信息化觀察網(wǎng)

搞清楚數(shù)據(jù)安全要解決哪些問題、大數(shù)據(jù)時(shí)代下解決這些問題所面臨的主要挑戰(zhàn)，就可以梳理數(shù)據(jù)安全治理的核心思路了。簡(jiǎn)單說，數(shù)據(jù)安全治理可以遵循“以數(shù)據(jù)為中心、以組織為單位、以能力成熟度為基本抓手”的原則。

1、以數(shù)據(jù)為中心

以數(shù)據(jù)為中心，是數(shù)據(jù)安全工作的核心技術(shù)思想。人們比較習(xí)慣的是以系統(tǒng)為中心的思想，即圍繞著一個(gè)數(shù)據(jù)庫、一個(gè)產(chǎn)品、一個(gè)網(wǎng)站、一個(gè)服務(wù)器等評(píng)價(jià)其安全性。

這種思路主要適用于保護(hù)一個(gè)特定系統(tǒng)的正常工作狀態(tài)。但是在今天，數(shù)據(jù)在多個(gè)系統(tǒng)、產(chǎn)品、業(yè)務(wù)環(huán)節(jié)中頻繁快速流轉(zhuǎn)，這種以系統(tǒng)為中心的思想已經(jīng)不能滿足數(shù)據(jù)安全的需求了。

以數(shù)據(jù)為中心的安全，是將數(shù)據(jù)的防竊取防濫用防誤用作為主線，在數(shù)據(jù)的生命周期內(nèi)各不同環(huán)節(jié)所涉及的信息系統(tǒng)、運(yùn)行環(huán)境、業(yè)務(wù)場(chǎng)景和操作人員等作為圍繞數(shù)據(jù)安全保護(hù)的支撐。

這時(shí)候，某個(gè)系統(tǒng)被入侵，并不等于數(shù)據(jù)安全的目標(biāo)就遭到最終的破壞，反之某個(gè)單一環(huán)節(jié)的安全能力再強(qiáng)，也不代表整體數(shù)據(jù)安全保護(hù)的能力就夠好。

在數(shù)據(jù)生命周期的不同階段，數(shù)據(jù)面臨的安全威脅、可以采用的安全手段有可能很不一樣。

例如，在數(shù)據(jù)采集階段，可能存在采集數(shù)據(jù)被攻擊者直接竊取，或者個(gè)人生物特征數(shù)據(jù)不必要的存儲(chǔ)面臨泄露危險(xiǎn)等;在數(shù)據(jù)存儲(chǔ)階段，可能存在存儲(chǔ)系統(tǒng)被入侵進(jìn)而導(dǎo)致數(shù)據(jù)被竊取，或者授權(quán)用戶無應(yīng)用場(chǎng)景支持訪問用戶敏感數(shù)據(jù)，或者存儲(chǔ)設(shè)備丟失導(dǎo)致數(shù)據(jù)泄露等;在數(shù)據(jù)處理階段，可能存在算法不當(dāng)導(dǎo)致用戶個(gè)人信息泄露等。

把不同階段從不同角度面臨的風(fēng)險(xiǎn)放到一起進(jìn)行綜合考慮，建立強(qiáng)調(diào)整體而不是某個(gè)環(huán)節(jié)安全能力，是以數(shù)據(jù)為中心的安全的核心思想。

2、以組織為單位

以組織為單位，是數(shù)據(jù)安全治理的核心管理思想。

讀完前面的內(nèi)容后應(yīng)該容易理解，一個(gè)服務(wù)器很安全、一個(gè)手機(jī)應(yīng)用產(chǎn)品很安全都不代表著要保護(hù)的數(shù)據(jù)安全。數(shù)據(jù)會(huì)在不同的服務(wù)器、產(chǎn)品、業(yè)務(wù)中流轉(zhuǎn)。

