數(shù)據(jù)安全治理現(xiàn)狀研究與分析

龔詩然 劉雪花

(中國信息通信研究院云計算與大數(shù)據(jù)研究所，北京 100191)

0 引言

2021年《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)頒布[1]，提出建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力，倡導(dǎo)全社會共同維護數(shù)據(jù)安全。企業(yè)作為開展數(shù)據(jù)處理活動的主要組織，應(yīng)積極履行數(shù)據(jù)安全保護義務(wù)，遵守國家、各行業(yè)、各地監(jiān)管要求，開展數(shù)據(jù)安全治理工作，提升數(shù)據(jù)安全治理能力。

有效識別企業(yè)的數(shù)據(jù)安全問題，客觀評價其數(shù)據(jù)安全治理水平離不開檢測與評估。2020年，中國信息通信研究院牽頭制定團體標(biāo)準(zhǔn)T/ISC-001-2021《數(shù)據(jù)安全治理能力評估方法》[2]，該標(biāo)準(zhǔn)提出的“數(shù)據(jù)安全治理能力評估框架”創(chuàng)造性地提出，企業(yè)或第三方評估機構(gòu)可從組織架構(gòu)、制度流程、技術(shù)工具、人員能力四大維度入手，進(jìn)行數(shù)據(jù)安全治理能力評估。

如圖1所示，數(shù)據(jù)安全治理能力評估框架將數(shù)據(jù)安全治理分為三大層次，即數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全和基礎(chǔ)安全[3]。數(shù)據(jù)安全戰(zhàn)略指組織的數(shù)據(jù)安全頂層規(guī)劃，起到為數(shù)據(jù)安全治理“搭框架”“配人手”的作用；數(shù)據(jù)全生命周期安全指組織在數(shù)據(jù)全生命周期的安全管控措施；基礎(chǔ)安全指組織在數(shù)據(jù)基礎(chǔ)安全方面的保障能力，起到支撐與保障作用。

本文根據(jù)2021年參與企業(yè)數(shù)據(jù)安全治理能力評估的33家企業(yè)情況，進(jìn)行企業(yè)數(shù)據(jù)安全治理建設(shè)情況的總結(jié)與分析，并提供相關(guān)建議。

1 數(shù)據(jù)安全治理建設(shè)現(xiàn)狀

1.1 數(shù)據(jù)安全治理組織架構(gòu)初具雛形

企業(yè)的數(shù)據(jù)安全治理是企業(yè)綜合考慮業(yè)務(wù)當(dāng)前與未來發(fā)展需要，為保障數(shù)據(jù)安全所開展的一項系統(tǒng)工程。作為這一系統(tǒng)工程的相關(guān)方，各部門需要圍繞企業(yè)的數(shù)據(jù)安全方針，就如何開展配合與協(xié)作、完善制度規(guī)范文件、部署安全技術(shù)產(chǎn)品、提升人員安全意識與能力。因此，為確保內(nèi)部對數(shù)據(jù)安全治理的方針達(dá)成共識、合理配置數(shù)據(jù)安全工作任務(wù)與資源，需要建立企業(yè)層面的高層級決策、管理機構(gòu)，使各部門、崗位人員明確其具體職責(zé)與分工。此外，該組織應(yīng)能夠評價，以保障企業(yè)數(shù)據(jù)安全治理的持續(xù)性改進(jìn)。

圖1 數(shù)據(jù)安全治理能力評估框架

根據(jù)《大數(shù)據(jù)白皮書2021》[6]，企業(yè)的數(shù)據(jù)安全治理組織架構(gòu)初具雛形。77.5%的企業(yè)已建立有效的數(shù)據(jù)安全管理機構(gòu)與運行機制，基本明確了決策者、管理者、執(zhí)行者的角色與職責(zé)。數(shù)據(jù)安全治理的機構(gòu)組織形式主要分為數(shù)據(jù)安全治理委員會與網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組。

如圖2所示，相較于網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，數(shù)據(jù)安全治理委員會的組織形式更具先進(jìn)性：數(shù)據(jù)安全治理委員會可圍繞數(shù)據(jù)的全生命周期安全，以專項工作組為單位，靈活地響應(yīng)最新的法律法規(guī)、監(jiān)管要求，協(xié)同開展各類專項工作。此外，數(shù)據(jù)安全治理委員會的成員不局限于安全、運維等部門人員。數(shù)據(jù)安全治理委員會可根據(jù)成員的實體崗位職責(zé)，從編制數(shù)據(jù)安全規(guī)范文件、引進(jìn)數(shù)據(jù)安全技術(shù)產(chǎn)品等方面，建設(shè)企業(yè)數(shù)據(jù)安全治理體系。

