數據安全治理現狀研究與分析
0 引言
2021年《中華人民共和國數據安全法》(簡稱《數據安全法》)頒布,提出建立健全數據安全治理體系,提高數據安全保障能力,倡導全社會共同維護數據安全。企業作為開展數據處理活動的主要組織,應積極履行數據安全保護義務,遵守國家、各行業、各地監管要求,開展數據安全治理工作,提升數據安全治理能力。
有效識別企業的數據安全問題,客觀評價其數據安全治理水平離不開檢測與評估。2020年,中國信息通信研究院牽頭制定團體標準T/ISC-001-2021《數據安全治理能力評估方法》,該標準提出的“數據安全治理能力評估框架”創造性地提出,企業或第三方評估機構可從組織架構、制度流程、技術工具、人員能力四大維度入手,進行數據安全治理能力評估。
如圖1所示,數據安全治理能力評估框架將數據安全治理分為三大層次,即數據安全戰略、數據全生命周期安全和基礎安全。數據安全戰略指組織的數據安全頂層規劃,起到為數據安全治理“搭框架”“配人手”的作用;數據全生命周期安全指組織在數據全生命周期的安全管控措施;基礎安全指組織在數據基礎安全方面的保障能力,起到支撐與保障作用。本文根據2021年參與企業數據安全治理能力評估的33家企業情況,進行企業數據安全治理建設情況的總結與分析,并提供相關建議。
圖1 數據安全治理能力評估框架
1 數據安全治理建設現狀
1.1 數據安全治理組織架構初具雛形
企業的數據安全治理是企業綜合考慮業務當前與未來發展需要,為保障數據安全所開展的一項系統工程。作為這一系統工程的相關方,各部門需要圍繞企業的數據安全方針,就如何開展配合與協作、完善制度規范文件、部署安全技術產品、提升人員安全意識與能力。因此,為確保內部對數據安全治理的方針達成共識、合理配置數據安全工作任務與資源,需要建立企業層面的高層級決策、管理機構,使各部門、崗位人員明確其具體職責與分工。此外,該組織應能夠對數據安全治理工作進行監督與評價,以保障企業數據安全治理的持續性改進。
根據《大數據白皮書2021》,企業的數據安全治理組織架構初具雛形。77.5%的企業已建立有效的數據安全管理機構與運行機制,基本明確了決策者、管理者、執行者的角色與職責。數據安全治理的機構組織形式主要分為數據安全治理委員會與網絡與信息安全領導小組。
如圖2所示,相較于網絡與信息安全領導小組,數據安全治理委員會的組織形式更具先進性:數據安全治理委員會可圍繞數據的全生命周期安全,以專項工作組為單位,靈活地響應最新的法律法規、監管要求,協同開展各類專項工作。此外,數據安全治理委員會的成員不局限于安全、運維等部門人員。數據安全治理委員會可根據成員的實體崗位職責,從編制數據安全規范文件、引進數據安全技術產品等方面,建設企業數據安全治理體系。
圖2 數據安全管理機構形式對比圖
1.2 數據安全人才培訓體系逐步建立
企業數據安全治理工作的效果很大程度上取決于相關崗位人員的執行情況。為進一步落實數據安全戰略下的具體工作,企業需要通過盤點崗位職責、評估人員能力,將工作任務與具體的崗位、人員進行匹配。也需通過梳理當前的數據安全人才需求,分析當前人員的能力水平差距,不斷完善數據安全培訓機制。
《數據安全行業調研報告》統計顯示,企業逐漸重視數據安全人員的能力培養:58.8%的企業認為數據安全治理面臨的最大挑戰是專業人才缺失。為落實數據安全戰略,企業開始關注數據安全培訓體系的建設:68.9%的企業已初步建立內部數據安全人才培訓體系,培訓內容覆蓋了法律法規解讀、保密意識教育、數據安全技術培訓等多個方向。
如圖3所示,雖然數據安全人才培訓體系逐步完善,但由于部分課題(如數據安全風險分析、數據安全審計等)仍處于探索階段,企業對專業培訓服務產生一定的采購需求。同時,安全服務供應商緊密布局培訓服務業務:安全服務供應商計劃完善數據安全培訓服務方案,開拓數據安全培訓業務。這有望助推企業的數據安全人才培訓內容逐步完善。
圖3 數據安全培訓課題分布圖
1.3 數據安全技術規劃布局由“點”向“面”
完善的數據安全技術框架能夠為數據安全治理提供可行性保障,企業在技術工具的布局與應用方面加強數據安全技術規劃,防護布局由“點”向“面”趨勢漸顯。根據調研實踐,企業基于數據資產管理與分類分級,圍繞數據采集、傳輸、存儲、使用、共享、銷毀等全生命周期,建立了廣范圍、細顆粒度、一體化、自動化的技術體系,對安全風險進行動態評估并采取差異化的管控措施。
此外,企業通過應用多種數據安全產品(如數據分類分級、數據網關、數據防泄露、數據脫敏、數據審計等工具),由單點技術布局走向數據安全防護面建設,實現數據生命周期全流程覆蓋、多層次防護,為數據安全治理提供可行性保障。
