(中国信息通信研究院安全研究所,北京 100191)
0 引言
2020年,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》发布,进一步提出要培育数据要素市场。在此背景下,数据作为新的生产要素,成为推动数字经济快速发展的首要推动力。2021年,《中华人民共和国数据安全法》(简称《数据安全法》)和《中华人民共和国个人信息保护法》(简称《个人信息保护法》)相继颁布实施,我国数据安全顶层设计基本明确,数据安全被提到了非常重要的高度,与国家安全有着紧密的联系。遵守数据安全法律法规政策要求,切实防范数据安全风险,成为组织数据安全合规体系建设的核心目标。本文提出了以合规为驱动的数据安全体系建设框架、实施流程,以及数据安全组织架构体系、管理制度体系、技术体系框架。
1 现状分析
当前,各项数据安全法律法规制度和监管体系正日趋完善,但数据安全法律法规政策的落地实施是一个逐步推进的过程,组织机构数据安全合规体系建设面临的挑战将长期存在。目前,各行业组织机构的数据安全合规体系建设正处于发展阶段,在组织体系、管理制度、技术手段等方面面临着诸多挑战。
针对以上挑战,国内外相关学者围绕数据安全合规体系建设提出了一系列体系模型,其中最具行业影响力的三个模型,分别是微软的DGPC框架、Gartner的DSG框架和阿里巴巴提出的DSMM框架。
DGPC框架是以隐私、机密性和合规为目标的数据安全体系框架[1],主要是以方法论的方式明确数据安全建设的目标主要关注数据生命周期和核心技术,但缺少对数据生命周期各环节落实数据安全工作的步骤和说明。
DSG的最大亮点是提出了数据安全的建设需要和业务紧密结合,在开展安全工作时需要充分考虑业务的可发展性,在安全与业务需求上寻找平衡点[2]。
DSMM框架由三个维度构成,分别是安全能力、能力成熟度等级以及数据安全过程。安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。能力成熟度等级分为了5级,安全能力从1~5级依次增强。数据安全过程维度分为数据生存周期安全与通用安全两个方面,30 个过程域(Process Area)和576 个基本实践(Basic Practice)[3]。此框架要求较全面详细,但对于中小型组织实现起来较为困难,在成本有限和业务安全需求复杂的场景下实施难度较大。
2 数据安全合规体系框架
本文提出了数据安全合规体系框架,以数据分类分级为基础,通过梳理合规和安全需求,进行差异化管控。从发现问题、整改建设到监督检查形成闭环迭代优化,同时建设内容覆盖人员、制度、技术以及环境,并对每一个阶段进行了定义,很好地过滤冗余的工作,提高了效率。数据安全合规体系框架如图1所示。
图1 数据安全合规体系框架
数据安全合规体系建设框架是数据安全建设工作的总体蓝图,首先依据合规评估、风险评估、个人信息影响评估等对组织现状进行调研摸底、差距分析,发现安全隐患,其次根据调研中发现的问题为切入点,从数据安全组织、安全管理、安全技术等不同维度进行整改,完善数据安全能力,最后加入监督检查机制对安全能力的落地和实施进行持续监督,从而明确下一步工作步骤,实现组织数据安全体系的持续优化、螺旋上升。
框架纵向自上而下分别是数据安全组织体系、数据安全管理体系和数据安全技术体系。组织体系是整个体系的总体纲领,要明确数据安全体系的组织架构、权责划分、基本原则、总体思路等大方针、大策略;管理体系是指组织体系大方针指引下的管理制度体系,建立金字塔式逐层向下细化的管理文件体系,规范和指导安全工作的有序开展;技术体系层就是对以上纲领、制度体系的落地实施,部署相关技术措施、手段来保障组织整个数据处理活动的安全。总体来说,是自上而下逐层落实的关系。
数据安全合规体系框架目标确定后,在实施具体的数据安全体系建设工作时,可采用图2所示步骤开展。
(1)准备阶段
准备阶段的主要工作是确定合规依据、建立团队、制定计划、明确建设目标和范围、收集相关资料,确定总体工作方针。
合规依据的确定,需要根据组织业务所在行业、所属地域等,分析相关数据安全法律法规、政策文件、标准规范等文件,为每个客户建立所应遵守的数据安全合规清单。评估的范围和目标方面,需要根据组织的业务与系统特点,确定评估的对象、重点关注的数据等内容,确定组织的合规目标,制定出合规评估的要点和细项。此外,数据安全工作组织难度大。数据安全建设涉及多个部门,需要多部门协同分析,合理分配,共同承担。因此,项目团队需要通过组织最高领导人的授权,赋予团队负责人随时协调组织内部部门的权限。
