《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中明確提出:“迎接數字時代,啟用資料要素潛能,推進網路強國建設,加快建設數字經濟、數字社會、數字政府,以數字化轉型整體驅動生產方式、生活方式和治理方式變革。”隨著雲端計算、物聯網、大資料、人工智慧、區塊鏈等新興技術的廣泛應用,資料作為生產要素,成為國家基礎性和戰略性資源。
目前,資料安全問題突出,各類資料安全洩露事件屢見不鮮,成為我們身邊的“定時炸彈”。《中國人民共和國資料安全法》(以下簡稱“《資料安全法》”)於2021年6月10日頒佈,順應了我國數字經濟時代的需求,得到社會各界的廣泛關注。作為國內安全領域的深耕者,綠盟科技多次受邀解讀《資料安全法》。在和客戶交流過程中,我們整理了比較典型的、共性的問題,與各位同仁一起探討。
Q1:企業該如何依法進行資料安全建設?
根據《資料安全法》的要求,企業在資料安全建設可以分為五個步驟:
步驟一:明確資料安全責任制,落實資料全生命週期管控責任。綠盟科技具備資料安全管理體系建設的方案支撐,能夠幫助企業建立資料安全組織架構,明確崗位職責,制定對應的全流程管理規範、制度、流程等。
步驟二:進行資料分類分級。綠盟科技幫助企業進行資料資產、業務資料流轉梳理,建立資料分類分級指引,對資料資產進行分類分級打標,明確保護物件及分級管控策略。
步驟三:發現資料安全風險隱患。綠盟科技可以協助企業定期進行資料安全合規評估、個人資訊保安影響評估,或根據實際情況有選擇的進行APP個人資訊評估,藉助風險評估手段發現資料安全風險,協助企業進行整改,提升資料安全建設水平。
步驟四:資料安全能力建設。企業需要圍繞資料全生命週期的資料活動,結合自身業務場景,落實資料安全控制措施。綠盟科技可為企業進行全方面可信的防禦體系建設,運用“知”“識”“控”“察”“行”的資料安全治理方法論,以及包括資料梳理、運維資料監管、業務資料監管、辦公資料監管、資料視覺化的完整解決方案,有效保護資料在全生命週期過程中的安全,達到合法採集、合理利用、靜態可知、動態可控的防護目標。
步驟五:建立資料安全事件的應急響應機制。綠盟科技協助企業建立應急響應體系及資料防護應急預案,明確資料安全事件的應急方針、政策、組織結構及相關應急職責。
Q2:企業資料安全管理體系如何建設?
資料安全管理體系建設是很多企業進行資料安全管理工作的第一步也是必不可少的一步,資料安全工作的開展離不開管理體系的支撐,可以幫助企業明確資料安全管理職責,確保管理工作有據可依,資料安全管理措施有序執行,自上而下地推動企業資料安全管理工作的開展。
在資料安全管理體系建設前需要滿足四個條件:
需要了解國家相關法律法規及行業規範;
需要明確資料安全建設的戰略目標及方針政策;
需要了解目前資料安全現狀,包括但不限於梳理資料資產、業務及資料流向、生命週期各階段風險點等;
需要具有經驗豐富的資料安全專家及團隊。
結合DAMA資料管理知識體系指南(DMBOK)中定義的資料安全管理關鍵活動和ISO27000系列標準中關於資訊保安管理體系建立的標準流程,採取如下流程進行:
按照統一的四級檔案架構和“簡明、易懂、可行”的原則設計並輸出資料安全管理制度。制度內容將以如下結構呈現:
每一級是上一級支撐。第一級為企業資料安全戰略目標,如資料安全管理辦法等;第二級是安全制度,如資料資產管理制度、資料生命週期安全管理制度等;第三級是制度下的具體指南和實施流程,如資料分類分級實施細則、第三方安全管理實施細則等;第四級是資料安全落地運維過程中產生的表單,如審批表、日誌、記錄、表單等。
需要注意的是,資料安全管理體系並不是摒棄企業內部建設以網路為中心的安全管理規範,而是在此基礎上融合資料安全管理要求,形成全面的管理規範。同時在資料安全建設過程中,持續地對資料安全管理體系進行最佳化與完善。
Q3:資料分類分級的實施流程與步驟?
