(上海观安信息技术股份有限公司,上海 264001)
0 引言
随着网络信息技术创新持续进步和发展,我国的数据规模不断扩大。在以数据为关键生产要素的数字经济发展历程中,数据要素凭借边际成本低、规模效应大、流动性高、可复用性强等区别于传统生产要素的新特点,对我国的产业上下游的融合贯通和产业数字化升级起到了关键作用。
数据资源目前已成为国家基础战略资源,数据确权、数据安全、隐私保护等问题也随之受到高度关注。随着数字化新技术、新业务的不断引入,衍生出对数据安全的新挑战。数据安全挑战主要来自数据合规的满足和数据安全风险防范。
目前,电信行业作为国家支柱性行业越来越重视数据安全合规,电信行业监管单位对数据安全合规的技术手段、综合管理手段也相继提出了更多要求。保障数据安全、确保业务稳定运行,已经成为每一个电信企业应该严格遵循且持续保障的重点[1]。
1 数据安全合规治理概念
在分析电信领域数据安全合规治理的主要内容之前,需要先澄清两个基本概念,数据安全合规和数据安全合规治理。
1.1 数据安全合规
数据安全合规指企业及其员工对于数据各种处理活动,包括收集、存储、使用、提供、转移、共享、发布、转让、删除、销毁、跨境或非跨境传输、流动等保护的行为需符合国际条例和国内安全相关的法律法规,以及其他规范性文件、行业准则、商业惯例、社会道德以及企业章程、规章制度的要求。企业数据可分为个人数据与非个人数据,前者是指具有可识别性的个人信息,如员工数据与客户(用户)数据,后者是指与个人无关的数据,如企业经营数据、日常管理数据、财务会计数据等[2]。
1.2 数据安全合规治理
数据安全合规治理是从组织最高决策层到执行层自顶而下覆盖整体组织管理架构的一套满足数据安全合规的解决方案,包含了数据安全相关管理制度、流程、技术工具到人等的支撑层面,而组织内的各层级、各部门均需要对数据安全合规治理的目标达成一致意见,有利于内部相互协同并采取适当的措施保护数据资产安全。
数据安全合规治理理念主要围绕“人员、流程、技术”三个核心能力领域,延伸到具体电信企业的合规控制要求,从三方面(即安全管理与运营合规、安全技术合规、大数据组件基线合规)来展开工作,与现有安全框架体系或标准协同合作来实现治理目标。数据安全合规治理是以“让数据在各种数据处理活动过程中满足各种合规要求”为目标,通过组织人员完备、策略规程制定、技术工具支撑等能力要素实现的数据安全体系化的方法论。
总体而言,数据安全合规治理的方法论和组成要素来自于数据安全治理,合规治理活动也贯穿于数据安全治理[3]。
2 电信领域数据安全风险和合规挑战
电信行业是全球数字化进程的先行行业。随着数字化进程的迅猛推进,数据安全风险暴露面、攻击面越来越广,再加上数据价值的提升和数据市场的发展,围绕电信领域的各种数据安全风险如数据泄露、数据窃取、数据非法交易、数据滥用及其他数据安全事件愈演愈烈[4]。
2.1 电信领域数据安全风险
大数据给电信领域带来新的业务形态发展机遇,但随之而来的是数据的集中化管控、数据供应链的复杂化、数据开发利用的普遍化、平台组件的开源化等新技术特点和新业务形态应用,也给业务发展带来了新的安全问题。电信领域数据安全主要面临如下风险。
(1)数据集中化管控安全风险
在电信企业大数据平台中,集中存储有不同安全域的业务运营数据、企业管理数据、用户相关数据、网络与系统的建设及运行维护类数据等各类电信数据。一旦这些数据的集中管控风险转化为安全事件,则可能涉及大量电信用户敏感信息和其他类型敏感数据遭受泄露或破坏,从而有可能带来相关敏感数据和个人信息保护的安全违法违规风险。
(2)电信企业特定数据处理活动场景下的安全风险
电信企业客服门户网站、小程序数据收集、存储和使用场景下存在以下安全性风险:数据传输过程中安全风险、数据存储和使用环境云化和虚拟化安全风险、数据使用和加工过程安全风险、电信数据跨主体流动安全风险、API数据访问接口安全风险、电信数据出境安全风险等。
(3)数据存储和使用环境云化和虚拟化安全风险
