本文节选自数据安全推进计划(DSI)发布的《数据安全治理实践指南(3.0)》,报告基于“规划-建设-运营-优化”的思路,详细阐述体系化、场景化的数据安全落地实践过程,重点围绕数据分类分级、数据安全风险评估、数据出境安全评估等热点话题展开讨论。
基于前文数据安全治理实践理念,可以按照体系化和场景化相结合的思路推进实践过程。一方面,体系化思路,以数据安全战略规划为指导,以规划、建设、运营、优化为主线,围绕构建数据安全治理体系这一核心,从组织架构、制度流程、技术工具和人员能力四个维度构建全局建设蓝图。另一方面,场景化思路,针对各业务场景敏捷落地相关数据安全能力点,通过实际业务场景中数据安全的建设落地实践,反向总结输出相应管理规范,并由点及面应用至相似场景,以强化管理对业务的下沉指导。以上实践过程可以有效避免管理和技术的“两张皮”问题。
( 一 ) 全局数据安全体系规划
数据安全规划阶段主要确定组织数据安全治理工作的总体定位和愿景,根据组织整体发展战略内容,结合实际情况进行现状分析,制定数据安全规划,并对规划进行充分论证。
1. 现状分析
组织应通过现状分析找到数据安全治理的核心诉求及差距项,以此作为规划设计的依据。可以从安全合规对标、风险现状分析、行业最佳实践对比入手。
一是数据安全合规对标。数据安全合规是组织履行数据安全相关责任义务的底线要求。不同组织应对组织适用的外部法律法规、监管要求、标准规范等进行梳理,将重要条款与现有情况进行对比,分析其差距,确定合规需求。
二是数据安全风险现状分析。有效的数据安全风险管理是组织推进业务发展的重要保障。不同组织需结合其业务场景,基于数据全生命周期安全防护要求,通过数据安全风险评估等专项工作的开展,识别数据面临的安全威胁及所在环境的脆弱性,形成风险问题清单,提炼数据安全建设需求点。
三是行业最佳实践对比。行业对比是组织经营决策的主要参考。通过分析同行业的数据安全建设先进案例,并与组织现状进行横向对比,有助于提炼出更加适宜的数据安全建设方向和建设思路。
2. 方案规划
组织应根据现状分析结果,结合数据安全治理目标,给出可落地实施的数据安全治理规划方案,并提炼重点目标和任务,分阶段落实到工程实施中。方案规划可以从前文所述的四个数据安全治理维度入手,通过对组织架构、制度流程、技术工具、人员能力的不断建设与完善达成建设目标。
以一个数据安全治理建设刚起步的企业为例,一般来说,可以将数据安全规划分为三个阶段,如图1所示。
图 1 数据安全治理规划示例
第一阶段,组织尚处于数据安全治理建设初期,急需在内部明确数据安全治理职责分工和管理要求,因而建议主要完成初步的数据安全治理体系建设工作,包括数据安全组织机构的建立、数据安全制度体系的编制、数据安全基础能力建设以及数据安全意识培训宣贯。同时数据分类分级作为实施数据安全管理措施和技术措施的前提,是一个需要提前布局且长期推进的工作。
第二阶段,组织有了一定的数据安全治理基础,可以在这一阶段着重完善数据安全技术能力体系,通过建设统一的管理平台,全面落实数据安全管理规范及策略要求,并通过常态化数据安全运营,实现持续的数据安全保障能力。同时,应加强数据安全能力培训体系的构建,培养复合型数据安全专业人才,壮大数据安全人才队伍。
第三阶段,组织已经初步建成数据安全治理体系,这一阶段以持续优化为主要目标,重在建立数据安全治理的量化指标体系,定期开展数据安全评估评测,监测各项指标的达标情况。再根据评估评测结果及时优化建设内容,最终达到较高的数据安全治理水平。同时,通过提炼并输出成功经验,促进行业共同进步。
3. 方案论证
为保障规划方案在建设过程的顺利实施,应从以下方面进行论证分析。一是可行性分析,根据组织现状,明确人力、物力、资金的投入与产生的效益对比,协调数据安全管理机制和技术能力建设与业务系统之间的分歧,确保在业务发展与安全保障之间达到平衡。二是安全性分析,方案在正式实施前,要进行详细的方案论证分析,确保可以在业务稳定运行的前提下实施治理建设,同时要考虑治理过程中可能产生的新风险,避免未知风险的引入。三是可持续性分析,数据安全治理是持续性过程,随着业务拓展和技术进步,规划方案在保证与当前组织现有体系兼容的同时,也要考虑与后续的发展相适应。因此数据安全治理方案不仅要考虑当下,还要着眼未来。在满足当前数据安全需求的同时,适应后续的持续发展。
( 二 ) 数据安全场景有序建设
数据安全建设阶段主要对数据安全规划进行落地实施,建成与组织相适应的数据安全治理能力,包括组织架构的建设、制度体系的完善、技术工具的建立和人员能力的培养等。
通过数据安全规划,组织对如何从零开始建设数据安全治理体系有了一定认知,同时也应意识到数据安全治理的建设是一项需要长期开展和持续投入的工作,无法一蹴而就。为了快速响应不同业务场景下不同的数据安全策略要求,应基于场景需要选择性部署技术工具,编制三级操作指南文件,形成四级记录模板。通过逐个场景的数据安全建设,最终推动数据安全治理体系在组织内的全面落地。本指南梳理了场景化数据安全治理建设的总体路线,如图2所示。
图 2 场景化数据安全建设五步走
1. 全面梳理业务场景
