2021年1月,巴西的一個(gè)數(shù)據(jù)庫30TB數(shù)據(jù)被破壞,泄露的數(shù)據(jù)包含有1.04億輛汽車和約4000萬家公司的詳細(xì)信息,受影響的人員數(shù)量可能有2.2億;
2021年3月,印度800萬核酸檢測結(jié)果泄露,含有姓名、年齡、婚姻狀況、檢測時(shí)間、居住地址等敏感個(gè)人信息;
2021年3月,美國保險(xiǎn)巨頭CNA公司的IT系統(tǒng)被勒索軟件鎖定,攻擊者還竊取了數(shù)據(jù),公司支付了4000萬美元勒索贖金;
...
有研究機(jī)構(gòu)統(tǒng)計(jì),2020年全球數(shù)據(jù)泄露的數(shù)量超過過去15年的總和,這些數(shù)據(jù)安全的風(fēng)險(xiǎn)影響范圍已經(jīng)從個(gè)人、企業(yè)逐步輻射到產(chǎn)業(yè)甚至是國家。
當(dāng)前,全球數(shù)字化轉(zhuǎn)型正在以爆發(fā)式速度快速發(fā)展,數(shù)據(jù)作為數(shù)字化的核心,已經(jīng)成為新時(shí)代的核心生產(chǎn)要素之一。如果數(shù)據(jù)發(fā)生泄露,那么企業(yè)乃至國民經(jīng)濟(jì)運(yùn)行,公共衛(wèi)生、農(nóng)業(yè)生產(chǎn)、運(yùn)輸物流等受到?jīng)_擊,并可能引發(fā)各領(lǐng)域嚴(yán)重后果。
伴隨著9月1日《中華人民共和國數(shù)據(jù)安全法》的正式實(shí)施,對于如何依法做好數(shù)據(jù)安全建設(shè)成為當(dāng)前各行業(yè)負(fù)責(zé)人最為關(guān)心、關(guān)注的問題。今天小億就來為大家說說如何從法律角度看數(shù)據(jù)安全建設(shè),以及企業(yè)該如何做好數(shù)據(jù)安全治理。
一、數(shù)據(jù)安全的定義
根據(jù)《數(shù)據(jù)安全法》第三條,“數(shù)據(jù)安全是指通過采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。”
數(shù)據(jù)安全并不僅僅局限于數(shù)據(jù)本身的安全,而是一個(gè)綜合概念。在數(shù)據(jù)從客戶端到服務(wù)端傳輸過程中,涉及很多風(fēng)險(xiǎn)因素,比如客戶端訪問主體的身份是否真實(shí)可靠,數(shù)據(jù)在傳輸過程中是否完整、防篡改,到達(dá)服務(wù)端后以明文件存儲還是加密存儲,以及哪些用戶使用等等。
從整體來看,在數(shù)據(jù)生命周期的每個(gè)環(huán)節(jié),包括數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等,都存在三個(gè)重要概念:數(shù)據(jù)處理主題、數(shù)據(jù)本身、數(shù)據(jù)處理行為。
從數(shù)據(jù)源頭上,要確保數(shù)據(jù)采集主題身份真實(shí)、可信;對于數(shù)據(jù)本身,在傳輸中要確保其真實(shí)性(數(shù)據(jù)來源真實(shí)可信)、完整性(數(shù)據(jù)未被非授權(quán)篡改)、機(jī)密性(數(shù)據(jù)未被非授權(quán)者獲得)、可用性(數(shù)據(jù)可被授權(quán)者正常使用)等;對于數(shù)據(jù)處理行為,要確保其發(fā)送或接收行為、時(shí)間點(diǎn)的不可否認(rèn)性。
二、《數(shù)據(jù)安全法》與企業(yè)數(shù)字化運(yùn)營息息相關(guān)
在配套法規(guī)建設(shè)方面,圍繞大數(shù)據(jù)的生產(chǎn)與再生產(chǎn),貿(mào)易與流通,中國形成了以《國家安全法》為總綱,《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》三部法律為基礎(chǔ)的法律監(jiān)管體系,并以一些部門規(guī)章以及政策性文件等作為補(bǔ)充。