目前國內有很多行業、地方已經制定了資料分類分級的標準,詳細闡述了資料分類分級的流程與步驟,相關行業、地方的分類分級標準如下:
行業 | 標準名稱 |
金融行業 | 《JR/T 0197-2020 金融資料安全 資料安全分級指南》 《 JR/T 0158-2018 證券期貨業資料分類分級指引》 |
政務行業 | 《資訊保安技術 政務資訊共享 資訊資源安全等級指南》(草案) DB 52/T 1123-2016 《政府資料 資料分類分級指南》 DB 31DSJ/Z 005-2020 《公共安全分級指南》 DB33_T 2351-2021《浙江省 公共資料分類分級指南》 |
運營商 | 《電信和網際網路大資料安全管控分類分級實施指南》 中國移動大資料安全管控分類分級實施指南 《中國聯通IT系統資料安全管理辦法(修訂)》,含《附件1:中國聯通IT系統使用者資訊敏感資料安全分級規範v1.0》 《YD/T3813-2020基礎電信企業資料分類分級方法》 |
工業行業 | 《工業資料分類分級指南(試行)》 |
健康醫療行業 | GB_T 39725-2020 《資訊保安技術 健康醫療資料安全指南》 |
教育行業 | 教科技廳函[2020]38號-教育部辦公廳關於印發《教育部機關和直屬事業單位資料安全管理辦法》的通知 |
通常資料分類分級服務實施分為五個階段,分別為:前期準備階段、資料資產調研、資料分類分級、制定分級管理辦法以及彙報與總結階段。
前期準備工作:調研客戶的主要業務系統,客戶實行資料分類分級的目標,以及客戶當前資料安全建設現狀等。
資料資產調研:對於不同的分類分級物件、資料資產儲存形態,專案實施範圍,資料資產調研需採取不同的方法,常見的調研方法有系統文件分析、負責人調研和使用者調研等,可採用其中一種或多種進行資料資產調研工作。
資料分類分級:基於上一階段輸入的資料資產調研結果,透過人工與工具結合的方式對資料資產進行梳理,識別、理解資料資產的含義,輸出《資料資產清單》。結合資料資產分佈情況,根據客戶適用的資料分類分級標準、規範,在其基礎上補充修改,構建客戶資料分類分級的總體框架。
制定分級管理辦法:根據前期溝通中瞭解到的客戶在資料治理方面的現狀與意見,編寫制定資料分級管理辦法初稿。辦法內容一般包括管理辦法的背景、依據、範圍,資料安全管理的組織與職責劃分,資料分級的標準及依據,通用資料安全管理要求,資料全生命週期管理要求以及考評與問責機制。
彙報與總結:基於專案調研資訊、資料分類分級表、資料資產清單、資料分級管理辦法以及專案實施過程的中間文件,統一彙報專案目標、範圍、工作流程、採用工具、實施手段、專案成果以及後續提升改進方式等內容。
Q4:政務行業資料分類分級的難點?
隨著數字化政府轉型的不斷深入,國家在政務資訊共享交換的相關政策陸續出臺,截止到2020年底,全國已有18個省級以及124個副省級和地市級公共資料開放平臺正式上線,免費為社會各方提供相關政府單位的公開資料。
大家都知道,政務資料安全開放的前提是資料分類分級,截止到目前,國家還未正式出臺政務行業資料分類分級標準(2019年《資訊保安技術 政務資訊共享 資訊資源安全等級指南》草案),一些地方政府先試先行,陸續釋出地方分類分級標準,如2016年貴州省DB 52/T 1123-2016 《政府資料 資料分類分級指南》、2020年上海市DB 31DSJ/Z 005-2020 《公共安全分級指南》、2021年浙江省DB33_T 2351-2021《浙江省 公共資料分類分級指南》等。從上述檔案內容對比分析,發現各地開放政府資料平臺採用的分類目錄與分級方式還是略有差異並各有側重的,究其原因有如下幾點:
政務行業資料資源範圍廣,GB/T21063.4-2007《政務資訊資源目錄體系第4部分政務資訊資源分類》附錄A-主題分類類目表中涉及到上百個政府子行業。
資料型別眾多,政務部門的資訊資源除了結構化資料,還有大量的非結構化資料與半結構化資料。比如一些政府紅標頭檔案、保密檔案等。
分級的顆粒度:各行業資料都有自身的特殊屬性,在不同行業針對影響資源級別的關鍵因素不統一,比如金融行業分5級,運營商行業分4級,工業資料分3級。在進行分級的時候,要充分考慮到以什麼級別顆粒度才能達到分級防護的目的,平衡使用效率和安全管控。
動態多樣化:政務行業資料會根據業務需求,進行匯聚、融合、摘抄等操作,會導致資料級別發生變化,需要及時快速地對這些資料重新定級。
Q5:資料安全風險評估依據和標準有哪些?是否與等保一樣有定級備案與第三方評測機制?
