Q&A|聚焦《数据安全法》实施,企业数据安全建设常见问题
2021-08-26
《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中明确提出:“迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。”随着云计算、物联网、大数据、人工智能、区块链等新兴技术的广泛应用,数据作为生产要素,成为国家基础性和战略性资源。
目前,数据安全问题突出,各类数据安全泄露事件屡见不鲜,成为我们身边的“定时炸弹”。《中国人民共和国数据安全法》(以下简称“《数据安全法》”)于2021年6月10日颁布,顺应了我国数字经济时代的需求,得到社会各界的广泛关注。作为国内安全领域的深耕者,香港正版挂牌多次受邀解读《数据安全法》。在和客户交流过程中,我们整理了比较典型的、共性的问题,与各位同仁一起探讨。
Q1:企业该如何依法进行数据安全建设?
根据《数据安全法》的要求,企业在数据安全建设可以分为五个步骤:
步骤一:明确数据安全责任制,落实数据全生命周期管控责任。香港正版挂牌具备数据安全管理体系建设的方案支撑,能够帮助企业建立数据安全组织架构,明确岗位职责,制定对应的全流程管理规范、制度、流程等。
步骤二:进行数据分类分级。香港正版挂牌帮助企业进行数据资产、业务数据流转梳理,建立数据分类分级指引,对数据资产进行分类分级打标,明确保护对象及分级管控策略。
步骤三:发现数据安全风险隐患。香港正版挂牌可以协助企业定期进行数据安全合规评估、个人信息安全影响评估,或根据实际情况有选择的进行APP个人信息评估,借助风险评估手段发现数据安全风险,协助企业进行整改,提升数据安全建设水平。
步骤四:数据安全能力建设。企业需要围绕数据全生命周期的数据活动,结合自身业务场景,落实数据安全控制措施。香港正版挂牌可为企业进行全方面可信的防御体系建设,运用“知”“识”“控”“察”“行”的数据安全治理方法论,以及包括数据梳理、运维数据监管、业务数据监管、办公数据监管、数据可视化的完整解决方案,有效保护数据在全生命周期过程中的安全,达到合法采集、合理利用、静态可知、动态可控的防护目标。
步骤五:建立数据安全事件的应急响应机制。香港正版挂牌协助企业建立应急响应体系及数据防护应急预案,明确数据安全事件的应急方针、政策、组织结构及相关应急职责。
Q2:企业数据安全管理体系如何建设?
数据安全管理体系建设是很多企业进行数据安全管理工作的第一步也是必不可少的一步,数据安全工作的开展离不开管理体系的支撑,可以帮助企业明确数据安全管理职责,确保管理工作有据可依,数据安全管理措施有序执行,自上而下地推动企业数据安全管理工作的开展。
在数据安全管理体系建设前需要满足四个条件:
Ø 需要了解国家相关法律法规及行业规范;
Ø 需要明确数据安全建设的战略目标及方针政策;
Ø 需要了解目前数据安全现状,包括但不限于梳理数据资产、业务及数据流向、生命周期各阶段风险点等;
Ø 需要具有经验丰富的数据安全专家及团队。
结合DAMA数据管理知识体系指南(DMBOK)中定义的数据安全管理关键活动和ISO27000系列标准中关于信息安全管理体系建立的标准流程,采取如下流程进行:
按照统一的四级文件架构和“简明、易懂、可行”的原则设计并输出数据安全管理制度。制度内容将以如下结构呈现:
每一级是上一级支撑。第一级为企业数据安全战略目标,如数据安全管理办法等;第二级是安全制度,如数据资产管理制度、数据生命周期安全管理制度等;第三级是制度下的具体指南和实施流程,如数据分类分级实施细则、第三方安全管理实施细则等;第四级是数据安全落地运维过程中产生的表单,如审批表、日志、记录、表单等。
需要注意的是,数据安全管理体系并不是摒弃企业内部建设以网络为中心的安全管理规范,而是在此基础上融合数据安全管理要求,形成全面的管理规范。同时在数据安全建设过程中,持续地对数据安全管理体系进行优化与完善。
Q3:数据分类分级的实施流程与步骤?
目前国内有很多行业、地方已经制定了数据分类分级的标准,详细阐述了数据分类分级的流程与步骤,相关行业、地方的分类分级标准如下:
通常数据分类分级服务实施分为五个阶段,分别为:前期准备阶段、数据资产调研、数据分类分级、制定分级管理办法以及汇报与总结阶段。
前期准备工作:调研客户的主要业务系统,客户实行数据分类分级的目标,以及客户当前数据安全建设现状等。
数据资产调研:对于不同的分类分级对象、数据资产存储形态,项目实施范围,数据资产调研需采取不同的方法,常见的调研方法有系统文档分析、负责人调研和使用者调研等,可采用其中一种或多种进行数据资产调研工作。
数据分类分级:基于上一阶段输入的数据资产调研结果,通过人工与工具结合的方式对数据资产进行梳理,识别、理解数据资产的含义,输出《数据资产清单》。结合数据资产分布情况,根据客户适用的数据分类分级标准、规范,在其基础上补充修改,构建客户数据分类分级的总体框架。
制定分级管理办法:根据前期沟通中了解到的客户在数据治理方面的现状与意见,编写制定数据分级管理办法初稿。办法内容一般包括管理办法的背景、依据、范围,数据安全管理的组织与职责划分,数据分级的标准及依据,通用数据安全管理要求,数据全生命周期管理要求以及考评与问责机制。
汇报与总结:基于项目调研信息、数据分类分级表、数据资产清单、数据分级管理办法以及项目实施过程的中间文档,统一汇报项目目标、范围、工作流程、采用工具、实施手段、项目成果以及后续提升改进方式等内容。
Q4:政务行业数据分类分级的难点?