图2 实施方法流程及各阶段主要活动
(2)调研阶段
准备阶段即数据安全初评阶段,目的是明确当前组织数据安全工作现状。
此阶段通过问卷调研、现场访谈、文件核查等方式开展,进一步了解组织网络架构、系统部署情况等,形成记录文件,如基础信息收集调研问卷、现场访谈记录,以及业务场景和系统数据处理活动梳理等。为后续的差距分析做准备,这个过程根据差距分析情况,也可能会有重复,如果分析过程中发现不清晰的地方,会进行再次调研确认。
(3)差距分析阶段
差距分析阶段主要分析现状与目标之间的差距,给出整改建议。
此阶段将调研结果与第一阶段制定的目标进行对比分析,对组织的总体、数据处理活动、技术能力三方面的安全保护能力做出评价,形成差距分析表。
(4)整改提升阶段
整改提升阶段依据整改建议,改进和完善组织架构、制度规范、技术能力。
此阶段从组织、管理和技术三方面分别进行架构和完善。本文将分别对组织体系、管理体系和技术体系的建设方法进行展开介绍。
(5)复评总结阶段
复评总结阶段总结建设完善后的效果,输出评估报告,制定后续工作提升方案和工作计划。
此阶段对整个合规体系建设工作进行分析和总结达到以下三个目标:一是综合评价组织数据安全合规总体水平和关键业务系统数据安全管控技术能力;二是清晰呈现数据安全合规体系建设与提升过程;三是明确提出后续数据安全工作方向和步骤。
通过以上过程,满足数据安全合规目标,同时提升组织总体数据安全水平。
• 数据安全合规体系建设三要素之一——数据安全组织体系
数据安全组织体系在整个数据安全合规建设中起着至关重要的作用,组织体系确定后,可以明确人员权责,覆盖数据安全保障工作的全过程,避免人员权责分配不合理,导致无法有效开展数据安全工作。
数据安全合规建设中首先要明确数据安全组织架构,明确各相关部门所处的层级和相应的职责(见图3)。决策层主要由组织一把手负责、业务及技术部门领导共同参与,成立数据安全管理领导小组,主要职责包括决策和授权的工作。管理层指派数据安全负责人,负责组织数据安全管理的工作,同时各部门、各业务的负责人也要参与。执行层主要由数据安全运营、技术团队、运维团队组成进行,数据安全相关要求、流程、制度以及日常审核等工作。监督层主要由审计部门组成,监督数据安全管理制度的落实等情况,以及各阶段的审计、评估等工作。参与层包括公司所有员工及部门。
建立数据安全组织体系的基础上,要明确部门间的权责边界,组织架构映射出的责任分配表如图4所示。
安全部门负有安全监管职责,负责策略规划、监督管理的落实执行,牵头负责能力建设、管理制度建设、安全运营管理与安全意识宣贯等工作。
• 数据安全合规体系建设三要素之二——数据安全管理体系
数据安全建设是一项需要多方联动型的复合型工作,在开展管理体系建设时,需考虑组织层面实体的管理、执行团队以及虚拟的联动小组,所有部门均需要参与数据安全建设当中。
图3 数据安全组织架构
图4 组织架构与部门权责映射矩阵图
在管理体系建设方面,本文根据行业的最佳实践给出了管理制度体系“金字塔”,如图5所示,总体分为四个级别,分别是一级战略方针,二级管理制度,三级规范和流程、四级执行文件以及相关记录,自顶而下,逐层细化。
图5 制度体系
一级文件战略方针明确组织管理要求、目标及基本原则,一般是“数据安全管理办法”文件呈现,其地位是组织的数据安全基本法。
二级文件管理制度是细化数据安全管理办法中的相关要求,同时考虑科学性、合理性、完善性和适用性,常见的有组织架构、人员安全管理制度、权限管理制度等。
三级文件规范和流程是对二级制度文件的落地性实现,包括各业务、各产线的具体操作指南和规范,主要文件有分类分级规范、脱敏规范、使用规范、开放共享审批流程等,指导数据使用者在各场景、各阶段的规范操作。
四级的执行文件以及相关记录可以分为协议文件类、报告类以及清单记录类,其中报告类和部分清单类记录还应体现出周期性,用来实现制度文件中的相关要求。
• 数据安全合规体系建设三要素之三——数据安全技术体系
数据安全技术体系建设过程中要兼顾数据全生命周期分级安全管控和数据安全管理策略实施两大方面的需求。
