安全造成危害。因此,正視網絡與數據安全工作的復雜性,編制有效的工作方案,對從業人員提出了更高的要求。
(二)崗位要求與個人發展的矛盾
隨著數字化轉型的逐步深入,網絡與數據安全的主體責任愈加明確,各主體在內部人員管理方面深層次的問題逐漸浮現:
一是崗位的專業要求和人員自身知識制約的矛盾。在數字化背景下,社會生產生活方式被重新架構,新的安全風險也隨之而來。這就要求崗位從業人員具備業務內容精、知識更新快、學習能力強、視野范圍廣等特點。尤其是高精尖領域,相關人員更要及時跟上前沿發展動態,培育大數據思維,形成跨領域、跨行業的全局視野,及時發現、化解安全風險。但是,目前很多企業的管理機制沒有跟上,沒有設置網絡與數據安全相關崗位,或者以信息化崗位代替安全崗位,或者一人兼多崗,這就導致了從業人員缺乏體系化的專業知識培訓、長期的產業知識積累、動態的前沿知識輸入、全局的多源知識汲取等能力,達不到崗位能力的要求。
二是崗位的忠誠要求與人員穩定性的關系。針對涉及重要網絡、信息系統、重要數據的核心崗位,從業人員需要具備忠誠度與穩定性。忠誠度包括正確的政治立場、良好的思想品德、高度的責任心、堅定的執行能力、嚴格的自我約束、無私的奉獻精神、長期的服務時間。穩定性是指人員愿意長期從事相關工作,并且具備合格的工作技能和業務水平。對于核心崗位從業人員的能力要求設置與一般崗位從業人員應有所區分,更側重于忠誠度與穩定性,保證關鍵信息基礎設施和重要數據的安全性。但是網絡與數據安全人才社會需求量大,流動較快,這對核心崗位的人員穩定性需求形成了一定的壓力。
三是崗位的重點要求與人員個性化需求的匹配度。崗位需求與人員發展需求之間是共生發展的關系。若二者方向一致、同步發展,個人能力與崗位平臺互為助力,呈現螺旋式上升的良好態勢。若二者存在嚴重的不匹配,則會出現錯位與內耗的情況。如果從業人員追求發展開拓創新與深度研究能力,缺乏操作重復性工作的耐心和責任心,在崗位適配度上存在一定的錯位,可能會影響執行效果,進而降低工作對象的安全保障水平。
四是崗位客觀結果與人員主觀期望之間的落差。這是所有崗位普遍存在的問題。即使領導層和工作層在設置工作目標、部署人員安排時期望達到良好的效果,但是如果人員因各種問題沒有完成 KPI,甚至出現考核不合格等情況,對于崗位的客觀結果影響較大。如果此類情況發生在網絡與數據安全相關崗位上,會直接影響到單位或者部門整體數字生態環境的安全與穩定,會成為內部的一道安全缺口、一項重要的安全漏洞。因此,及早發現此類風險,做好補救措施極為重要。
五是評價崗位需求與人員能力是否匹配的問題。基于以上問題,考慮到各主體自身的業務特點,管理層在設置網絡與數據安全崗位職責、工作目標、人員管理、經費保障等方面需要建立一套科學、系統、全面的評價體系,厘清網絡與數據安全崗位與其他崗位之間的分工、聯結、協作、監督等關系,覆蓋從業人員的忠誠度、穩定性、專業知識、安全意識、技能水平、創新能力等關鍵指標,動態評估人員與崗位的適配度,形成人員動態調整與補位的機制。
(三)傳統思維下管理與技術的割裂
數字時代帶來新的經濟形態,催生不同的管理模式。大數據思維、各領域深度融合、跨領域跨行業的復合知識結構等是管理者必須要面對的挑戰。對于多數企業來說,對數字化的概念理解還有待加強,對于數字化轉型的必要性還不理解,對應的管理思路還停留在傳統思維上,出現重技術輕管理、忽視主體責任、人員和經費保障不到位等問題,使得內部人員的安全管理缺乏體系化設計、制度化落實、常態化監督,存在嚴重安全漏洞,進而導致重要網絡與數據存在嚴重安全隱患。