具體來看,《網(wǎng)絡(luò)安全法》從設(shè)施、運(yùn)營、數(shù)據(jù)以及內(nèi)容安全四個(gè)維度對于未來的網(wǎng)絡(luò)安全進(jìn)行法規(guī)約束,并通過部門分工或者協(xié)作的方式制定和頒布進(jìn)一步的安全細(xì)則,如《網(wǎng)絡(luò)安全審查辦法》、《關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)條例》以及《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》等。
《數(shù)據(jù)安全法》則圍繞“收集、存儲、使用、加工、傳輸、提供、公開”這樣的數(shù)據(jù)處理流程,對于大數(shù)據(jù)的各參與方進(jìn)行法規(guī)約束,違反相關(guān)安全措施的行為方將受到嚴(yán)厲懲罰。剛剛公布的《個(gè)人信息保護(hù)法》,主要從個(gè)人信息保護(hù)應(yīng)遵循的原則和信息處理規(guī)則等方面進(jìn)行約束,法規(guī)明確個(gè)人信息處理活動中的權(quán)利義務(wù)邊界,以增強(qiáng)個(gè)人在數(shù)字經(jīng)濟(jì)時(shí)代的安全感。
除此以外,還伴隨細(xì)分的行業(yè)配套法案陸續(xù)落地,比如《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計(jì)劃(2021-2023年)》,以及最近剛剛征求意見的《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》等。
總括來看,從數(shù)據(jù)安全的技術(shù)角度出發(fā),目前已經(jīng)建立起圍繞大數(shù)據(jù)的隱私、數(shù)據(jù)安全以及平臺運(yùn)營三個(gè)層面的立體監(jiān)管框架。他們構(gòu)成中國大數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展的壓艙石。
三、企業(yè)如何做到“合規(guī)用數(shù)”?4類要求
對于企業(yè)而言,數(shù)據(jù)安全合規(guī)工作是題中之義,但實(shí)操層面也可能的確存在一些現(xiàn)實(shí)困難,例如如何能快速、準(zhǔn)確的排查當(dāng)前的合規(guī)差距?如何能最小成本、最小影響的完成合規(guī)工作?這里可以從以下4個(gè)方面來開展工作:
1.技術(shù)建設(shè)類
技術(shù)建設(shè)類可分為技術(shù)措施建設(shè)和風(fēng)險(xiǎn)監(jiān)測能力建設(shè),技術(shù)措施根據(jù)實(shí)際數(shù)據(jù)活動情況,采取相應(yīng)的技術(shù)措施即可,比較常用的技術(shù)措施有動態(tài)脫敏技術(shù)、訪問控制、電子認(rèn)證技術(shù)、數(shù)據(jù)加密存儲技術(shù)和敏感數(shù)據(jù)發(fā)現(xiàn)技術(shù)。
傳統(tǒng)的建設(shè)方式是直接采購相應(yīng)的數(shù)據(jù)安全產(chǎn)品,數(shù)據(jù)場景不復(fù)雜的情況下比較適用,反之,則會造成功能冗余、產(chǎn)品堆砌、運(yùn)維工作加重等附加工作。因此,在開展數(shù)據(jù)安全技術(shù)建設(shè)時(shí)建議采用平臺化的方式,靈活、簡捷,擴(kuò)充能力強(qiáng),在新法律法規(guī)不斷頒布的同時(shí),可以通過配置調(diào)整予以應(yīng)對。
數(shù)據(jù)安全技術(shù)的運(yùn)用,應(yīng)做到精準(zhǔn)化管控,“一桿子”的方式不利于數(shù)據(jù)活動的發(fā)展和數(shù)據(jù)價(jià)值發(fā)揮,精準(zhǔn)化管控可基于分類分級進(jìn)行設(shè)計(jì)。
2.排查與整改類
排查與整改類主要包括合理性、業(yè)務(wù)完善、數(shù)據(jù)跨境三個(gè)方面。該類的工作主要是排查自身業(yè)務(wù)是否存在違法違規(guī)的情況,主要應(yīng)對手段是業(yè)務(wù)的整改和應(yīng)用功能的整改。