生命周期分级安全管控方面,主要依据不同安全级别数据的分级保护要求,执行差异化的数据安全管控策略。首先要确定技术保护要点,即数据处理活动各阶段主要关注的技术防护需求和目标。比如,在使用加工场景环节,需要关注数据脱敏、滥用防范、导入导出管控等需求。数据提供、公开环节,主要关注如何防止数据在共享过程的泄露问题、如何在保护数据机密性前提下解决数据孤岛问题等。
在明确数据安全保护要点需求的同时,还要兼顾数据安全管理各层次的安全需求(见图6)。监督管理层需要掌握总体数据资源情况以及集中管理、数据安全管理状况、数据安全运行情况、策略统一下发等,因此需要建立监管中心等技术手段,通过态势感知、流向地图等形式,实施监控全局,发现问题、解决问题。在保护执行层,需要针对内部风险和外部风险进行保护,分别对应到内部域和外部域的保护策略。能力支撑层需要为上层监管和保护策略提供基础安全能力,支撑数据流转和使用过程中的机密性、完整性、可用性,比如数据加密、脱敏等基础安全能力。
图6 以数据安全能力为中心的技术框架
技术体系建设和部署的第三个重点是在需求明确的基础上,部署数据安全技术工具,在这些技术工具上做配置时,依据数据安全级别来配置差异化的安全策略。
3 应用案例
3.1 背景
某省为加快构建新发展格局,全面深化改革开放,坚持创新驱动发展,推动高质量发展,深入实施网络强国、数字中国战略,以深化“放管服”改革优化营商环境为主线,以利企便民、激发市场活力为目标,以提升网上政务服务能力为突破口,全面推进政务流程再造、业务模式优化、履职能力提升,统筹推进政府职能从管理型向服务型转变,全面推行“一网通办”“一网统管”“一网协同”的政务综合性平台。
3.2 面临的问题
平台汇集了多个厅级部门、供应商、团队和系统。但尚未形成统一的管理体系、各运营部门间没有做好安全协同工作,因此在使用的过程中用户面临安全隐患。
隐患一:安全能力覆盖面不足,无法有效覆盖关键系统。
隐患二:数据安全建设缺乏常态化、持续化的运营来应对业务系统变化、数据安全需求变化、技术能力更迭带来的新型挑战。
3.3 解决方案
平台规模较大,涉及的关联方、供应商较多,需要专职的数据安全团队统筹和协调数据安全工作。组织应建立数据安全组织架构,架构中建议邀请组织一把手担任决策者身份,保证数据安全工作的顺利开展,各部门责任人担任管理者、组长担任执行者、数据安全或审计人员担任监督者等,同时对其数据安全责任进行有效划分。监督相关人员应定期对数据安全相关制度落地有效性进行监督检查,组织数据安全负责人定期开展数据安全制度文档的宣贯工作,增强组织人员的数据安全意识。
落地实施过程中,各部门负责人应根据所属部门负责的系统或业务的范围,使用数据识别能力梳理各部门产生、存储的数据类型,并按照组织统一的数据分类分级规范对部门涉及的数据进行定级,形成数据分类分级清单。梳理敏感数据的流向,发现敏感平台或系统,发现数据关键位置,重点部署相关技术措施,并进行实时监测与预警。
3.4 实施效果
数据安全组织架构、管理制度、技术能力及运营环境满足了《数据安全法》《关键基础设施安全保护条例》及政务数据政策相关要求,同时建立了基于数据分类分级的纵深风险防控体系,实现政务数据安全识别、风险监测与追溯管理,健全完善政务网络数据资产梳理与分级分类,实现数据流转动态监测、数据安全风险源头分析与定位,提升某省政务数据安全监管水平和数据安全防御能力,实现针对政务平台的数据安全风险监测、通报和处置。通过本项目实施,一是数据安全监管能力显著提升,可掌握该省重要数据资产管理情况,实时监测数据安全风险,并具备可追踪溯源的能力;二是全省政务数据安全事件显著减少,市级各单位数据安全和个人信息保护意识明显提升。
4 结束语
本文提出了一种覆盖全面、可持续优化、便于操作的数据安全合规体系框架,阐述了面向组织合规及风险管控目标,围绕数据安全体系规划与建设的实施流程以及各流程阶段的主要工作,并对建设的组织架构、制度体系、技术框架进行了论述。
随着《数据安全法》《个人信息保护法》的正式实施,组织应建立健全数据安全合规体系,提高数据安全管控能力。数据安全合规体系建设通过建立合规体系框架、确定实施路径,以及对其安全能力的持续监督来指导数据安全工作。同时,同态加隐私计算、区块链、量子计算等技术的发展与实践,更加夯实数据安全能力底座,兼顾业务发展与数据保护的平衡。