(中國信息通信研究院安全研究所,北京 100191)
0 引言
2020年,《中共中央 國務院關于構建更加完善的要素市場化配置體制機制的意見》發布,進一步提出要培育數據要素市場。在此背景下,數據作為新的生產要素,成為推動數字經濟快速發展的首要推動力。2021年,《中華人民共和國數據安全法》(簡稱《數據安全法》)和《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)相繼頒布實施,我國數據安全頂層設計基本明確,數據安全被提到了非常重要的高度,與國家安全有著緊密的聯系。遵守數據安全法律法規政策要求,切實防范數據安全風險,成為組織數據安全合規體系建設的核心目標。本文提出了以合規為驅動的數據安全體系建設框架、實施流程,以及數據安全組織架構體系、管理制度體系、技術體系框架。
1 現狀分析
當前,各項數據安全法律法規制度和監管體系正日趨完善,但數據安全法律法規政策的落地實施是一個逐步推進的過程,組織機構數據安全合規體系建設面臨的挑戰將長期存在。目前,各行業組織機構的數據安全合規體系建設正處于發展階段,在組織體系、管理制度、技術手段等方面面臨著諸多挑戰。
針對以上挑戰,國內外相關學者圍繞數據安全合規體系建設提出了一系列體系模型,其中最具行業影響力的三個模型,分別是微軟的DGPC框架、Gartner的DSG框架和阿里巴巴提出的DSMM框架。
DGPC框架是以隱私、機密性和合規為目標的數據安全體系框架[1],主要是以方法論的方式明確數據安全建設的目標主要關注數據生命周期和核心技術,但缺少對數據生命周期各環節落實數據安全工作的步驟和說明。
DSG的最大亮點是提出了數據安全的建設需要和業務緊密結合,在開展安全工作時需要充分考慮業務的可發展性,在安全與業務需求上尋找平衡點[2]。
DSMM框架由三個維度構成,分別是安全能力、能力成熟度等級以及數據安全過程。安全能力維度明確了組織在數據安全領域應具備的能力,包括組織建設、制度流程、技術工具和人員能力。能力成熟度等級分為了5級,安全能力從1~5級依次增強。數據安全過程維度分為數據生存周期安全與通用安全兩個方面,30 個過程域(Process Area)和576 個基本實踐(Basic Practice)[3]。此框架要求較全面詳細,但對于中小型組織實現起來較為困難,在成本有限和業務安全需求復雜的場景下實施難度較大。
2 數據安全合規體系框架
本文提出了數據安全合規體系框架,以數據分類分級為基礎,通過梳理合規和安全需求,進行差異化管控。從發現問題、整改建設到監督檢查形成閉環迭代優化,同時建設內容覆蓋人員、制度、技術以及環境,并對每一個階段進行了定義,很好地過濾冗余的工作,提高了效率。數據安全合規體系框架如圖1所示。
圖1 數據安全合規體系框架
數據安全合規體系建設框架是數據安全建設工作的總體藍圖,首先依據合規評估、風險評估、個人信息影響評估等對組織現狀進行調研摸底、差距分析,發現安全隱患,其次根據調研中發現的問題為切入點,從數據安全組織、安全管理、安全技術等不同維度進行整改,完善數據安全能力,最后加入監督檢查機制對安全能力的落地和實施進行持續監督,從而明確下一步工作步驟,實現組織數據安全體系的持續優化、螺旋上升。
框架縱向自上而下分別是數據安全組織體系、數據安全管理體系和數據安全技術體系。組織體系是整個體系的總體綱領,要明確數據安全體系的組織架構、權責劃分、基本原則、總體思路等大方針、大策略;管理體系是指組織體系大方針指引下的管理制度體系,建立金字塔式逐層向下細化的管理文件體系,規范和指導安全工作的有序開展;技術體系層就是對以上綱領、制度體系的落地實施,部署相關技術措施、手段來保障組織整個數據處理活動的安全。總體來說,是自上而下逐層落實的關系。
數據安全合規體系框架目標確定后,在實施具體的數據安全體系建設工作時,可采用圖2所示步驟開展。
(1)準備階段
準備階段的主要工作是確定合規依據、建立團隊、制定計劃、明確建設目標和范圍、收集相關資料,確定總體工作方針。
合規依據的確定,需要根據組織業務所在行業、所屬地域等,分析相關數據安全法律法規、政策文件、標準規范等文件,為每個客戶建立所應遵守的數據安全合規清單。評估的范圍和目標方面,需要根據組織的業務與系統特點,確定評估的對象、重點關注的數據等內容,確定組織的合規目標,制定出合規評估的要點和細項。此外,數據安全工作組織難度大。數據安全建設涉及多個部門,需要多部門協同分析,合理分配,共同承擔。因此,項目團隊需要通過組織最高領導人的授權,賦予團隊負責人隨時協調組織內部部門的權限。
