張 輝

（衡水開放大學， 河北 衡水 053000）

在數(shù)字經(jīng)濟時代，數(shù)據(jù)是企事業(yè)單位的核心資產(chǎn)。隨著網(wǎng)絡的大規(guī)模發(fā)展和各種應用的深入使用，數(shù)據(jù)泄密事件層出不窮，根據(jù)Risk Based Security發(fā)布的數(shù)據(jù)泄露報告，與2019年同期相比，2020年數(shù)據(jù)泄露事件發(fā)生的數(shù)量和泄漏的數(shù)據(jù)量均增加了50%以上，涉及的行業(yè)包括醫(yī)療保健行業(yè)、金融保險行業(yè)、教育行業(yè)、快遞行業(yè)等諸多領域；另有用戶發(fā)現(xiàn)5.38億條微博用戶信息在暗網(wǎng)出售，這些泄密大都以用戶身份信息和賬戶信息為主，甚至包括人臉識別數(shù)據(jù)。由此可見，隨著網(wǎng)絡技術的不斷應用，數(shù)據(jù)安全防護所面臨的風險相比以前也發(fā)生了根本性的變化。[1]

為了保護和合理利用數(shù)據(jù)，各國紛紛出臺了一系列政策和措施。2018年，歐盟出臺了《通用數(shù)據(jù)保護條例》，先后給Google、Facebook等諸多企業(yè)開出了天價罰單，被稱為史上最嚴監(jiān)管條例；2021年6月10日我國正式頒布《數(shù)據(jù)安全法》，作為企業(yè)來給用戶提供更便捷的服務，在搜集大量的用戶信息后，由于各種原因?qū)е聰?shù)據(jù)泄露，不僅面臨巨大的經(jīng)濟損失，嚴重的還要承擔相應法律責任。[2]

國家相繼出臺的法律文件和各種處罰措施，為網(wǎng)絡安全、數(shù)據(jù)安全工作的開展畫定了紅線，同時也給我們的工作提供了方向上的指引。為了保護數(shù)據(jù)安全，避免信息泄露和信息濫用帶來的損失，在企業(yè)內(nèi)部，我們有必要建立一套合法合規(guī)的數(shù)據(jù)安全管理體系。例如，在《網(wǎng)絡安全法》中要求企業(yè)明確誰來擔當主體安全責任？誰來履行企業(yè)安全義務？哪些人對安全違規(guī)事件負責？在《數(shù)據(jù)安全法》中則明確主管部門在落實安全監(jiān)管職責時有權(quán)利對組織、個人處理數(shù)據(jù)活動中存在較大數(shù)據(jù)安全風險的進行約談，并要求其做出整改，對有重大數(shù)據(jù)泄露并危害國家安全的行為依法追究刑事責任。我們要探討的正是一個基于安全責任及量化考核的數(shù)據(jù)安全建設思路。

一、企業(yè)數(shù)據(jù)安全現(xiàn)狀分析

在過去的幾十年間，信息化的發(fā)展逐步把企業(yè)的業(yè)務流程系統(tǒng)化、資產(chǎn)數(shù)字化。時至今日，隨著信息化的發(fā)展，網(wǎng)絡安全問題也愈演愈烈，數(shù)據(jù)資產(chǎn)的價值越來越高，數(shù)據(jù)安全問題也隨之影響到企業(yè)的生存競爭力，影響到人們的生活甚至生命。因此，數(shù)據(jù)安全建設工作勢在必行。然而，很多企業(yè)普遍面臨著以下五方面的問題。

1.梳理企業(yè)擁有的數(shù)據(jù)資產(chǎn)

要進行數(shù)據(jù)資產(chǎn)的梳理，至少明確以下五個問題：（1）企業(yè)擁有哪些重要數(shù)據(jù)和隱私數(shù)據(jù)？（2）這些數(shù)據(jù)到底有多重要？（3）這些數(shù)據(jù)分布在哪？（4）這些數(shù)據(jù)歸誰所有，誰在使用？誰是數(shù)據(jù)責任人？（5）與誰共享這些數(shù)據(jù)？是否應該共享，該如何共享？

2.確定數(shù)據(jù)安全建設的目標

數(shù)據(jù)安全工作的目標由誰來確定？如何確定？在這里，有以下四點建議：（1）數(shù)據(jù)安全整體目標應該與公司戰(zhàn)略目標一致；（2）除了在組織層面建立總體目標以外，還要在相關的職能和各個層次上都要建立數(shù)據(jù)安全目標；（3）盡可能地去量化這個目標，以便后期進行測量和評價；（4）最終目標應形成文件化資料，并定期評審。