通過數(shù)據(jù)資產(chǎn)自動發(fā)現(xiàn)技術(shù)能夠快速、準(zhǔn)確的輔助排查出合規(guī)風(fēng)險(xiǎn)點(diǎn),節(jié)省大量的人力投入。整改工作完成后,還可以通過數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)技術(shù)對數(shù)據(jù)的使用和變化情況進(jìn)行實(shí)時(shí)監(jiān)控,及時(shí)發(fā)現(xiàn)違規(guī)情況,降低違規(guī)風(fēng)險(xiǎn)。
合理性主要是指數(shù)據(jù)的采集應(yīng)遵循最小夠用原則,并在國家或行業(yè)規(guī)定的范圍內(nèi)開展數(shù)據(jù)活動,在開展數(shù)據(jù)活動前應(yīng)當(dāng)告知數(shù)據(jù)主體,并得到其授權(quán),并嚴(yán)格按照約定管理數(shù)據(jù),保障數(shù)據(jù)主體的合法權(quán)益。
3.管理完善類
切實(shí)可行的管理制度是保障數(shù)據(jù)安全的基礎(chǔ)和依據(jù),《數(shù)安法》中所提到的管理要求可歸納為管理制度、數(shù)據(jù)交易管理、數(shù)據(jù)認(rèn)責(zé)、重要數(shù)據(jù)目錄和分類分級五項(xiàng)。
管理制度可以基于數(shù)據(jù)活動進(jìn)行制定,考慮事前、事中、事后三個(gè)維度,明確角色和義務(wù),落實(shí)到人。
數(shù)據(jù)認(rèn)責(zé)可以通過數(shù)據(jù)的擁有量、訪問量、新增量、更新量等維度作為依據(jù)進(jìn)行劃分,認(rèn)責(zé)的同時(shí)還要建設(shè)相應(yīng)的自動化管理工具,輔助數(shù)據(jù)責(zé)任人管理數(shù)據(jù)。
數(shù)據(jù)交易管理首先要明確當(dāng)前業(yè)務(wù)下所有數(shù)據(jù)的來源是否合法,大體可分為自采集和外購兩類。外購類則應(yīng)留存來源的相關(guān)證明材料。如果是從事數(shù)據(jù)交易的機(jī)構(gòu),則需要對買賣雙方的身份進(jìn)行驗(yàn)證,并在協(xié)議中說明數(shù)據(jù)用途、使用時(shí)長、使用形式等內(nèi)容。
重要數(shù)據(jù)目錄和分類分級是實(shí)現(xiàn)數(shù)據(jù)安全精準(zhǔn)防護(hù)的基礎(chǔ)和目標(biāo),因此,需要在數(shù)據(jù)安全技術(shù)建設(shè)前開展。為達(dá)到數(shù)據(jù)安全防護(hù)的最佳效果,重要數(shù)據(jù)目錄的建立和分類分級應(yīng)遵循全面性、合理性、明確性原則。
4.機(jī)制建設(shè)類
常態(tài)化數(shù)據(jù)安全管控需要相關(guān)的機(jī)制作為保障,包括安全培訓(xùn)機(jī)制、安全補(bǔ)救機(jī)制、應(yīng)急處置機(jī)制和風(fēng)險(xiǎn)評估機(jī)制四類。
數(shù)據(jù)安全培訓(xùn)的目的是加強(qiáng)企業(yè)內(nèi)部人員的意識,提升技術(shù)人員的技能水平,從而實(shí)現(xiàn)整體的數(shù)據(jù)安全防護(hù)水平提升。培訓(xùn)工作要有計(jì)劃、有目的、有考核的開展,方可保證培訓(xùn)效果。
安全補(bǔ)救和應(yīng)急處置是應(yīng)對安全漏洞和安全事件的預(yù)案,應(yīng)定期開展演練工作,確保真正發(fā)生時(shí)能快速應(yīng)對,必要時(shí)可以聘請相關(guān)機(jī)構(gòu)和專家共同開展。
對于重要數(shù)據(jù)的處理,應(yīng)定期開展風(fēng)險(xiǎn)評估工作,確保數(shù)據(jù)處理是在可信、可靠的環(huán)境下開展,對于潛在的風(fēng)險(xiǎn)能夠盡早發(fā)現(xiàn)、盡早防范。
四、企業(yè)數(shù)據(jù)安全治理的5個(gè)步驟
1.數(shù)據(jù)安全治理評估
