本文节选自数据安全推进计划(DSI)发布的《数据安全治理实践指南(3.0)》,报告基于“规划-建设-运营-优化”的思路,详细阐述体系化、场景化的数据安全落地实践过程,重点围绕数据分类分级、数据安全风险评估、数据出境安全评估等热点话题展开讨论。
( 三 ) 数据安全治理维度
以数据安全治理目标为指引,围绕数据安全治理体系框架,可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作,以解决“谁来干”、“怎么干”、“干的如何”、“有没有能力干”等关键问题。
1. 组织架构
数据安全组织架构是数据安全治理体系建设的前提条件。通过建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳定的贯彻执行。同时,因数据安全治理是一项多元化主体共同参与的复杂工作,明确的组织架构有助于划分各参与主体的数据安全权责边界,促进协同机制的建立,实现组织数据安全治理一盘棋。
在一个组织内部,安全部门、合规部门、风控部门、内审部门、业务部门、人力部门等都需要参与到数据安全治理的具体工作中,相互协同,共同保障组织的数据安全。一种较为典型的数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成,如图1所示,各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。
图 1 数据安全治理组织架构示例
决策层指导管理层工作的开展,并听取管理层关于工作情况和重大事项等的汇报,一般以虚拟组织的形式存在,如数据安全领导小组,该小组通常由组织的高层领导及相关部门负责人共同构成,主要负责对数据安全的重大事项进行统筹决策,主要职责包括:
•制定数据安全整体目标和发展规划;
•发布数据安全管理制度及规范;
•提供数据安全规划、设计、建设、实施、运营等全过程的资源保障;
•重大数据安全事件协调与决策。
管理层则对执行层提出数据安全管理要求,并听取执行层关于数据安全执行情况和重大事项的汇报,形成管理闭环,一般由安全部门或数据部门牵头,负责数据安全的管理、建设、宣贯等工作,主要职责包括:
•制定数据安全管理制度及规范;
•制定数据安全工作在各层级的运行机制,保障数据安全工作的顺利运营;
•推进数据安全风险评估、数据出境安全评估等专项工作的开展;
•推进数据安全意识培训、安全技能提升、安全技术考核等工作;
•负责与国家数据安全相关监管部门及行业组织的协调沟通。
执行层一般由业务部门、技术部门等构成,负责执行或支撑各项数据安全管理要求的贯彻落实,主要职责包括:
•负责依据国家法律法规、政策文件、标准规范及企业相关数据安全管理要求,合理开展工作;
•负责制定本部门相关业务场景下的数据安全实施细则;
•负责按照要求构建数据安全建设的技术支撑能力,助力管理要求落地;
•负责反馈合理的数据安全需求,促进数据安全防护工作的改进;
•积极参与数据安全意识培训、能力培养及考核工作。
监督层负责对管理层和执行层各自职责范围内的数据安全工作情况进行监督,并听取各方汇报,形成最终监督结论后同步汇报至决策层,一般涉及合规、风控、内审等部门,主要职责包括:
•对数据安全制度及规范的执行情况进行监督;
•对数据安全技术工具的落地情况进行监督;
•对数据安全风险评估过程进行监督审计。
各层的主要分工和构成如表1所示。因不同组织的部门设置都有较大不同,涉及到实际组织体系建设时,不同机构还需结合现有组织架构,进行适度的调整和补充。
表1 数据安全组织职责分工表
2. 制度流程
数据安全制度流程一般会从业务数据安全需求、数据安全风险控制需要,以及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。常见的制度体系如图2所示。
图 2 数据安全治理制度体系示例
一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本原则。二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。四级文件属于辅助文件,是各项具体制度执行时产生的过程性文档,一般包括工作计划、申请表单、审核记录、日志文件、清单列表等内容。
3. 技术工具
数据安全治理体系的技术并非单一产品或平台的构建,而是结合组织自身使用场景,围绕数据全生命周期各阶段的安全要求,建立起来的与制度流程相配套的技术和工具。一种典型的数据安全治理技术体系如图3所示,由基础通用类技术、生命周期类技术、平台类技术构成。
图 3 数据安全治理技术体系
基础通用类技术工具为数据全生命周期的安全提供支撑:
• 数据分类分级相关工具平台主要实现数据资产扫描梳理、数据分类分级打标和数据分类分级管理等功能。
• 身份认证及访问控制相关工具平台,主要实现在数据全生命周期各环节中涉及的所有业务系统和管理平台的身份认证和权限管理。
• 监控审计相关工具平台接入业务系统和管理平台,实现对数据安全风险的实时监控,并能进行统一审计。
• 日志管理平台收集并分析所有业务系统和管理平台的日志,并统一日志规范以支持后续的风险分析和审计等工作。
• 安全及合规评估相关工具平台主要用于综合评估数据安全现状和合规风险。
数据全生命周期安全类技术为生命周期中特定环节面临的风险提供管控技术保障。整个数据全生命周期可以通过组合或复用以下多种技术实现数据安全:
• 敏感数据识别通过对采集的数据进行识别和梳理,发现其中的敏感数据,以便进行安全管理。
• 备份与恢复技术是防止数据破坏、丢失的的有效手段,用于保证数据可用性和完整性。
• 数据加密相关工具平台通过提供常见的加密模块及密钥管理能力,落地数据的加密需求。
• 数据脱敏是通过一定的规则对特定数据对象进行变形的一类技术,用于防止数据泄露和违规使用等。
• 数据安全网关通过建立统一的数据访问、分发的出入口,基于协议访问数据源,发现敏感数据,对访问数据的行为进行分析、处理,提供持续的数据安全保障及监测能力。
• 数据水印技术通过对数据进行处理使其承载特定信息,使得数据具备追溯数据所有者与分发对象等信息的能力。在数据处理过程中起到威慑及追责的作用。
• 数据防泄露技术通过终端防泄露技术、邮件防泄露技术、网络防泄露技术,防止敏感数据在违反安全策略规定的情况下流出组织。
• 隐私计算通过实现数据的可用不可见,从而满足隐私安全保护、价值转化及释放。
• API 管控相关工具平台提供内部接口和外部接口的安全管控和监控审计能力,保障数据传输接口安全。
• 数据删除是一种逻辑删除技术,为保证删除数据的不可恢复,一般会采取数据多次的覆写、清除等操作。
• 介质销毁一般通过消磁机或者物理捣毁等方式对数据所在的介质进行物理销毁。
平台类技术通过接入各技术工具的能力点,打破其之间的协作壁垒,实现对不同技术工具的能力编排与调度,进而提供统一的管理入口与操作方式,为组织的各项安全决策提供全局视角:
• 数据安全运营管理平台通过数据资产梳理、数据合规管理、安全能力管理等核心功能,建立“协同管理”的能力,规避产品在实际应用过程中的粗防护、弱联动、单视角等问题。
4. 人员能力
数据安全治理离不开相应人员的具体执行,人员的技术能力、管理能力等都影响到数据安全策略的执行和效果。因此,加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色等明确相应的能力要求,并从意识和能力两方面着手建立适配的数据安全能力培养机制,如表2所示。
表2 不同类型人员的数据安全能力要求和培养机制
意识能力培养方式。可以结合业务开展的实际场景,以及数据安全事件实际案例,通过数据安全事件宣导、数据安全事件场景还原、数据安全宣传海报、数据安全月活动等方式,定期为员工开展数据安全意识培训,纠正工作中的不良习惯,降低因意识不足带来的数据安全风险。
技术能力培养方式。一方面,构建组织内部的数据安全学习专区,营造培训环境,通过线上视频、线下授课相结合的方式,按计划、有主题的定期开展数据安全技能培训,夯实理论知识。另一方面,通过开展数据安全攻防对抗等实战演练,将以教学为主的静态培训转为以实践为主的动态培训,提高人员参与积极性,有助于理论向实践转化,切实提高人员数据安全技能。
为保障培训效果,形成人员能力培养的管理闭环,还需要结合能力考核的管理机制。通过结合人员角色及岗位职责,构建数据安全能力考核试题库,通过考核平台分发日常测验及各项考核内容,评估人员数据安全理论基础。同时将人员在实战演练中的实际操作能力作为重要考核指标,以综合评估数据安全人员能力水平。
( 四 ) 数据安全治理专项
如前所述,数据安全治理的要点之一是多元化主体的共同参与,其工作过程涉及数据、安全、合规、业务等诸多部门,因此协调落实复杂程度较高,为了保障各部门及各项管理要求的有效配合及落实,数据安全专项工作必不可少。结合监管要求及业务发展需要,数据分类分级、数据安全风险评估、数据出境安全评估、合作方数据安全管理等专项工作的开展需要提上日程。本文章结合相关要求及行业实践,将在后续连载文章中详细描述以上专项工作的开展思路。
( 五 ) 数据安全治理实践
数据安全治理体系给出了组织数据安全治理的建设框架,如何将整套框架切实应用于建设过程,离不开实践路线的绘制。本指南基于行业发展现状,提炼出“全局体系规划,场景有序落地,运营持续加强,评估助力优化”的数据安全治理实践理念,并进一步丰富形成“规划—建设—运营—优化”的闭环路线,用以指导各行业组织数据安全治理工作的落地推进。该实践路线将在后续连载文章中展开论述。
【结语】
为帮助企业度量其自身数据安全能力水平,发现数据安全治理能力不足,指明企业数据安全治理能力提升路径,中国信息通信研究院云大所数据安全团队(简称:云大所数据安全团队)牵头制定了行业标准YD/T 4558-2023《数据安全治理能力通用评估方法》。截至2023年底,已完成23家企业的25次数据安全治理能力评估工作(简称:DSG评估),参评企业广泛分布于金融、电信运营商、互联网、汽车等领域。
在评估测试基础上,云大所数据安全团队结合国家法律法规,行业监管要求以及同业最佳实践,为多家大型银行、保险机构、知名企业提供了咨询提升服务,协助企业开展数据安全治理体系建设。
2024年云大所数据安全团队将持续围绕数据安全治理话题,开展框架研究、技术探索、评估评测等相关工作,欢迎业内共同致力于数据安全治理研究的专家、学者、同人咨询数据安全治理服务及数据安全风险评估服务,共话数据安全治理,携手护航企业数据的安全利用。
行标首批贯标单位火热征集中!诚邀有意向的单位踊跃参与。
联系人:刘雪花 18500238315(微信同号)
#重磅!《数据安全风险治理成熟度评价模型》发布,征集首批预评估单位