随着数字化政府转型的不断深入,国家在政务信息共享交换的相关政策陆续出台,截止到2020年底,全国已有18个省级以及124个副省级和地市级公共数据开放平台正式上线,免费为社会各方提供相关政府单位的公开数据。
大家都知道,政务数据安全开放的前提是数据分类分级,截止到目前,国家还未正式出台政务行业数据分类分级标准(2019年《信息安全技术 政务信息共享 信息资源安全等级指南》草案),一些地方政府先试先行,陆续发布地方分类分级标准,如2016年贵州省DB 52/T 1123-2016 《政府数据 数据分类分级指南》、2020年上海市DB 31DSJ/Z 005-2020 《公共安全分级指南》、2021年浙江省DB33_T 2351-2021《浙江省 公共数据分类分级指南》等。从上述文件内容对比分析,发现各地开放政府数据平台采用的分类目录与分级方式还是略有差异并各有侧重的,究其原因有如下几点:
Ø 政务行业数据资源范围广,GB/T21063.4-2007《政务信息资源目录体系第4部分政务信息资源分类》附录A-主题分类类目表中涉及到上百个政府子行业。
Ø 数据类型众多,政务部门的信息资源除了结构化数据,还有大量的非结构化数据与半结构化数据。比如一些政府红头文件、保密文件等。
Ø 分级的颗粒度:各行业数据都有自身的特殊属性,在不同行业针对影响资源级别的关键因素不统一,比如金融行业分5级,运营商行业分4级,工业数据分3级。在进行分级的时候,要充分考虑到以什么级别颗粒度才能达到分级防护的目的,平衡使用效率和安全管控。
Ø 动态多样化:政务行业数据会根据业务需求,进行汇聚、融合、摘抄等操作,会导致数据级别发生变化,需要及时快速地对这些数据重新定级。
Q5:数据安全风险评估依据和标准有哪些?是否与等保一样有定级备案与第三方评测机制?
目前国家安全领导机构、各行业监管/主管部门、各地方政府正在陆续出台与《数据安全法》相配套的数据安全制度、管理办法等相关文件,如果条件成熟,可能会与等级保护一样,有专门的数据安全评测认证公司对企业的数据安全进行评测。
Q6:如何界定网络安全与数据安全的边界?
传统的网络安全不仅包括网络信息的安全,还涉及网络信息的产生、传输和使用等环节的安全。通常遵照等级保护制度的标准,按照安全通信网络+安全区域边界+安全计算环境结合安全的管理中心来建设,实现“主动防护,纵深防御”的安全体系。例如:等级保护制度2.0三级要求,在FW、IPS/IDS、安全管理平台、网络审计、日志审计、堡垒机、漏扫、终端安全管理等能力进行建设。
随着信息时代向数据时代的转变,数据安全更接近安全保护的目标。重点关注数据生命周期过程中的安全防护,例如,在采集阶段需要对数据做识别、分类分级;在传输阶段,需要实现数据的加密传输;在存储阶段,需要实现数据加密存储、存储介质的管理;在分析阶段,需要实现数据防泄密、数据脱敏、数据操作审计等功能;在共享阶段,需要对人员的身份、操作做管理;在销毁阶段,利用格式化、物理破坏等方式进行销毁。
数据价值被越来越多人的广泛认识,国内外很多企业都已建立了数据安全管理部门,与原来负责传统网络安全部门平级。在网络与数据安全中间确实存在着一些交叉部分,比如在身份认证、权限管理、访问控制等方面。我们建议从基于零信任架构和网络数据防泄漏两方面建设。零信任的做法是先信任,后连接,只有通过动态的认证和授权,才可能发起对数据资源的访问连接,这是和传统网络安全方法的主要区别。同时对网络数据传输过程中数据内容的进行监察,保障数据在可控范围内正常使用。
Q7:数据安全治理与数据治理的区别?
数据治理是对数据资产管理行使权力和控制的活动,是将原始、离散的数据通过梳理、清洗、归集等方式形成有价值的数据目录,通过数据治理可以提升数据的价值。
在DAMA 数据管理知识体系指南中,数据治理位于数据管理“车轮图”的正中央,是数据架构、数据建模、数据存储、数据安全、数据质量、元数据管理、主数据管理等10大数据管理领域的总纲,为各项数据管理活动提供总体指导策略。
DAMA-DMBOK2.0 数据管理车轮图
数据安全治理属于数据治理中的一个重要重要组成部分,通过数据资产识别、分类分级、数据管理,提升数据使用过程中的安全性避免数据丢失、泄露、篡改。
大部分人们在做信息化安全建设时,潜意识中认为只要采购一些安全设备,保障业务系统的正常使用就可以了,事实上这样做完全没有考虑到业务和管理的现状。《数据安全法》第四条中,明确要求企业要建立健全数据安全治理体系。切忌不可直接告诉客户采购数据安全产品,这样只会让客户感觉我们是推销产品,而不是帮其解决问题的,所以我们需要先了解清楚用户现场的组织架构、业务系统、安全制度等信息,为接下来的安全能力建设打好基础。