圖2 實施方法流程及各階段主要活動
(2)調研階段
準備階段即數據安全初評階段,目的是明確當前組織數據安全工作現狀。
此階段通過問卷調研、現場訪談、文件核查等方式開展,進一步了解組織網絡架構、系統部署情況等,形成記錄文件,如基礎信息收集調研問卷、現場訪談記錄,以及業務場景和系統數據處理活動梳理等。為后續的差距分析做準備,這個過程根據差距分析情況,也可能會有重復,如果分析過程中發現不清晰的地方,會進行再次調研確認。
(3)差距分析階段
差距分析階段主要分析現狀與目標之間的差距,給出整改建議。
此階段將調研結果與第一階段制定的目標進行對比分析,對組織的總體、數據處理活動、技術能力三方面的安全保護能力做出評價,形成差距分析表。
(4)整改提升階段
整改提升階段依據整改建議,改進和完善組織架構、制度規范、技術能力。
此階段從組織、管理和技術三方面分別進行架構和完善。本文將分別對組織體系、管理體系和技術體系的建設方法進行展開介紹。
(5)復評總結階段
復評總結階段總結建設完善后的效果,輸出評估報告,制定后續工作提升方案和工作計劃。
此階段對整個合規體系建設工作進行分析和總結達到以下三個目標:一是綜合評價組織數據安全合規總體水平和關鍵業務系統數據安全管控技術能力;二是清晰呈現數據安全合規體系建設與提升過程;三是明確提出后續數據安全工作方向和步驟。
通過以上過程,滿足數據安全合規目標,同時提升組織總體數據安全水平。
• 數據安全合規體系建設三要素之一——數據安全組織體系
數據安全組織體系在整個數據安全合規建設中起著至關重要的作用,組織體系確定后,可以明確人員權責,覆蓋數據安全保障工作的全過程,避免人員權責分配不合理,導致無法有效開展數據安全工作。
數據安全合規建設中首先要明確數據安全組織架構,明確各相關部門所處的層級和相應的職責(見圖3)。決策層主要由組織一把手負責、業務及技術部門領導共同參與,成立數據安全管理領導小組,主要職責包括決策和授權的工作。管理層指派數據安全負責人,負責組織數據安全管理的工作,同時各部門、各業務的負責人也要參與。執行層主要由數據安全運營、技術團隊、運維團隊組成進行,數據安全相關要求、流程、制度以及日常審核等工作。監督層主要由審計部門組成,監督數據安全管理制度的落實等情況,以及各階段的審計、評估等工作。參與層包括公司所有員工及部門。
建立數據安全組織體系的基礎上,要明確部門間的權責邊界,組織架構映射出的責任分配表如圖4所示。
安全部門負有安全監管職責,負責策略規劃、監督管理的落實執行,牽頭負責能力建設、管理制度建設、安全運營管理與安全意識宣貫等工作。
• 數據安全合規體系建設三要素之二——數據安全管理體系
數據安全建設是一項需要多方聯動型的復合型工作,在開展管理體系建設時,需考慮組織層面實體的管理、執行團隊以及虛擬的聯動小組,所有部門均需要參與數據安全建設當中。
圖3 數據安全組織架構
圖4 組織架構與部門權責映射矩陣圖
在管理體系建設方面,本文根據行業的最佳實踐給出了管理制度體系“金字塔”,如圖5所示,總體分為四個級別,分別是一級戰略方針,二級管理制度,三級規范和流程、四級執行文件以及相關記錄,自頂而下,逐層細化。
圖5 制度體系
一級文件戰略方針明確組織管理要求、目標及基本原則,一般是“數據安全管理辦法”文件呈現,其地位是組織的數據安全基本法。
二級文件管理制度是細化數據安全管理辦法中的相關要求,同時考慮科學性、合理性、完善性和適用性,常見的有組織架構、人員安全管理制度、權限管理制度等。
三級文件規范和流程是對二級制度文件的落地性實現,包括各業務、各產線的具體操作指南和規范,主要文件有分類分級規范、脫敏規范、使用規范、開放共享審批流程等,指導數據使用者在各場景、各階段的規范操作。
四級的執行文件以及相關記錄可以分為協議文件類、報告類以及清單記錄類,其中報告類和部分清單類記錄還應體現出周期性,用來實現制度文件中的相關要求。
• 數據安全合規體系建設三要素之三——數據安全技術體系
數據安全技術體系建設過程中要兼顧數據全生命周期分級安全管控和數據安全管理策略實施兩大方面的需求。
