2022年2月28日下午,中国信通院、中国通信标准化协会大数据技术标准推进委员会(CCSA TC601)、数据安全推进计划(Data Security Initiative, 以下简称DSI)共同举办DSI第四期公开课《数据安全风险管理》。
中国信通院云计算与大数据研究所副所长魏凯对本次公开课发表了致辞,云计算与大数据研究所大数据与区块链部高级业务主管李雪妮主持了本次公开课。
魏凯介绍了DSI自2021年9月1日成立以来,在数据安全理论技术研究、数据安全评估评测服务、数据安全标准体系建设、行业交流平台搭建等方面的工作成果,表达了DSI作为公益性合作项目,依托大数据协同安全技术国家工程实验室、中国通信标准化协会大数据技术标准推进委员会、中国互联网协会数据治理工作委员会开展具体工作,打造健康规范的数据安全生态体系,全方位提升企业数据安全能力的成立愿景,最后对长期支持DSI各项工作的企业单位、专家个人表示感谢,期待DSI与各行业、企业单位携手共进,行稳致远,深耕数据安全,为国家数字经济发展保驾护航。
本次公开课邀请蚂蚁科技集团股份有限公司、中国电信天翼电子商务有限公司(电信翼支付)、贝壳找房科技有限公司、奇安信科技集团股份有限公司的数据安全专家作为分享嘉宾,对数据安全风险管理的相关理论、实践经验进行分享。本次公开课直播观看达1100余人次。
中国信通院工程师龚诗然介绍了近年陆续出台的数据安全法律法规,列举并分析了2021年两大类数据安全事件及导致事件发生的风险诱因,阐述了企业开展数据安全风险评估的必要性,解读了数据安全风险评估的总体框架,介绍数据安全风险评估的具体实施工作。
以下为《数据安全风险评估框架解读》PPT与分享内容。
2021年多部数据安全法律、法规、地方条例相继出台颁布。值得一提的是,《数据安全法》《个人信息保护法》均强调了数据安全对于促进数字经济健康发展的重要意义,明确了个人信息收集和处理应遵循的总体原则。至此,网络安全、数据安全、个人信息保护三部法律“三位一体”的格局正式形成,不仅标志着我国安全法律保障体系的进一步完善,也意味着国家对数据处理者的数据安全防护、个人信息保护工作提出了新的指导与要求。
然而,通过盘点、分析2021年两大类数据安全事件,可以发现当前数据安全合规面临两大类问题:
(一) 用户个人信息使用的知情权、选择权频遭侵害
通过亚马逊、WhatsApp等案例可以发现,用户对于其个人信息的使用情况是否享有知情权、选择权是各国监管部门关注的焦点。企业通过用户点选“同意隐私政策”的方式,实现了用户个人信息数据的“一揽子”收集与权限获取,却未能履行基于特定、明确、合法目的收集、利用用户个人信息的义务,或者在达成相应目的后未能及时删除数据,致使用户隐私泄露,这属于对用户个人信息权益的严重侵害。
此外,部分企业在产品迭代过程中调整了个人信息数据的获取范围,但未能同步更新隐私政策并告知用户,或者未能建立有效的用户个人信息安全投诉、举报渠道与制度流程,同样面临潜在的合规问题。
(二) 企业重要系统的安全“防线”尚存缺陷
通过Bitmart、Pearson等案例可以发现,虽然各国监管部门对于企业数据泄露事件的责任主体、责任划分、法律适用性等方面尚不统一,然而企业作为数据的持有者,如果未能对涉及重要业务数据、用户敏感数据的信息系统进行重点安全防护(如:定期漏洞扫描、开展安全走查与评估等措施),或者未能及时发现、阻止内部人员的“泄密”、“失密”行为,最终导致数据泄露事件发生,同样难辞其咎。
关于如何管理数据安全风险,保障个人信息主体权益,《数据安全法》明确提出了促进数据安全检测评估、认证等服务发展,强调了开展数据处理活动过程中加强风险监测,发现风险或事件时补救与报告机制,其目的是支持社会各界在数据安全风险评估、防范、处置等方面开展协作。这意味着数据处理者无论通过自评估还是第三方评估,都应尽快建立数据安全风险管理的全流程机制,尽早识别风险,发生事件及时补救与报告,承担数据安全义务。
然而,由于数据形式多样、流转环节复杂、分布位置广泛、敏感数据所涉人员众多,数据处理者在数据安全风险管理的过程中,主要面临用户个人数据处理不当、重要系统数据泄露、对外发布内容治理失当三大潜在问题。
基于前述的案例与问题,我们将数据安全风险管理的思路总结为“以法律的遵从性为准则,围绕数据全生命周期的安全开展,关注过程中的用户个人信息权益保护,兼顾业务侧的合规安全风险”。
据此,中国信通院建立了数据安全风险评估框架,并推出了数据安全风险评估服务。评估工作分为风险识别与风险分析两大阶段,风险识别阶段涵盖了系统管理安全、系统数据安全、系统应用安全三个维度:“系统管理安全”指对系统本身的安全风险情况进行评估,从管理与技术两个角度入手,从最常见、高发的安全风险问题切入,重点关注系统相关的人员管理安全、系统及云服务的基础安全能力等问题;“系统数据安全”指对信息系统所涉及的数据的全生命周期安全风险情况进行评估,主要评估数据收集、传输、存储、使用、共享、销毁这些过程中数据处理者所采用的技术防护措施与管理约束的有效性。其中,用户个人信息作为一类常见的敏感数据,将结合用户权益保障方面的内容被单独评估;“系统应用安全”指系统在企业对外发布的内容安全风险管理,主要评估系统对外发布的内容合规性、个人信息安全事件发生的管理程序有效性等。风险识别这一阶段的工作重点为全面地识别系统面临的安全风险,并与现行的法律法规要求进行对标,提供差距分析与改进建议。
风险分析阶段将基于三大方面各项内容的评估情况,通过分析风险概率与影响范围,量化风险等级,结合数据处理者针对各项风险的预期整改成本,进一步量化风险整改优先级,最终帮助数据处理者对风险及其所需资源做到“心中有数”,实现数据安全风险管理的“三步走”(识别-判断-整改)。
数据安全风险评估框架是通过广泛参考、对标我国现行的数据安全法律法规、国家标准,对国家多个监管部门所提出的具体要求进行了拆解与匹配,并充分体现在具体评估内容与实施方法中。评估的具体实施方法包括文档查验、人员访谈、系统演示、旁站验证、漏洞扫描等,评估数据安全风险现状,验证数据安全风险防护有效性。
数据安全风险评估服务作为轻量级的评估服务,其聚焦于系统级的数据安全风险,紧跟国家法律政策趋势,提供了更易操作的评估方法与更量化科学的管理对策。
数据安全风险评估服务的意义在于“以评促建”,一方面帮助数据处理者发现、分析风险,预研风险对策,另一方面通过咨询或参与“数据安全推进计划”沙龙活动,向数据处理者提供业内先进的管理经验、实践,提升组织的安全风险认知。
