龚诗然:数据安全工程师,中国信息通信研究院云计算与大数据研究所高级业务主管,目前主要从事数据安全及风险治理的理论研究工作,曾牵头多项数据安全标准编制,负责多家行业头部企业的数据安全治理咨询工作。
引言:中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》也将数据与土地、资本、劳动力、技术等并列为五大生产要素。数据作为生产要素参与到社会和经济发展中已经是大势所趋。同时,随着技术的不断发展,进入数字安全时代,任何不安全的行为和机制都有可能演变成风险、事件,安全的首要目标也从“不出问题”逐渐演变为“风险可控”。
针对近期部分银行保险机构的外包服务商发生安全风险事件,2023年6月金融监管部门下发《关于加强第三方合作中网络和数据安全管理的通知》再次强调了数据安全风险评估及应急处置相关要求。
数据安全风险防范与治理刻不容缓
基于关键要素识别,评估数据安全风险
这也是数据安全风险评估为何如此必要:风险自身的未知、动态属性要求组织对风险的识别、评估环节尽可能地前置化、常态化。这一点在国家法律法规也有体现:《数据安全法》针对数据安全风险也提出了数据处理者应通过开展数据安全风险评估对风险进行防范,业内也有多项标准明确了数据安全风险评估的基本实施流程,提供了实施风险评估的具体方法。可以看出,数据安全风险评估被认为是把控数据安全风险的一大重要途径,是科学有效的事前管理手段。
组织数字化转型加剧安全危机:数据作为新型生产要素,是实现业务价值的主要载体,它在流动中体现价值、创造价值,而流动必然伴随风险。结合云计算技术的发展,数据规模迅速增加、复杂的业务情境以及技术条件下的海量数据流转、数据存取方式演变导致数据访问管理暗藏风险、攻击手段日益多样化的现状,可以说数据的边界在哪里,业务的边界就在哪里,也决定了风险的边界在哪里。
在数据安全与业务场景的融合过程中,面向业务的数据安全风险治理虽然存在诸多挑战,以业务的视角去治理数据安全风险本身也是一种来自业务的需求,因此亟需完善面向业务的数据安全风险治理体系。
业内研究也充分佐证了这一点:诸多风险评估方法不同程度地提出了风险评估需要紧密结合组织的业务场景,数据安全风险的治理同样需要持续面向关键业务、数据处理活动,实现风险可控的安全目标。
数据安全风险治理的优越性体现在协同管控,面对组织日益复杂的数据生态具有优势。这一点在国际理论、业内实践中均有体现:业内相关研究多次提到数据安全风险的治理与组织风险战略保持一致,不应是点对点的扑救与应对。国内方面,近年受监管合规驱动,企业在数据安全风险治理上普遍存在痛点,治理需求激增。因此,数据安全风险的治理势在必行,亟需一套完善的建立数据安全风险治理的框架以及落地指引。
目前大多数组织的数据安全风险治理集中在对已知风险的评估与分析阶段,主要是对已知的安全缺陷进行挖掘,整体上缺乏全局视角与调优参考,对风险评估的结果应用也不甚充分,尚未形成一条可联动、可协同的治理链条。
数据安全风险治理的能力需要评价
更进一步地,由于数据安全风险治理的能力不仅是组织数据安全体系建设的重要组成,治理过程中发现的问题也是组织开展数据安全建设的输入。
如何评价组织的数据安全风险治理能力,并对其进行优化和调整,需要科学的评价模型支撑。组织可以通过课题研究、外部咨询或评估等多种方式,系统化地梳理自身关键业务系统、数据及数据处理活动,充分调研数据安全风险管理或技术保障措施等情况信息,并结合业内的数据安全风险评估与治理思路,从风险的识别、评估、处置、监控以及持续改进等环节入手,建立组织的数据安全风险治理体系,并参考业内风险治理相关的成熟度评价模型,持续规划自身的风险治理能力提升路径,从而实现事前明确数据安全风险关键要素,事中建立全面的数据安全风险治理流程,事后完善数据安全风险治理的监控与管理改进机制。
未来,中国信通院将持续从法律法规解读、同业交流分享、实地调研评估、理论课题共研、标准建立迭代、优质案例征集等多个方面开展数据安全风险相关的理论研究与实践工作,广泛听取业内学者、专家的意见,与业内各界积极研讨数据安全风险评估及治理的方法论,为广大组织提供数据安全风险评估及治理实践参考。
首批数据安全风险治理能力评估正式启动,试点单位正在征集中,欢迎各单位报名参与!
联系人:龚诗然
电话:15645106927(微信同号)
往期推荐
腾讯安全携手中国信通院云大所发布《数据安全治理与实践白皮书》