梳理数据资产和业务场景是组织进行场景化数据安全治理建设的前提,可以帮助组织了解数据安全治理对象全貌,为组织场景化数据安全治理提供行动地图。目前,对业务场景的划分尚未有统一的标准,本指南根据对数据安全供应侧及需求侧的调研,将场景划分方法归类为基于数据全生命周期和基于业务运行环境两种划分方式。
(1)基于数据全生命周期的场景划分
基于数据全生命周期的场景划分是分别在采集、传输、存储、使用、共享、销毁各环节抽象出典型应用场景,如图3所示。
• 数据采集环节主要有个人信息主体数据采集、外部机构数据采集、数据产生等场景。
• 数据传输环节主要有内部系统之间以及外部机构之间的数据传输场景。
• 数据存储环节主要有数据加密存储、数据库安全等场景。
• 数据使用环节主要有应用访问、数据运维、测试和开发、终端安全、数据准入、数据分析、模型训练等场景。
• 数据共享环节主要有内部共享和外部共享等场景。
• 数据销毁环节有逻辑删除、物理销毁和数据退役等场景。
• 此外还有一些基础性的工作,如数据分类分级应该作为单独的场景纳入到整体的场景视图中。
图 3 基于数据全生命周期的场景划分
在组织实际工作中,业务场景较为复杂,一般涉及多个全生命周期环节,两者更多是如表1所示的多对多的关系。当组织从全生命周期环节出发划分业务场景难度较大时,也可以从业务的流转视图开始,分析其涉及到的全生命周期环节。其最终目的是建立业务场景与全生命周期环节的对应关系,便于形成基于数据全生命周期的统一安全管理。
基于数据全生命周期的场景划分方式,一方面能更好地契合当前法律法规中关于数据全生命周期的安全要求,一方面更加匹配当前主流的数据安全治理体系框架。
表 1 业务场景与数据生命周期关系示例
(2)基于业务运行环境的场景划分
组织的业务虽然各有不同,但是其业务运行环境的划分基本相同,据此可以将业务场景划分为:办公场景、生产场景、研发场景、运维场景等。还可以基于支撑业务运行的基础设置进一步细分为云、终端等场景,如图4所示。
图 4 基于业务运行环境的场景划分
基于业务运行环境的场景划分方式,一方面与业务的研发上线紧密关联,有利于场景的识别,另一方面兼容组织安全域的划分,有利于充分利用原有的网络安全能力。
2. 确定业务场景治理优先级
在业务场景梳理完成后,组织需要综合考虑监管要求、数据安全风险和业务发展需要,明确业务场景治理的开展优先级。
以上文提到的基于数据全生命周期的场景划分方式为例,数据分类分级是数据安全的基础性工作基本已经成为行业共识,随着行业数据分类分级指南的不断建立和完善,组织应跟紧行业发展步伐,前置数据分类分级工作的优先级。其次,数据采集环节中个人信息主体数据采集、外部机构数据采集等场景均涉及到个人信息权益保护,是当前数据安全合规出现问题的高危场景,容易影响组织品牌形象,因而需要优先治理。此外,数字经济的繁荣发展离不开数据的流通共享,随之而来的风险也在不断显现,对数据流通的安全保护势在必行,因而也应着重进行相关场景的安全建设。
3. 评估业务场景数据安全风险
评估业务场景的数据安全风险是指针对具体场景,综合考虑合规要求、数据资源重要程度、面临的数据安全威胁等因素,将数据流动过程的风险点梳理出来,并明确数据安全风险等级。业务方应根据此项评估结果,确定要进行整改的风险点,并将其作为数据安全治理建设需求的输入,为制定场景化数据安全解决方案提供依据。
4. 制定并实施业务场景解决方案
结合业务场景的数据安全风险评估结果,组织可以根据相关政策及标准要求,申请充分的资源保障,并制定可落地的解决方案。目前,对于部分场景,业界已经形成了一些公认的典型解决方案,例如在数据加密存储场景中使用加解密系统,并在算法的选择上避开不安全的 MD5、AES-ECB、SHA1 等算法;在终端场景下部署终端 DLP等。但更多情况下,组织需要根据实际情况自研解决方案或者甄选适宜的供应侧解决方案。
5. 完善业务场景操作规范
为规范业务场景日常的数据安全管理和运营工作,组织应督促业务部门在实施具体的技术措施后,及时完善组织整体数据安全制度体系中关于三级与四级的制度文件,如《数据导出申请单》《数据脱敏规则》《数据安全合规清单》等,以保持制度流程和技术落地一致性。
【结语】
为帮助企业度量其自身数据安全能力水平,发现数据安全治理能力不足,指明企业数据安全治理能力提升路径,中国信息通信研究院云大所数据安全团队(简称:云大所数据安全团队)牵头制定了行业标准YD/T 4558-2023《数据安全治理能力通用评估方法》。截至2023年底,已完成23家企业的25次数据安全治理能力评估工作(简称:DSG评估),参评企业广泛分布于金融、电信运营商、互联网、汽车等领域。
在评估测试基础上,云大所数据安全团队结合国家法律法规,行业监管要求以及同业最佳实践,为多家大型银行、保险机构、知名企业提供了咨询提升服务,协助企业开展数据安全治理体系建设。
2024年云大所数据安全团队将持续围绕数据安全治理话题,开展框架研究、技术探索、评估评测等相关工作,欢迎业内共同致力于数据安全治理研究的专家、学者、同人咨询数据安全治理服务及数据安全风险评估服务,共话数据安全治理,携手护航企业数据的安全利用。
行标首批贯标单位火热征集中!诚邀有意向的单位踊跃参与。
联系人:刘雪花 18500238315(微信同号)
#重磅!《数据安全风险治理成熟度评价模型》发布,征集首批预评估单位