3.把握數(shù)據(jù)安全建設工作的方向

數(shù)據(jù)安全建設首先要滿足國家政策、法律法規(guī)以及行業(yè)合規(guī)監(jiān)管的要求，這便是數(shù)據(jù)安全建設的外部驅(qū)動力；同時，應著眼于企業(yè)內(nèi)部高管層、業(yè)務層的視角，想之所想，思其所思，確保數(shù)據(jù)安全建設的工作方向與管理層的意志一致，與業(yè)務層的需求相融合，這便是數(shù)據(jù)安全建設的內(nèi)部驅(qū)動力。

4.掌控數(shù)據(jù)安全政策推進的深度

對于企業(yè)內(nèi)部多樣化的業(yè)務環(huán)境、業(yè)務需求，數(shù)據(jù)安全策略能否一概而論？能否一刀切？顯然不能，因為它的分支機構(gòu)、分公司、子公司，有參股、控股也有全資的，這種“親子”關系的差異就決定了集團的數(shù)據(jù)安全策略在每一個分、子公司落地時產(chǎn)生差異是必然的，一刀切的后果就是要么策略要求太高，在分、子公司推動時“水土不服”，阻力太大無法落地；要么就是策略要求過于寬松，被各分、子公司欣然接收，但是達不到應有的數(shù)據(jù)安全保護級別。所以，對于業(yè)務類型多樣化、業(yè)務模式復雜化的大企業(yè)來說，就需要制定一個針對各分、子公司的差異化的、分等級的數(shù)據(jù)安全策略。

5.任命數(shù)據(jù)安全官

對于大多數(shù)企業(yè)來說，領導層仍然沒有把數(shù)據(jù)安全當作他們的首要任務。密碼仍未加密存儲，敏感文件仍未加密發(fā)送，敏感數(shù)據(jù)仍然存儲在公共服務器上。除非公司董事會成員定期討論數(shù)據(jù)安全問題，否則就不夠重視它。因此，每個大型公司都應該聘請一位專門負責數(shù)據(jù)安全的C級高管暨首席數(shù)據(jù)安全官(CSO)，不僅負責公司整體的數(shù)據(jù)安全分析，還負責與數(shù)據(jù)相關的任何事情。[3]

CSO在公司領導層中扮演一個重要的角色，他會時刻考慮如何應對持續(xù)的威脅，如何減少公司IT系統(tǒng)遭受（大規(guī)模）網(wǎng)絡攻擊的風險，他的工作重心在于預防、發(fā)現(xiàn)和應對數(shù)據(jù)泄露，這需要所有部門的參與。從2021年開始CSO的人數(shù)正在上升，近三分之二的大公司開始著手聘請CSO，雖然這有粉飾門面的可能，但是CSO將在未來的公司發(fā)展中起到至關重要的作用。

二、業(yè)務系統(tǒng)流程分析

1.勾畫實際運轉(zhuǎn)的業(yè)務系統(tǒng)流程圖

對數(shù)據(jù)實施全生命周期的保護離不開業(yè)務流程的梳理，建議從如下四項工作梳理業(yè)務系統(tǒng)關系：（1）在業(yè)務流程圖中劃分安全域；（2）能聯(lián)合將流程細節(jié)講透徹的人在哪；（3）業(yè)務流程中利益相關人有哪些；（4）業(yè)務流程中出過的事故、事件細節(jié)如何。

2.明晰的業(yè)務系統(tǒng)流程分析

當前形勢是，數(shù)據(jù)責任人不明確，數(shù)據(jù)使用要求和保護需求不清晰；需要對數(shù)據(jù)實施全生命周期的保護，但隨著我們業(yè)務流程的復雜化、分工精細化，想找一個人把整個業(yè)務流程說清楚很困難；公司的數(shù)據(jù)資產(chǎn)價值越來越高，卻不知如何對它進行妥當?shù)谋Ｗo。因此，首先要了解需要保護的數(shù)據(jù)資產(chǎn)是什么，數(shù)據(jù)分布在什么環(huán)節(jié)，這些數(shù)據(jù)歸誰所有，誰在使用等。梳理清楚這些問題，我們才能進行有效的數(shù)據(jù)安全治理和監(jiān)控。