越来越多的电信企业大数据部署在云资源池、云存储环境中,再加上电信的存储环境和计算环境的虚拟化,导致攻击者可以利用已有的虚拟主机使用权限,对同一虚拟化平台和网络上的其他虚拟主机进行非法访问、嗅探和攻击等,从而因为数据集中化部署和虚拟化环境带来隐患产生数据泄露、数据丢失等风险。
(4)平台组件开源化安全风险
电信企业大数据平台普遍采用了Hdoop、Spark、HDFS等开源组件和系统,但由于开源系统高效的数据处理能力会容易以系统安全功能相对缺乏为代价,一旦开源系统的组件中出现漏洞、后门、Bug,并且没有及时发现和修补,容易产生攻击者非法利用对大数据平台进行数据窃取等风险。
(5)数据使用和加工过程安全风险
存在违反法律、行政法规规定的目的和范围使用加工数据,导致数据越权使用、使用权限混乱、数据过度获取、信任滥用威胁、分析结果滥用、违规操作的风险。
(6)数据跨主体流动安全风险
电信领域敏感数据跨部门、跨主体流动,如双方没有签订数据安全保密协议、数据安全跨部门流动安全保密措施不当,均可能存在发生敏感数据泄露、丢失等风险[5]。
(7)API数据访问接口安全风险
电信领域由于业务的快速发展和迭代,电信企业无法完全掌握API的应用情况、业务与安全存在割裂现象,容易导致API接口的凭据失陷、越权访问、数据篡改、违规爬取、数据泄露等诸多安全风险产生。
(8)数据出境安全风险
电信企业数据会因为业务出海涉及一定的个人信息、重要数据、电信数据跨境访问需求,在数据跨境过程中随之会带来一定的数据安全风险。
2.2 电信领域数据安全合规挑战
(1)电信领域数据安全合规监管的加强带来难度增大
电信领域大数据业务发展过程中必然伴随着数据安全合规挑战。数据安全合规是直接关系到电信业务运营顺利进行的重要因素。目前,电信企业为实现电信数据安全合规持续展开对大数据安全防护管理及技术手段建设,并且持续查找大数据系统平台运营的安全薄弱环节和隐患。对于电信大数据运营平台、数据安全治理体系满足国家法律法规和电信行业规范要求及集团管理要求的合规性遵从方面也做了很多工作。
电信企业亟需通过主管部门的安全合规检查监督,掌握电信数据安全管控现状。
电信行业主管部门近些年密集开展了国家数据安全法律法规和电信领域相关的管理规章的编制和监管/执法工作,由于数据安全是一项复杂的系统性工程,涉及规范、标准众多,数据安全标准解析与落实难度加大,对企业数据安全领域的人员水平与经济投入提出了更高的要求。同时,需要更好地平衡业务发展与数据安全的关系,以避免因数据安全能力建设不足,导致企业业务发展过程中遵循数据安全合规监管的难度加大。
(2)数据安全风险防范难度持续升级,合规管控难度随之增加
电信领域数据安全风险的源头可能由于内部人员的恶意行为、失误操作或设备故障导致,也可能因为外部黑客的恶意攻击导致,包括采用恶意软件、安全漏洞、社会工程学等手段或多种手段的组合,这为数据安全风险的防范带来一定难度。
随着电信领域网络形态不断演化,新技术、新应用场景日渐复杂,不断涌现出新的数据类别、数据生产和处理方式等,从而引发新一轮的数据安全事件,而对于新型安全风险的研究和防范能力目前还有待提升,安全挑战不断加剧。
此外,传统网络安全边界的模糊化,使得传统安全防护体系不再能满足当前跨组织的数据流通安全等数据安全治理需求,多方面因素导致满足数据安全合规的管控难度持续升级。
(3)电信领域数据处理场景趋于复杂,数据安全保障难度增加
在电信领域数据处理活动过程中,数据处理主体和数据技术手段日趋繁杂,且数据流动范围越来越广,数据跨境传输需求也越来越多,数据活动场景趋于复杂,也提升了数据安全的管控难度。一是互联网技术日新月异,技术和产品不断快速迭代中探索全新的数据处理模式,对数据安全技术和管理流程的革新速度提出了更高要求;二是数据规模极速增长、数据类型与数据形态变化多样给数据安全识别与防护的时效性、可靠性带来挑战;三是数据处理环节繁杂众多,数据流通、应用及共享过程当中涉及了众多数据处理主体,为数据安全策略管理和数据泄露定责带来困难[6]。
3 电信领域数据安全合规需求
3.1 满足监管合规要求