而且從法律的角度來說，擁有或使用數(shù)據(jù)的組織才是承擔(dān)數(shù)據(jù)安全責(zé)任的主體。因此，雖然在大數(shù)據(jù)時(shí)代還有數(shù)據(jù)共享、數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù)交易等各種復(fù)雜的情況，但擁有或者處理數(shù)據(jù)的組織是所有這些活動(dòng)的基本單元，因此也是數(shù)據(jù)安全治理的基本單位。

以組織為單位的數(shù)據(jù)安全治理，具體指的是數(shù)據(jù)在特定組織內(nèi)全生命周期的安全，這個(gè)組織要對(duì)其負(fù)責(zé)。

不論數(shù)據(jù)在這個(gè)組織中的生命周期涉及多少產(chǎn)品業(yè)務(wù)或人員，那些單個(gè)系統(tǒng)單個(gè)業(yè)務(wù)的安全都不說明問題，說明問題的應(yīng)該被最終衡量的這個(gè)組織的數(shù)據(jù)安全。

一個(gè)組織的數(shù)據(jù)安全水平，可以作為其是否符合法律要求、特定事件中具備怎樣的責(zé)任、面向用戶贏取信任、面向行業(yè)適合處理的數(shù)據(jù)類型和規(guī)模等的參考依據(jù)。

換句話說，政府或者行業(yè)可以以組織為單位進(jìn)行數(shù)據(jù)安全管理，而不是某個(gè)產(chǎn)品的安全，一個(gè)組織要證明的是自己整個(gè)組織的數(shù)據(jù)安全水平，而不是自己的某個(gè)應(yīng)用的安全。

3、以能力成熟度為基本抓手

用什么來衡量組織的數(shù)據(jù)安全呢?數(shù)據(jù)安全的能力成熟度可以作為基本抓手。

能力成熟度是一種經(jīng)過考驗(yàn)的方法，目前在越來越多的領(lǐng)域被應(yīng)用，美國甚至制定了網(wǎng)絡(luò)空間安全能力成熟度戰(zhàn)略。數(shù)據(jù)安全能力成熟度模型，是借鑒能力成熟度的核心思想，結(jié)合數(shù)據(jù)在組織內(nèi)的生命周期以及構(gòu)成安全能力的關(guān)鍵要素而構(gòu)建的。

一個(gè)組織的數(shù)據(jù)安全能力成熟度等級(jí)，說明了這個(gè)組織在數(shù)據(jù)安全保護(hù)方面的綜合能力水平。而這個(gè)水平的高低，則可以用于數(shù)據(jù)安全治理的各種相關(guān)工作。

例如，相關(guān)政府部門或行業(yè)主管部門，可以根據(jù)本行業(yè)的數(shù)據(jù)敏感度特點(diǎn)決定哪些數(shù)據(jù)類型或者多大的數(shù)據(jù)規(guī)模需要多高的數(shù)據(jù)安全能力成熟度水平，進(jìn)而讓數(shù)據(jù)安全能力成熟度足夠的組織才能夠處理特定數(shù)據(jù)，從而實(shí)現(xiàn)本行業(yè)安全與發(fā)展的平衡;

在數(shù)據(jù)共享、轉(zhuǎn)移、交易等過程中，法律可以規(guī)定數(shù)據(jù)擁有者有義務(wù)要求數(shù)據(jù)接受者提供自己足夠的數(shù)據(jù)安全能力成熟度水平，從而避免數(shù)據(jù)在流動(dòng)過程中進(jìn)入安全更差的組織，從而減少數(shù)據(jù)流動(dòng)導(dǎo)致的安全失控;

根據(jù)特定行業(yè)、特定數(shù)據(jù)類型以及特定時(shí)段數(shù)據(jù)安全威脅的具體情況，國家主管部門可以設(shè)定和調(diào)整特定領(lǐng)域數(shù)據(jù)安全能力成熟度的衡量標(biāo)準(zhǔn)和等級(jí)要求，從而實(shí)現(xiàn)整體數(shù)據(jù)安全狀態(tài)的可控;組織可以通過自己的數(shù)據(jù)安全能力成熟度水平，讓消費(fèi)者用更加客觀量化的方法衡量自己是否值得信任;等等。