圖2 數(shù)據(jù)安全管理機構(gòu)形式對比圖

1.2 數(shù)據(jù)安全人才培訓(xùn)體系逐步建立

企業(yè)數(shù)據(jù)安全治理工作的效果很大程度上取決于相關(guān)崗位人員的執(zhí)行情況。為進(jìn)一步落實數(shù)據(jù)安全戰(zhàn)略下的具體工作，企業(yè)需要通過盤點崗位職責(zé)、評估人員能力，將工作任務(wù)與具體的崗位、人員進(jìn)行匹配。也需通過梳理當(dāng)前的數(shù)據(jù)安全人才需求，分析當(dāng)前人員的能力水平差距，不斷完善數(shù)據(jù)安全培訓(xùn)機制。

《數(shù)據(jù)安全行業(yè)調(diào)研報告》統(tǒng)計顯示[4]，企業(yè)逐漸重視數(shù)據(jù)安全人員的能力培養(yǎng)：58.8%的企業(yè)認(rèn)為數(shù)據(jù)安全治理面臨的最大挑戰(zhàn)是專業(yè)人才缺失。為落實數(shù)據(jù)安全戰(zhàn)略，企業(yè)開始關(guān)注數(shù)據(jù)安全培訓(xùn)體系的建設(shè)：68.9%的企業(yè)已初步建立內(nèi)部數(shù)據(jù)安全人才培訓(xùn)體系，培訓(xùn)內(nèi)容覆蓋了法律法規(guī)解讀、保密意識教育、數(shù)據(jù)安全技術(shù)培訓(xùn)等多個方向。

如圖3所示，雖然數(shù)據(jù)安全人才培訓(xùn)體系逐步完善，但由于部分課題(如數(shù)據(jù)安全風(fēng)險分析、數(shù)據(jù)安全審計等)仍處于探索階段，企業(yè)對專業(yè)培訓(xùn)服務(wù)產(chǎn)生一定的采購需求。同時，安全服務(wù)供應(yīng)商緊密布局培訓(xùn)服務(wù)業(yè)務(wù)：安全服務(wù)供應(yīng)商計劃完善數(shù)據(jù)安全培訓(xùn)服務(wù)方案，開拓數(shù)據(jù)安全培訓(xùn)業(yè)務(wù)。這有望助推企業(yè)的數(shù)據(jù)安全人才培訓(xùn)內(nèi)容逐步完善。

圖3 數(shù)據(jù)安全培訓(xùn)課題分布圖

1.3 數(shù)據(jù)安全技術(shù)規(guī)劃布局由“點”向“面”

完善的數(shù)據(jù)安全技術(shù)框架能夠為數(shù)據(jù)安全治理提供可行性保障，企業(yè)在技術(shù)工具的布局與應(yīng)用方面加強數(shù)據(jù)安全技術(shù)規(guī)劃，防護布局由“點”向“面”趨勢漸顯。根據(jù)調(diào)研實踐，企業(yè)基于數(shù)據(jù)資產(chǎn)管理與分類分級，圍繞數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀等全生命周期，建立了廣范圍、細(xì)顆粒度、一體化、自動化的技術(shù)體系，對安全風(fēng)險進(jìn)行動態(tài)評估并采取差異化的管控措施。

此外，企業(yè)通過應(yīng)用多種數(shù)據(jù)安全產(chǎn)品(如數(shù)據(jù)分類分級、數(shù)據(jù)網(wǎng)關(guān)、數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)審計等工具)，由單點技術(shù)布局走向數(shù)據(jù)安全防護面建設(shè)，實現(xiàn)數(shù)據(jù)生命周期全流程覆蓋、多層次防護，為數(shù)據(jù)安全治理提供可行性保障。

1.4 數(shù)據(jù)分類分級工作率先落地

數(shù)據(jù)分類分級工作在數(shù)據(jù)安全戰(zhàn)略中具有極其重要的地位。

在國家立法層面，《數(shù)據(jù)安全法》提出，國家建立數(shù)據(jù)分類分級保護制度，各地區(qū)、部門以及相關(guān)行業(yè)、領(lǐng)域應(yīng)根據(jù)數(shù)據(jù)的重要程度與被利用時的危害程度，對數(shù)據(jù)實行分類分級保護。重要數(shù)據(jù)應(yīng)進(jìn)入重要數(shù)據(jù)目錄，進(jìn)行重點保護。

在分級標(biāo)準(zhǔn)層面，多個國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)(如《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法(報批稿)》)[5]，為企業(yè)的數(shù)據(jù)分類分級工作提供了基本理論。

在落地層面，《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》提出工業(yè)和電信數(shù)據(jù)分類分級的相關(guān)定義與管理工作要求，為涉及重要數(shù)據(jù)和核心數(shù)據(jù)的工業(yè)和電信企業(yè)提供了“分級防護”“備案管理”等工作思路。