首先從業(yè)務(wù)視角出發(fā),對業(yè)務(wù)應(yīng)用的現(xiàn)狀、使用情況進(jìn)行調(diào)研、分析,確定業(yè)務(wù)的關(guān)聯(lián)關(guān)系、訪問的關(guān)鍵路徑、數(shù)據(jù)的流向及演變過程,結(jié)合對基礎(chǔ)安全管控措施的分析,找出主要業(yè)務(wù)所面臨的管理、技術(shù)及運(yùn)營風(fēng)險(xiǎn)。
其次,集合多個(gè)業(yè)務(wù)系統(tǒng)的調(diào)研結(jié)果,找出系統(tǒng)間的共性問題,為制定業(yè)務(wù)的數(shù)據(jù)安全管理規(guī)范提供第一手的參考依據(jù)。針對業(yè)務(wù)各系統(tǒng)及數(shù)據(jù)資產(chǎn)全面開展評估梳理工作,形成《數(shù)據(jù)資產(chǎn)清單》,明確相關(guān)平臺各系統(tǒng)的輸入輸出,數(shù)據(jù)所在位置及其處理、共享、交換等使用過程中數(shù)據(jù)重要度等內(nèi)容。
最后,基于業(yè)務(wù)場景梳理數(shù)據(jù)操作過程中的主體(人、用戶、賬號)、客戶(數(shù)據(jù))、過程(操作的時(shí)域、地域、權(quán)限、結(jié)果等)屬性;以角色控制為視角,明確被審計(jì)用戶(賬號)的類型、角色,包括應(yīng)用程序所有者(業(yè)務(wù)賬號)、應(yīng)用程序終端用戶(業(yè)務(wù)終端)、數(shù)據(jù)管理賬號(數(shù)據(jù)庫管理員)等;建立符合業(yè)務(wù)最小夠用的安全策略模型。
2.數(shù)據(jù)安全組織架構(gòu)建設(shè)
數(shù)據(jù)安全管理是一項(xiàng)需要多方聯(lián)動型的復(fù)合型工作,在開展組織架構(gòu)建設(shè)時(shí),需要考慮組織層面實(shí)體的管理團(tuán)隊(duì)及執(zhí)行團(tuán)隊(duì),同時(shí)也要考慮虛擬的聯(lián)動小組,所有部門均需要參與安全建設(shè)當(dāng)中。同時(shí),需要根據(jù)部門職責(zé)建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設(shè)的需求。
3.數(shù)據(jù)安全管理制度建設(shè)
數(shù)據(jù)安全保障體系的規(guī)范一般從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要及法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理,最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。
一般情況下,數(shù)據(jù)安全管理規(guī)體系文件可分為四個(gè)層面:
(1)一級文件是由決策層確定管理要求、目標(biāo)及基本原則;
(2)二級文件是由管理層根據(jù)一級管理要求制定通用的管理辦法、制度及標(biāo)準(zhǔn)。二級文件作為上層的管理要求,應(yīng)具備科學(xué)性、合理性、完善性及普遍的適用性;
(3)三級文件一般由管理層、執(zhí)行層根據(jù)二級管理辦法確定各業(yè)務(wù)、各環(huán)節(jié)的具體操作指南、規(guī)范;
(4)四級文件屬于輔助文件,一般包括操作程序、工作計(jì)劃、資產(chǎn)清單、過程記錄等過程性文檔。四級文件是對上層管理要求的細(xì)化解讀,用于指導(dǎo)具體業(yè)務(wù)場景的具體工作。
4.數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)
不同安全級別的數(shù)據(jù),可參照數(shù)據(jù)生命周期的原則進(jìn)行數(shù)據(jù)安全應(yīng)用執(zhí)行。具體保護(hù)要求及措施,可參照國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標(biāo)準(zhǔn)執(zhí)行。
5.數(shù)據(jù)安全運(yùn)營管控建設(shè)