在數字化轉型過程中,內部人員所面對的崗位內容、工作環境、合作伙伴等會發生相應改變。管理與技術的深度融合成為發展大勢,這對管理層在制度設計方面提出了新的要求。如何最大化發揮技術在管理與生產過程中的作用,以及規范技術在此過程中產生的安全性問題?如何引導員工正確使用技術,以及評價與監督員工對技術的使用效果?如何正確處理突發網絡安全與數字泄露等事件,以及做好事后的恢復工作?如何管理數字化資產,以及培養相應的數字人才?高層管理人員需要理清以上問題的思路,避免出現管理與技術形成各干各的、互不相關的局面。
三、內部人員安全管理的路徑分析
做好數字化轉型過程中的內部人員安全管理,要從認識論與方法論兩個方面發力。深刻認識內部人員在數字化過程中扮演的重要角色和影響力,有針對性地進行制度與手段建設,不斷深化數字化政策、技術、場景、模式等的落地效果。
(一)提升內部人員的數字素養
安全是發展的前提,發展是安全的保障。提升內部人員的數字素養是企業推進研發設計、生產加工、經營管理、銷售服務等業務數字化轉型的關鍵要素,也是安全教育的保障。
企業可以組織對人員數字化意識培育的系統規劃、方法設計、標準衡量,推進形成網絡與數據安全防護的集體意識與文化(見圖 1)。堅持完善制度建設,創建良好的數字化環境,為人員的思想建設提供科學路徑,健全工作流程中的風險防范措施,提高網絡安全防護意識。堅持內部常態化宣傳教育,通過樹立典型模范等方式,傳達正確的做法,加強人員的自我監督意識,定期組織自評估,檢查是否存在不合規的操作行為。堅持他人監督,通過輪崗、監督審計、第三方檢查評估等方式,增強核心崗位的安全性、可靠性,杜絕出現一人壟斷式的崗位情況。堅持輿論監督,做好宣傳引導,樹立正確的內部輿論導向,強調違法犯罪案例的嚴重后果,對人員進行違規操作形成心理威懾。
圖1 數字化集體意識培育流程圖
企業可以為內部人員提供系統性的數字化教育。一是知識普及宣傳。面向一般工作人員,組織學習國家層面發布的領導人重要講話、重大規劃文件、重要法律法規、最新政策規章,以及專項整治、網絡攻擊和數據泄露等具體案例,及時掌握黨中央關于數字化工作的部署安排和行動動態,研究跟進主管行業部門的有關管理制度,保證工作的合規性,提高全員的安全意識水平。二是專業技能培訓。定期組織開展數字化知識前沿講座、相關資質證書培訓、業界專家咨詢、專業技能競賽等,不斷強化專業崗位人員的知識儲備,激發人員的創造力和戰斗力。三是業務融合性研究討論。組織開展面向業務數字化轉型的需求、難點、進展等內容的研究討論,對信息化基礎工程、大數據支撐、網絡化共享、智能化協作等方面的發展可能性進行深度探討,研究后續發展規劃和管理措施,發現業務數字化轉型的創新潛力,理解安全風險隱患的防范必要性。
(二)人與技術的全生命周期管理
營造良好的數字生態,離不開人與技術的深度協作。人是技術的發明者、操作者和對結果的承擔者,技術是人類思想的傳達者、執行者和對世界的改造者。在網絡、信息系統、數據的全生命周期中,人的勞動力價值始終貫穿了全過程。勞動力價值與技術價值結合在一起,共同推動了網絡與數據對世界的改造作用。要達到保障網絡與數據安全的目標,就要做好人與技術的全生命周期管理。
針對內部人員,形成與重要網絡、信息系統、數據配套的全生命周期安全管理。從網絡與信息系統的規劃、建設、使用階段,以及重要數據的采集、加工、傳輸、存儲、交換、銷毀等環節,分別形成對操作人員的安全與備份管理、技術監督、考核評價等制度,建立分工協作、安全巡檢、應急處置、冗余備份等常態化工作機制,建設重要數據各環節的留痕、審批、審計、限權等技術監督手段,保證相關人員的操作合規與安全可靠,保障基礎設施的安全運行,加強數據泄露的發現與問責能力,強化技術對人員行為的約束作用,保證重要網絡和數據安全。請見圖 2。
圖2 人員安全全生命周期管理
(三)人與技術的分類分級管理