企業(yè)普遍將數(shù)據(jù)分類分級作為內(nèi)部管理制度建設(shè)、技術(shù)體系搭建的基礎(chǔ)工程。90.3%的企業(yè)結(jié)合國家法律法規(guī)與自身業(yè)務(wù)特點，制定了企業(yè)內(nèi)部數(shù)據(jù)分類分級管理辦法，并通過相關(guān)產(chǎn)品、工具對策略進(jìn)行具體落實[6]。企業(yè)數(shù)據(jù)分類分級制度、技術(shù)的落地程度相對高于其他基礎(chǔ)安全建設(shè)工作，為不同類別、級別的數(shù)據(jù)安全管理筑牢能力底座。

1.5 數(shù)據(jù)共享的安全管理亟需提升重視

數(shù)據(jù)在企業(yè)內(nèi)部、企業(yè)之間或者企業(yè)與個人之間的流通已成為常態(tài)。數(shù)據(jù)共享作為企業(yè)數(shù)據(jù)流通的典型場景，其所面臨的數(shù)據(jù)泄露、篡改、非法獲取、利用等安全風(fēng)險危害大、概率高、溯源難。相較于國外的數(shù)據(jù)共享法律法規(guī)體系，國內(nèi)企業(yè)由于相關(guān)法律尚未完善、技術(shù)相對滯后等問題，隨著其數(shù)據(jù)的開放程度逐步上升，在數(shù)據(jù)共享場景下所面臨的安全風(fēng)險也逐漸突出。

在2021年企業(yè)數(shù)據(jù)安全治理能力評估中，許多企業(yè)缺乏數(shù)據(jù)共享場景下的安全管控經(jīng)驗，普遍對數(shù)據(jù)共享安全的重視程度不高，未形成規(guī)范的數(shù)據(jù)共享安全管控機制。

2 數(shù)據(jù)安全治理能力提升建議

2.1 堅持系統(tǒng)性、持續(xù)性的數(shù)據(jù)安全治理

數(shù)據(jù)安全治理覆蓋企業(yè)數(shù)據(jù)、業(yè)務(wù)、技術(shù)、管理等多個方面，是一項需要多方聯(lián)動的復(fù)合型工作。企業(yè)應(yīng)系統(tǒng)地進(jìn)行數(shù)據(jù)安全治理能力建設(shè)，圍繞數(shù)據(jù)的產(chǎn)生、加工、使用、流通、銷毀等環(huán)節(jié)，進(jìn)行總體布局、全面規(guī)劃。企業(yè)可以構(gòu)建貫穿各層面的數(shù)據(jù)安全治理組織架構(gòu)，全面梳理業(yè)務(wù)場景并設(shè)計體系化的安全制度流程，配合應(yīng)用自動化工具、平臺，實現(xiàn)數(shù)據(jù)安全治理“一盤棋”。同時，企業(yè)通過搭建專業(yè)的人才梯隊與培訓(xùn)機制，為數(shù)據(jù)安全管理工作持續(xù)積蓄力量。

數(shù)據(jù)安全治理不僅限于解決企業(yè)當(dāng)前的數(shù)據(jù)安全困境，還致力于企業(yè)數(shù)據(jù)安全長遠(yuǎn)發(fā)展，是一項長期工程。如圖4所示，企業(yè)可采用“PDCA(規(guī)劃—執(zhí)行—檢查—處置)”的模式，持續(xù)提升數(shù)據(jù)安全治理能力。企業(yè)可將數(shù)據(jù)安全上一階段未解決的問題作為下一階段規(guī)劃的輸入，通過不斷優(yōu)化制度流程落地效果、提升技術(shù)與產(chǎn)品應(yīng)用水平、強化人員安全意識與能力、明確未來數(shù)據(jù)安全治理發(fā)展方向等，實現(xiàn)數(shù)據(jù)安全治理的長周期閉環(huán)。

圖4 數(shù)據(jù)安全治理能力提升示意圖

2.2 完善數(shù)據(jù)流動過程中的安全管理舉措

在國家鼓勵數(shù)據(jù)流動和共享的大背景下，企業(yè)應(yīng)強化數(shù)據(jù)共享的安全管控，一方面需要重視數(shù)據(jù)共享安全，完善相關(guān)的管理制度、規(guī)范(如數(shù)據(jù)使用備案登記制度、數(shù)據(jù)合作保密責(zé)任協(xié)議、數(shù)據(jù)合作對象安全能力評估規(guī)范等)，將其落實制度章程、正式文件內(nèi)，使各部門、崗位人員與外部相關(guān)方能夠正確理解數(shù)據(jù)共享安全的重要性與必要性；另一方面，需要基于數(shù)據(jù)分類分級的結(jié)果，逐步完善數(shù)據(jù)共享行為的定義及其管控機制(如數(shù)據(jù)共享審批流、臺賬記錄、定期審計報告等)，確保數(shù)據(jù)共享活動中各環(huán)節(jié)路徑清晰、過程安全可控和監(jiān)管有效。