1.4 數據分類分級工作率先落地
數據分類分級工作在數據安全戰略中具有極其重要的地位。
在國家立法層面,《數據安全法》提出,國家建立數據分類分級保護制度,各地區、部門以及相關行業、領域應根據數據的重要程度與被利用時的危害程度,對數據實行分類分級保護。重要數據應進入重要數據目錄,進行重點保護。
在分級標準層面,多個國家標準、行業標準(如《金融數據安全數據安全分級指南》《基礎電信企業數據分類分級方法(報批稿)》),為企業的數據分類分級工作提供了基本理論。
在落地層面,《工業和信息化領域數據安全管理辦法(試行)》提出工業和電信數據分類分級的相關定義與管理工作要求,為涉及重要數據和核心數據的工業和電信企業提供了“分級防護”“備案管理”等工作思路。
企業普遍將數據分類分級作為內部管理制度建設、技術體系搭建的基礎工程。90.3%的企業結合國家法律法規與自身業務特點,制定了企業內部數據分類分級管理辦法,并通過相關產品、工具對策略進行具體落實。企業數據分類分級制度、技術的落地程度相對高于其他基礎安全建設工作,為不同類別、級別的數據安全管理筑牢能力底座。
1.5 數據共享的安全管理亟需提升重視
數據在企業內部、企業之間或者企業與個人之間的流通已成為常態。數據共享作為企業數據流通的典型場景,其所面臨的數據泄露、篡改、非法獲取、利用等安全風險危害大、概率高、溯源難。相較于國外的數據共享法律法規體系,國內企業由于相關法律尚未完善、技術相對滯后等問題,隨著其數據的開放程度逐步上升,在數據共享場景下所面臨的安全風險也逐漸突出。
在2021年企業數據安全治理能力評估中,許多企業缺乏數據共享場景下的安全管控經驗,普遍對數據共享安全的重視程度不高,未形成規范的數據共享安全管控機制。
2 數據安全治理能力提升建議
2.1 堅持系統性、持續性的數據安全治理
數據安全治理覆蓋企業數據、業務、技術、管理等多個方面,是一項需要多方聯動的復合型工作。企業應系統地進行數據安全治理能力建設,圍繞數據的產生、加工、使用、流通、銷毀等環節,進行總體布局、全面規劃。企業可以構建貫穿各層面的數據安全治理組織架構,全面梳理業務場景并設計體系化的安全制度流程,配合應用自動化工具、平臺,實現數據安全治理“一盤棋”。同時,企業通過搭建專業的人才梯隊與培訓機制,為數據安全管理工作持續積蓄力量。
數據安全治理不僅限于解決企業當前的數據安全困境,還致力于企業數據安全長遠發展,是一項長期工程。如圖4所示,企業可采用“PDCA(規劃—執行—檢查—處置)”的模式,持續提升數據安全治理能力。企業可將數據安全上一階段未解決的問題作為下一階段規劃的輸入,通過不斷優化制度流程落地效果、提升技術與產品應用水平、強化人員安全意識與能力、明確未來數據安全治理發展方向等,實現數據安全治理的長周期閉環。
圖4 數據安全治理能力提升示意圖
2.2 完善數據流動過程中的安全管理舉措
在國家鼓勵數據流動和共享的大背景下,企業應強化數據共享的安全管控,一方面需要重視數據共享安全,完善相關的管理制度、規范(如數據使用備案登記制度、數據合作保密責任協議、數據合作對象安全能力評估規范等),將其落實制度章程、正式文件內,使各部門、崗位人員與外部相關方能夠正確理解數據共享安全的重要性與必要性;另一方面,需要基于數據分類分級的結果,逐步完善數據共享行為的定義及其管控機制(如數據共享審批流、臺賬記錄、定期審計報告等),確保數據共享活動中各環節路徑清晰、過程安全可控和監管有效。
此外,無論是在數據流動的任一場景,還是在數據安全治理的整體框架中,數據泄露溯源都是數據安全管理的一大重要環節,要求企業具備監控與審計的技術能力與管理機制。企業可以通過加強識別敏感信息的特征、收集數據全生命周期中的數據使用行為等信息,進行智能關聯和分析,實現數據安全風險分析與告警、事件溯源取證、數據共享安全性評估仲裁等,形成包含應對措施的審計報告,并持續優化安全策略。
2.3 充分引進第三方數據安全評估服務
由于數據安全治理具有系統性、持續性的特點,如何評價數據安全治理效果并對治理體系進行優化與升級,是企業數據安全治理能力建設過程中的重要問題。根據2021年企業數據安全治理能力評估情況[6],52.6%的企業認為第三方數據安全評估服務可以綜合考慮被評估對象的業務特點與監管要求,能夠客觀、公正地評價工作的有效性,有助于企業發現自身不足,獲取業內的優秀實踐,提升數據安全治理能力。