《數據安全法》等法律明確對數據實行分類分級保護。《網絡安全法》《關鍵信息基礎設施安全保護條例》明確在網絡等級保護的基礎上,對關鍵信息基礎設施實行重點保護。不論是重要網絡、信息系統,還是重要數據,都離不開人與技術的共同支撐,因此,應當建立人與技術的分類分級管理的工作機制。
針對內部人員,根據其所接觸的網絡、信息系統、數據等數字資產的重要程度,一旦遭受損害可能造成的損失程度等因素,按照就高不就低的原則,確定相關崗位的分類級別。若出現一人兼多崗的情況,以所任崗位的最高級別要求進行人員管理。考慮到人員流動等變動因素,相關人員出現離崗或調崗等情況,要評估風險,考慮采取相關的補救措施。對于核心崗位,要建立對人員的動態臺賬管理,明確權限范圍,定期開展監督檢查、教育培訓等。
針對技術應用,梳理出資產清單,包括產品設備、應用軟件、信息系統等基礎性軟硬件資產,以及各類核心數據、重要數據、一般數據、個人敏感信息等不同類型的數據資產,建立資產臺賬或目錄,動態更新與維護。對于關鍵信息基礎設施和重要數據,相關的安全管理行為應嚴格遵守《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等法律要求和主管部門的政策規定。
(四)推進三個“多”共同發力
做好內部人員的安全管理,要建立多主體參與、多手段建設、多領域融合的工作機制。
多主體參與是指在企業等主體內部各級人員積極發揮優勢作用,共同構筑安全城墻。高層管理者統籌協調、規劃部署、劃分責任,職能部門建章立制、宣傳教育、監督檢查,業務負責人貫徹落實、細化分工、評價考核,工作人員聽從指揮、遵守制度、自我監督,形成一個良好循環,保證安全管理制度的落地執行。
多手段建設是指運用管理手段、技術手段、宣傳手段等保障安全管理措施落實到位。管理手段是指通過制度規章、獎懲措施、監督整改、經費保障等機制為內部人員的工作行為提供指導方向和可行性條件,引導行為規范化、標準化,防止出現越軌行為。技術手段是指通過日志記錄、權限設置、安全審計等方式限制、約束、記錄內部人員的操作行為,建立事前、事中、事后的風險應對能力,降低重要數據違規流出、重要網絡與信息系統違規操作的風險。宣傳手段是指協調內外部資源開展安全知識教育,結合主要業務特點,帶動內部人員了解和思考工作中的安全隱患。
多領域融合是指建立跨部門、跨業務的工作協同機制。與傳統的業務相比,數字化業務開展需要多元化和復合型的知識支撐,需要全局性視野和破局式思維,需要多部門的深度合作和互相支撐,因此,人才隊伍的安全管理就不單是某一個部門的任務。內部人員不再局限于一個部門,可能會面臨輪崗、臨時抽調、外派等工作狀態,可能與其他部門人員組成專項團隊,也可能與外包團隊建立工作關系,因此企業等主體對于人員流動、協作等情況產生的網絡與數據安全問題要予以持續關注。
(五)建立科學的人才評價體系
建立與數字時代相適應的人才評價標準和方式,選拔出具備數字化思維和能力的人員。通過樹立先進典范,鼓勵員工全體積極適應數字化轉型的歷史需要,激發員工在數字化背景下干事創業的熱情。重視對實踐能力、創新思維、技術水平、知識多元化等方面有優勢的人才進行挖掘、發展、培養,幫助具備忠誠、能力、干勁、擔當等品質的人才脫穎而出,給予數字化人才充分的實踐鍛煉機會,提高人才在實踐中的斗爭能力。
建立與數字化時代相適應的人才保障機制。一是為數字化人才創造健康的生態環境,加強內部數字化基礎設施的建設,建立人才規范化、系統化、專業化的培養模式,從人事機制、薪酬管理等方面積極給予數字化人才正面回應,鼓勵內部人員發揮所長、開拓創新,將個人價值與集體價值融合在一起。二是充分發揮領軍人才的帶頭作用,適當授權,激發其干事創業的沖勁。三是重視人才隊伍的紀律作風建設,幫助人才樹立守規矩、明底線、知敬畏的意識,牢守底線思維,堅持風險意識,筑牢思想源頭的安全大壩。