通用性評估參考 標準 | GB/T 37988-2019《資訊保安技術 資料安全能力成熟度模型》 |
GB/T 36073-2018《資料管理能力成熟度評估模型》 |
《資訊保安技術 大資料業務安全風險評估參考框架與技術指南》(草案) |
GB/T 39335-2020《資訊保安技術 個人資訊保安影響評估指南》 |
行業合規評估 | 運營商行業 | 《電信網和網際網路資料安全評估規範》(徵求意見稿) |
2020年電信和網際網路企業資料安全合規性評估要點 |
《2021年基礎電信企業專業公司網路與資訊保安考核要點與評分標準》 |
金融行業 | 《JR/T 0223-2021金融資料安全資料生命週期安全規範》 《GB/T 35273-2020個人資訊保安規範》 |
《JR/T 0171-2020個人金融資訊保護技術規範》 |
教育行業 | 教科技函[2021]20號-教育部等七部門辦公廳關於加強教育系統資料安全工作的通知 |
政務行業 | GB/T 39477-2020《資訊保安技術 政務資訊共享 資料安全技術要求》 |
工業網際網路行業 | YD/T 3865-2021《工業網際網路資料安全保護要求》 |
《資訊保安技術 工業網際網路資料安全防護指南》(草案) |
健康醫療行業 | GB/T 39725-2020 《資訊保安技術 健康醫療資料安全指南》 |
目前國家安全領導機構、各行業監管/主管部門、各地方政府正在陸續出臺與《資料安全法》相配套的資料安全制度、管理辦法等相關檔案,如果條件成熟,可能會與等級保護一樣,有專門的資料安全評測認證公司對企業的資料安全進行評測。
Q6:如何界定網路安全與資料安全的邊界?
傳統的網路安全不僅包括網路資訊的安全,還涉及網路資訊的產生、傳輸和使用等環節的安全。通常遵照等級保護制度的標準,按照安全通訊網路+安全區域邊界+安全計算環境結合安全的管理中心來建設,實現“主動防護,縱深防禦”的安全體系。例如:等級保護制度2.0三級要求,在FW、IPS/IDS、安全管理平臺、網路審計、日誌審計、堡壘機、漏掃、終端安全管理等能力進行建設。
隨著資訊時代向資料時代的轉變,資料安全更接近安全保護的目標。重點關注資料生命週期過程中的安全防護,例如,在採集階段需要對資料做識別、分類分級;在傳輸階段,需要實現資料的加密傳輸;在儲存階段,需要實現資料加密儲存、儲存介質的管理;在分析階段,需要實現資料防洩密、資料脫敏、資料操作審計等功能;在共享階段,需要對人員的身份、操作做管理;在銷燬階段,利用格式化、物理破壞等方式進行銷燬。
資料價值被越來越多人的廣泛認識,國內外很多企業都已建立了資料安全管理部門,與原來負責傳統網路安全部門平級。在網路與資料安全中間確實存在著一些交叉部分,比如在身份認證、許可權管理、訪問控制等方面。我們建議從基於零信任架構和網路資料防洩漏兩方面建設。零信任的做法是先信任,後連線,只有透過動態的認證和授權,才可能發起對資料資源的訪問連線,這是和傳統網路安全方法的主要區別。同時對網路資料傳輸過程中資料內容的進行監察,保障資料在可控範圍內正常使用。
Q7:資料安全治理與資料治理的區別?
資料治理是對資料資產管理行使權力和控制的活動,是將原始、離散的資料透過梳理、清洗、歸集等方式形成有價值的資料目錄,透過資料治理可以提升資料的價值。
在DAMA 資料管理知識體系指南中,資料治理位於資料管理“車輪圖”的正中央,是資料架構、資料建模、資料儲存、資料安全、資料質量、後設資料管理、主資料管理等10大資料管理領域的總綱,為各項資料管理活動提供總體指導策略。
DAMA-DMBOK2.0 資料管理車輪圖
資料安全治理屬於資料治理中的一個重要重要組成部分,透過資料資產識別、分類分級、資料管理,提升資料使用過程中的安全性避免資料丟失、洩露、篡改。
大部分人們在做資訊化安全建設時,潛意識中認為只要採購一些安全裝置,保障業務系統的正常使用就可以了,事實上這樣做完全沒有考慮到業務和管理的現狀。《資料安全法》第四條中,明確要求企業要建立健全資料安全治理體系。切忌不可直接告訴客戶採購資料安全產品,這樣只會讓客戶感覺我們是推銷產品,而不是幫其解決問題的,所以我們需要先了解清楚使用者現場的組織架構、業務系統、安全制度等資訊,為接下來的安全能力建設打好基礎。