从满足运营商数据安全监管的要求出发,电信领域数据安全防护体系需要包含多种安全能力,贯彻落实法律法规、电信行业数据安全规章如《工业和信息化领域数据安全管理办法(试行)》,以防滥用、防泄露作为数据安全核心需求,建设针对数据分类分级、敏感数据识别和梳理、数据安全审计、数据流转监测、数据溯源、数据防泄露等安全防护技术支撑体系,满足电信企业网络数据安全合规性评估要点等技术内容,符合电信企业网络与信息安全工作考核要求中关于实施数据分类分级管理并强化电信企业大数据安全合规性要求。
3.2 满足电信业务安全和合规需求
从满足电信业务数据安全和合规需求出发,需要建立电信领域以数据为中心的涵盖各数据处理活动各环节的防护机制。在各数据处理活动过程中,提供相应的数据安全技术保障,如数据分类分级、数据识别和梳理、身份鉴别、访问控制、数据加密、数据脱敏、数据溯源、数据备份和恢复等,全方位提升核心应用、业务及数据安全防护能力,有效应对外部攻击和内部泄露,构建面向数字时代的新一代主动安全防护体系[7]。
4 电信领域数据安全合规治理工作建议思考
对于电信领域数据安全合规治理作为一个系统化工程的展开,聚焦组织、流程、技术、人员等方面,从讨论对齐、体检分析、诊断治疗、持续监护、执行监督等维度进行综合考虑,建立数据可知、风险可视、体系防护、持续有效、不断提升改进的数据安全合规治理体系,笔者提出了以下建议。
4.1 以数据安全合规遵循为逻辑起点
根据法律法规、行业规章和电信领域合规遵从情况,基于行业与现行互补、兼容,并推陈出新,同时注重与国内政策的体系化综合运用,以合规遵循作为电信领域数据安全治理的逻辑起点,全面开展满足电信领域数据安全合规为核心的数据安全合规治理工作。在此基础上,电信企业应建立电信领域的数据安全合规遵从知识库,该合规库的组成应该包含安全法律法规、电信行业行政规章、集团总部数据安全管理要求、商业协议等。所有不同合规条款都应该经过融合成为一套有机的去重后的数据安全合规体系。
4.2 绘制电信领域数据资产安全现状,明确安全合规治理目标
依据国家法律法规、电信行业安全规章,通过调研访谈、文档审阅、现场核查、技术检测、流程查看等方式,从管理体系、技术体系、运营体系、数据处理活动等方面开展数据安全现状分析,评估差异与不足,量化安全合规差距。集合多个业务系统的调研结果,掌握组织数据安全全局现状,找出数据安全合规问题,明确安全合规治理目标。
4.3 开展数据安全合规性评估和数据安全风险评估
电信企业可根据数据载体类型、数据内容属性等信息定期开展面向电信领域数据资产平台、个人信息、APP、大数据、云平台等各类信息系统平台或对象的安全评估活动。
首先,从业务视角出发,对业务应用现状进行调研,对业务流程进行分析。
其次,围绕数据处理活动各环节的数据分布、处理活动类别、业务场景中的数据流、数据流转环节及管控措施等酌情梳理、搜集与分析,针对业务各系统及数据资产全面开展评估梳理工作,梳理并绘制数据资产安全全貌,并形成数据资产台账、数据安全管理规范矩阵。明确大数据平台数据各活动场景中数据重要程度等内容。
再者,在数据资产识别和数据处理活动识别基础上进行合规性问题分析和数据安全风险分析,结合对数据安全措施的分析,找出主要业务所面临的管理、技术及运营合规问题和风险[8](见图1)。
最后,基于数据安全合规性评估和风险评估结果建立符合业务所需的安全合规性治理策略和风险管理策略。
4.4 完善安全管理制度与流程,构建安全合规管理体系
坚持数据安全合规治理中“七分管理,三分技术”原则,根据电信企业的数据资产信息情况,从组织架构、安全责任框架、运行机制、风险管理、内控措施等方面建立电信领域数据安全合规管理体系和合规内在驱动力。首先,构建从数据安全战略、管理层到执行层自顶向下的满足电信领域数据安全合规管理架构。其次,明确各种数据处理场景的数据安全管理机制,把安全管理制度和包含的控制措施建立在业务流程基础上,业务流程建在业务系统基础上,把数据安全的控制思想贯穿到业务流程中,体现在微观层面就是数据处理活动的每个过程。让合规要求落实到数据处理活动的每个环节、每个场景和每个人,使数据安全合规建设从被动转变为主动。最后,建立数据安全合规遵从的思路和策略,使数据安全合规遵从持续满足法律法规要求及业务发展需要,形成包含制定计划、评估安全、执行解决方案、总结经验各环节的数据安全合规闭环管理流程,使数据安全合规管理工作有序发展、安全能力逐步提升。