生命周期分級安全管控方面,主要依據不同安全級別數據的分級保護要求,執行差異化的數據安全管控策略。首先要確定技術保護要點,即數據處理活動各階段主要關注的技術防護需求和目標。比如,在使用加工場景環節,需要關注數據脫敏、濫用防范、導入導出管控等需求。數據提供、公開環節,主要關注如何防止數據在共享過程的泄露問題、如何在保護數據機密性前提下解決數據孤島問題等。
在明確數據安全保護要點需求的同時,還要兼顧數據安全管理各層次的安全需求(見圖6)。監督管理層需要掌握總體數據資源情況以及集中管理、數據安全管理狀況、數據安全運行情況、策略統一下發等,因此需要建立監管中心等技術手段,通過態勢感知、流向地圖等形式,實施監控全局,發現問題、解決問題。在保護執行層,需要針對內部風險和外部風險進行保護,分別對應到內部域和外部域的保護策略。能力支撐層需要為上層監管和保護策略提供基礎安全能力,支撐數據流轉和使用過程中的機密性、完整性、可用性,比如數據加密、脫敏等基礎安全能力。
圖6 以數據安全能力為中心的技術框架
技術體系建設和部署的第三個重點是在需求明確的基礎上,部署數據安全技術工具,在這些技術工具上做配置時,依據數據安全級別來配置差異化的安全策略。
3 應用案例
3.1 背景
某省為加快構建新發展格局,全面深化改革開放,堅持創新驅動發展,推動高質量發展,深入實施網絡強國、數字中國戰略,以深化“放管服”改革優化營商環境為主線,以利企便民、激發市場活力為目標,以提升網上政務服務能力為突破口,全面推進政務流程再造、業務模式優化、履職能力提升,統籌推進政府職能從管理型向服務型轉變,全面推行“一網通辦”“一網統管”“一網協同”的政務綜合性平臺。
3.2 面臨的問題
平臺匯集了多個廳級部門、供應商、團隊和系統。但尚未形成統一的管理體系、各運營部門間沒有做好安全協同工作,因此在使用的過程中用戶面臨安全隱患。
隱患一:安全能力覆蓋面不足,無法有效覆蓋關鍵系統。
隱患二:數據安全建設缺乏常態化、持續化的運營來應對業務系統變化、數據安全需求變化、技術能力更迭帶來的新型挑戰。
3.3 解決方案
平臺規模較大,涉及的關聯方、供應商較多,需要專職的數據安全團隊統籌和協調數據安全工作。組織應建立數據安全組織架構,架構中建議邀請組織一把手擔任決策者身份,保證數據安全工作的順利開展,各部門責任人擔任管理者、組長擔任執行者、數據安全或審計人員擔任監督者等,同時對其數據安全責任進行有效劃分。監督相關人員應定期對數據安全相關制度落地有效性進行監督檢查,組織數據安全負責人定期開展數據安全制度文檔的宣貫工作,增強組織人員的數據安全意識。
落地實施過程中,各部門負責人應根據所屬部門負責的系統或業務的范圍,使用數據識別能力梳理各部門產生、存儲的數據類型,并按照組織統一的數據分類分級規范對部門涉及的數據進行定級,形成數據分類分級清單。梳理敏感數據的流向,發現敏感平臺或系統,發現數據關鍵位置,重點部署相關技術措施,并進行實時監測與預警。
3.4 實施效果
數據安全組織架構、管理制度、技術能力及運營環境滿足了《數據安全法》《關鍵基礎設施安全保護條例》及政務數據政策相關要求,同時建立了基于數據分類分級的縱深風險防控體系,實現政務數據安全識別、風險監測與追溯管理,健全完善政務網絡數據資產梳理與分級分類,實現數據流轉動態監測、數據安全風險源頭分析與定位,提升某省政務數據安全監管水平和數據安全防御能力,實現針對政務平臺的數據安全風險監測、通報和處置。通過本項目實施,一是數據安全監管能力顯著提升,可掌握該省重要數據資產管理情況,實時監測數據安全風險,并具備可追蹤溯源的能力;二是全省政務數據安全事件顯著減少,市級各單位數據安全和個人信息保護意識明顯提升。
4 結束語
本文提出了一種覆蓋全面、可持續優化、便于操作的數據安全合規體系框架,闡述了面向組織合規及風險管控目標,圍繞數據安全體系規劃與建設的實施流程以及各流程階段的主要工作,并對建設的組織架構、制度體系、技術框架進行了論述。
隨著《數據安全法》《個人信息保護法》的正式實施,組織應建立健全數據安全合規體系,提高數據安全管控能力。數據安全合規體系建設通過建立合規體系框架、確定實施路徑,以及對其安全能力的持續監督來指導數據安全工作。同時,同態加隱私計算、區塊鏈、量子計算等技術的發展與實踐,更加夯實數據安全能力底座,兼顧業務發展與數據保護的平衡。