第三方數據安全治理評估與企業自評估相結合,有助于企業避免“燈下黑”的評估結果。一方面,企業通過第三方評估,可以有效發現當前的數據安全問題,參考評估報告采取適當的整改措施;另一方面,第三方評估有助于企業將數據安全風險前置,企業內部各層級、崗位人員在配合評估工作的過程中能夠正視數據安全風險,樹立企業數據安全“大局觀”,理解數據安全法律、法規和標準的要求,明確企業數據安全面臨的風險與挑戰,對企業短期的數據安全工作與長期的數據安全規劃有更加深刻的認識,做到“心中有數”,使企業能夠控制潛在的管理、合規成本。
第三方數據安全治理評估也有助于跟同行業的橫向對比。第三方評估具備發現企業數據安全治理共性問題、能力短板的經驗優勢,可以為企業提供發展性的治理建議,有助于企業持續修正已采取的安全措施,規劃數據安全治理長期發展路徑。
3 結束語
本文基于中國信息通信研究院在2021年開展的企業數據安全治理能力評估工作實踐,盤點、分析企業數據安全治理工作現狀,對企業數據安全治理的現狀、亮點與問題進行研究,并給出對應的改進建議、能力提升思路,為業界各組織提高自身數據安全治理能力提供有效參考。企業的數據安全治理需要持續觀察、研究和分析。后續將根據業內先進的數據安全治理實踐,完善數據安全治理方法論,提供更多角度下的數據安全治理能力提升思路。
參考文獻
[1] 全國人民代表大會. 中華人民共和國數據安全法[Z], 2021.
[2] 李雪妮, 閆樹, 魏凱, 等. T/ISC-0011-2021《數據安全治理能力評估方法》[S]. 北京: 中國質檢出版社, 2021.
[3] 李雪妮, 閆樹, 劉雪花. 數據安全治理框架及實踐總體模型研究[J]. 通信世界, 2021(17):45-48.
[4] 李曉偉, 吳迎, 鄒彧, 等. 數據安全治理體系與技術研究[J]. 信息通信技術與政策, 2021,47(8):51-55.
[5] 中國信息通信研究院. 數據安全治理實踐指南1.0[EB/OL]. (2021-07)[2021-12-27]. http://www.caict.ac.cn/kxyj/qwfb/ztbg/202107/P020210720377857004616.pdf.
[6] 張峰, 于樂, 馬禹昇, 等. 數據安全分類分級研究與實踐[J]. 信息通信技術與政策, 2021,47(8):45-50.
[7] 中國信息通信研究院. 大數據白皮書 2021[R], 2021.
Research and analysis of data security governance
GONG Shiran, LIU Xuehua
(Cloud Computing & Big Data Research Institute, China Academy of Information and Communications Technology,
Beijing 100191, China)
Abstract: In recent years, data security incidents have occurred frequently, which has damaged corporations’ interests and reputations. With the data security laws and regulations coming into effect, corporations have realized the importance and urgency of data security governance. Based on the observations of corporation data security governance evaluation in 2021, data security governance capabilities and trends of corporations are summarized by organizational construction, talent training, technical tools. Improvement opinions are provided as the reference to the public.
Keywords: data security; data security governance; data security practice; data classification and grading; data sharing
本文刊于《信息通信技術與政策》2022年 第2期
文章來源:信息通信技術與政策