此外，無論是在數(shù)據(jù)流動的任一場景，還是在數(shù)據(jù)安全治理的整體框架中，數(shù)據(jù)泄露溯源都是數(shù)據(jù)安全管理的一大重要環(huán)節(jié)，要求企業(yè)具備監(jiān)控與審計的技術(shù)能力與管理機制。企業(yè)可以通過加強識別敏感信息的特征、收集數(shù)據(jù)全生命周期中的數(shù)據(jù)使用行為等信息，進(jìn)行智能關(guān)聯(lián)和分析，實現(xiàn)數(shù)據(jù)安全風(fēng)險分析與告警、事件溯源取證、數(shù)據(jù)共享安全性評估仲裁等，形成包含應(yīng)對措施的審計報告，并持續(xù)優(yōu)化安全策略。

2.3 充分引進(jìn)第三方數(shù)據(jù)安全評估服務(wù)

由于數(shù)據(jù)安全治理具有系統(tǒng)性、持續(xù)性的特點，如何評價數(shù)據(jù)安全治理效果并對治理體系進(jìn)行優(yōu)化與升級，是企業(yè)數(shù)據(jù)安全治理能力建設(shè)過程中的重要問題。根據(jù)2021年企業(yè)數(shù)據(jù)安全治理能力評估情況[6]，52.6%的企業(yè)認(rèn)為第三方數(shù)據(jù)安全評估服務(wù)可以綜合考慮被評估對象的業(yè)務(wù)特點與監(jiān)管要求，能夠客觀、公正地評價工作的有效性，有助于企業(yè)發(fā)現(xiàn)自身不足，獲取業(yè)內(nèi)的優(yōu)秀實踐，提升數(shù)據(jù)安全治理能力。

第三方數(shù)據(jù)安全治理評估與企業(yè)自評估相結(jié)合，有助于企業(yè)避免“燈下黑”的評估結(jié)果。一方面，企業(yè)通過第三方評估，可以有效發(fā)現(xiàn)當(dāng)前的數(shù)據(jù)安全問題，參考評估報告采取適當(dāng)?shù)恼拇胧?；另一方面，第三方評估有助于企業(yè)將數(shù)據(jù)安全風(fēng)險前置，企業(yè)內(nèi)部各層級、崗位人員在配合評估工作的過程中能夠正視數(shù)據(jù)安全風(fēng)險，樹立企業(yè)數(shù)據(jù)安全“大局觀”，理解數(shù)據(jù)安全法律、法規(guī)和標(biāo)準(zhǔn)的要求，明確企業(yè)數(shù)據(jù)安全面臨的風(fēng)險與挑戰(zhàn)，對企業(yè)短期的數(shù)據(jù)安全工作與長期的數(shù)據(jù)安全規(guī)劃有更加深刻的認(rèn)識，做到“心中有數(shù)”，使企業(yè)能夠控制潛在的管理、合規(guī)成本。

第三方數(shù)據(jù)安全治理評估也有助于跟同行業(yè)的橫向?qū)Ρ?。第三方評估具備發(fā)現(xiàn)企業(yè)數(shù)據(jù)安全治理共性問題、能力短板的經(jīng)驗優(yōu)勢，可以為企業(yè)提供發(fā)展性的治理建議，有助于企業(yè)持續(xù)修正已采取的安全措施，規(guī)劃數(shù)據(jù)安全治理長期發(fā)展路徑。

3 結(jié)束語

本文基于中國信息通信研究院在2021年開展的企業(yè)數(shù)據(jù)安全治理能力評估工作實踐，盤點、分析企業(yè)數(shù)據(jù)安全治理工作現(xiàn)狀，對企業(yè)數(shù)據(jù)安全治理的現(xiàn)狀、亮點與問題進(jìn)行研究，并給出對應(yīng)的改進(jìn)建議、能力提升思路，為業(yè)界各組織提高自身數(shù)據(jù)安全治理能力提供有效參考。企業(yè)的數(shù)據(jù)安全治理需要持續(xù)觀察、研究和分析。后續(xù)將根據(jù)業(yè)內(nèi)先進(jìn)的數(shù)據(jù)安全治理實踐，完善數(shù)據(jù)安全治理方法論，提供更多角度下的數(shù)據(jù)安全治理能力提升思路。