4.5 构建数据安全技术支撑体系
以组织电信领域数据安全建设为基础,围绕数据处理活动的各项安全要求,实现与制度流程相配套的包括数据加密、数据备份恢复、数据脱敏、数据溯源、数据防泄露、数据库审计、数据流动监测等类型技术在内的数据安全技术支撑体系。将数据安全保护能力与合规性遵从工作中的关键节点自动化、工具化,并逐步迈向智能数据安全管理,具体如下。
通过数据安全管控平台、数据安全态势感知系统等手段进行集中化的数据安全全域态势、风险和事件监测与管理,全面掌握全域敏感数据资产分类、分级及分布情况,有效监测敏感数据流转范围和动态流向;通过集中化数据安全管控手段,实现数据安全态势感知风险识别和合规满足程度能力。
在完整的安全技术支撑体系基础上,才能对贯穿于各种业务流程和数据处理场景下的数据安全风险程度和合规满足度进行全面掌握。之后,通过可防、可控、可查、可审、可见的统一的数据安全态势监测和审计机制实现数据安全监测与审计能力。
4.6 加强人员能力培养,提升安全合规运营保障能力
电信领域数据安全合规治理需要多元主体共同参与,其中人员是数据安全各项要求有效实施的基本元素,也是安全风险的重要产生来源,因此需要以下举措来实现对人员的能力提升。
一是需要建立电信企业人员安全意识培养机制,通过定期开展数据安全合规培训,将法律法规、标准规范、案例事件等进行宣贯,逐步提升人员对数据安全的价值认识和威胁识别能力。
二是需要加强合规治理参与人员的技能培训,对不同岗位的人员制定科学合理的培训计划,按照必备优先,先基础、后专业、再全面的原则,逐步提升人员的专业技能。
三是需要建立应急演练机制,通过定期或事件触发机制,对实际业务场景中的各类风险主题的处理方式、协作流程及响应机制等进行模拟演练,确保安全措施落实到位,安全处置流程正确有效等,全面提升数据安全合规治理运营保障能力。
4.7 形成电信数据安全合规核查体系
电信企业在监管部门和集团总部监督指导下通过集中开展数据安全合规性评估核查,监督基础电信企业强化数据安全风险管理,及时消除重大数据安全风险。电信企业可将网络数据安全责任和数据安全合规评估落实情况纳入基础电信企业安全责任考核检查范畴,并持续开展对重要数据、个人信息、电信敏感数据泄露等网络数据安全和用户信息安全事件监测跟踪,从而了解并掌握电信企业数据安全合规遵从现状,并通过开展电信数据安全合规核查工作,持续优化、改进和实现对电信领域的数据安全合规要求,形成数据安全合规核查体系。电信企业可定期对大数据平台及业务应用部门开展数据安全合规专项核查。
电信领域的数据安全合规核查体系的建立可由数据安全管理与运营合规核查、数据安全处理活动合规核查、大数据组件基线合规核查等部分组成。因篇幅缘故,本文不做赘述。
4.8 建立持续运作、不断优化的数据安全合规治理体系
电信企业为全面掌握数据安全管控现状,电信企业需以数据处理活动场景为线索,选取数据合规治理体系中关键的数据安全合规核查内容,从电信企业内部对数据安全关键流程实施管控。
电信企业可以根据组织的数据安全规范要求,选取适合对数据安全合规治理体系进行持续监督检查的采集项,组成数据安全合规核查规范,并通过后续手段,对数据安全合规治理的采集项进行长期监督,使数据安全合规治理体系持续运营,并通过梳理资产、数据、用户、权限等要求,指导安全技术、管理、运营能力不断体系化的持续升级和改进。从而在持续合规核查和监督的基础上持续优化和提升数据安全合规治理能力。
5 结束语
电信领域的数据安全合规治理建立在电信企业的数据安全管理工作内容和实现基础上,在这个过程中需要达到业务运营与安全合规治理之间的平衡。在具体实施方面,以数据安全合规为逻辑起点,对企业的安全组织和制度规程能力、安全运营能力、安全技术能力三方面进行建设,提供可落地的数据安全合规综合且正向循环解决方案。在运行维护过程中,进行合规性评估、风险评估、监督审核和持续改进,帮助企业建立起数据安全合规“评估—优化—改进—监督”正向循环体系,实现电信领域数据安全治理体系完善、数据有序流动的新局面。