數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性,需要進(jìn)行長期性服務(wù),建立完善的數(shù)據(jù)安全運(yùn)營團(tuán)隊(duì)是必然選擇。數(shù)據(jù)安全運(yùn)營主要包括以下內(nèi)容:
(1)數(shù)據(jù)安全運(yùn)維:主要是數(shù)據(jù)安全措施的使用、運(yùn)維,駐場或定期對數(shù)據(jù)安全產(chǎn)品的使用情況進(jìn)行分析,并結(jié)合管理要求,持續(xù)進(jìn)行管控措施策略和配置的優(yōu)化,并定期輸出數(shù)據(jù)安全運(yùn)維報(bào)告和策略優(yōu)化建議等;
(2)應(yīng)急預(yù)案與演練:按照相關(guān)要求,制定數(shù)據(jù)安全事件應(yīng)急預(yù)案。并按照制定的應(yīng)急規(guī)劃,按照安全事件的危害程度、影響范圍等對安全事件建分級,定期進(jìn)行應(yīng)急預(yù)案演練;
(3)監(jiān)測預(yù)警:圍繞數(shù)據(jù)安全目標(biāo),依據(jù)相關(guān)安全標(biāo)準(zhǔn),建立數(shù)據(jù)安全監(jiān)測預(yù)警和安全事件通報(bào)制度,收集分析數(shù)據(jù)安全信息,對安全風(fēng)險(xiǎn)及時(shí)上報(bào),包括按需發(fā)布數(shù)據(jù)安全監(jiān)測預(yù)警信息等;
(4)應(yīng)急處置:相關(guān)方按照應(yīng)急預(yù)案,在發(fā)生安全事件時(shí),采取應(yīng)急處置措施,向主管部門上報(bào)重大安全事件,定期對應(yīng)急預(yù)案和處置流程優(yōu)化完善;
(5)災(zāi)難恢復(fù):在數(shù)據(jù)安全事件發(fā)生后,根據(jù)安全事件的影響和優(yōu)先級,采取合適的恢復(fù)措施,確保信息系統(tǒng)業(yè)務(wù)流程按照規(guī)劃目標(biāo)恢復(fù)。
五、注意事項(xiàng)
1.數(shù)據(jù)安全法里強(qiáng)調(diào)堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展,核心是發(fā)展,不發(fā)展才是最大的不安全;
2.在數(shù)據(jù)安全建設(shè)過程中,數(shù)據(jù)存儲和傳輸安全是容易做的,但剩下的數(shù)據(jù)采集、使用、交換、銷毀環(huán)節(jié)卻是數(shù)據(jù)安全最核心、最難做的痛點(diǎn);
3.數(shù)據(jù)安全必須要緊密結(jié)合業(yè)務(wù),一旦跟業(yè)務(wù)脫離,數(shù)據(jù)安全將無法落到實(shí)處。除此以外,業(yè)務(wù)層面數(shù)據(jù)的重要程度如何去判定,如何去做分類分級也是一個(gè)難點(diǎn);
4.企業(yè)要盡快去學(xué)習(xí)法律,調(diào)整自身的行為,建立數(shù)據(jù)安全治理的體系來適應(yīng)潮流,誰適應(yīng)的快、誰的經(jīng)營風(fēng)險(xiǎn)就低、未來競爭力就更高。
六、小結(jié)
當(dāng)前,數(shù)據(jù)安全已成為數(shù)字經(jīng)濟(jì)時(shí)代最緊迫和最基礎(chǔ)的安全問題,加強(qiáng)數(shù)據(jù)安全治理已成為維護(hù)國家安全和國家競爭力的戰(zhàn)略需要。
近幾年來,數(shù)據(jù)安全保護(hù)相關(guān)法律框架的落地或頒布,為數(shù)據(jù)安全保障提供了制度和法律支撐。
企業(yè)通過有效的數(shù)據(jù)安全能力的建設(shè),不僅可以對自身的敏感數(shù)據(jù)進(jìn)行有效的防護(hù),同時(shí)促進(jìn)企業(yè)數(shù)據(jù)的共享,擴(kuò)大數(shù)據(jù)資源的交互能力,從而存進(jìn)企業(yè)的數(shù)據(jù)的進(jìn)一步的分析與挖掘,大大的增加其在市場洪流中的競爭優(yōu)勢。