3.對數(shù)據(jù)流風險點進行分析

CSO要充分發(fā)揮角色功能，全面把握風險點的存在。（1）是否把握實際運轉(zhuǎn)的網(wǎng)絡流程圖細節(jié)；（2）是否把握實際運轉(zhuǎn)的數(shù)據(jù)流程圖細節(jié)；（3）數(shù)據(jù)流程圖中的風險點有哪些；（4）風險點控制能施加多少種措施；（5）風險點控制已經(jīng)施加了多少種措施。另外，企業(yè)數(shù)據(jù)業(yè)務流程出過什么樣的事故，取決于對流程圖中每個環(huán)節(jié)風險點的把握和風險控制措施。比如，某車險將到期，一個多月前就有保險公司打電話轟炸，可是等某一天續(xù)保后馬上就沒有銷售電話了，這足以表明數(shù)據(jù)泄露之快，車險數(shù)據(jù)的保密性得不到保證。

4.對數(shù)據(jù)分類、分級、分權(quán)操作

（1）業(yè)務系統(tǒng)中有哪些種類的數(shù)據(jù)；（2）業(yè)務系統(tǒng)總數(shù)據(jù)所有者分別是誰；（3）每種數(shù)據(jù)的生命周期節(jié)點是否缺少安全控制；（4）業(yè)務系統(tǒng)數(shù)據(jù)分別屬于哪個安全級別。

5.業(yè)務系統(tǒng)數(shù)據(jù)中賬戶擁有的具體權(quán)限分析

數(shù)據(jù)有哪些類別，分類、分級、分權(quán)，保護到什么程度，就權(quán)限而言，每個人應當如何進行職責分離，如何把權(quán)限劃分開，如何把管理人員調(diào)離崗位后的權(quán)限收回，針對這些問題就要對數(shù)據(jù)進行全面定義，由數(shù)據(jù)所有者來完成此項操作。

6.對數(shù)據(jù)異常規(guī)則進行分析

（1）業(yè)務中都有哪些違規(guī)違法或者異常事件；（2）業(yè)務安全事件發(fā)生時有什么樣的特征；（3）根據(jù)安全事件提煉的異常規(guī)則有哪些；（4）具體崗位如何進行異常規(guī)則的監(jiān)控落地；（5）應用系統(tǒng)如何設置埋點監(jiān)控異常。比如高校畢業(yè)證的數(shù)據(jù)信息，如果黑客對數(shù)據(jù)庫中兩條相鄰記錄操作造成非關鍵字段相同，通過數(shù)據(jù)異常規(guī)則分析，就能將判斷數(shù)據(jù)出現(xiàn)安全問題的概率大大提高。

三、數(shù)據(jù)安全治理與監(jiān)控

1.責任矩陣梳理確認

（1）法律法規(guī)與客戶要求導出的企業(yè)責任有哪些；（2）外部責任引發(fā)的法律義務和經(jīng)濟處罰有哪些；（3）外部源動力是否能百分之百傳導至企業(yè)內(nèi)部各個節(jié)點；（4）高層的鍋如何變中層的碗，中層的碗又變員工的杯；（5）是否建立了部門級與崗位級責任矩陣。

2.數(shù)據(jù)法律責任簽署

（1）是否明確數(shù)據(jù)安全責任界面劃分；（2）是否根據(jù)業(yè)務現(xiàn)狀分析了數(shù)據(jù)安全法律責任；（3）是否結(jié)合法律法規(guī)明確了部門和崗位的法律責任；（4）是否進行法律責任宣貫并簽署個人的法律責任書；（5）是否將法律責任書細化到工作流程中。

崗位意識和責任是業(yè)績的一部分，要做到量化考核，有必要建立一套合適的管理方法。按照某一標準針對不同的單位和部門進行考核的一刀切的管理方式是不可取的，應該按照不同級別和不同需求，要求各部門主動申報屬于哪個安全級別，比如一、二、三、四級，然后按照級別進行檢查；如果該部門對自己報送的安全級別過低，檢查時就會暴露問題，相應地就會縮減部門的預算或者相關績效的發(fā)放，那各部門就會爭先恐后的提高自己的安全級別，這就變成了數(shù)據(jù)安全工作源動力。

3.數(shù)據(jù)預警指標體系

（1）哪些指標能夠反映數(shù)據(jù)安全態(tài)勢；（2）是否將重要指標設置監(jiān)控措施并實現(xiàn)預警；（3）是否實現(xiàn)預警指標根據(jù)安全事件映射了對應關系；（4）是否建立了預警指標體系對應的應急預案；（5）是否對預警指標體系應急預案進行了演練。

數(shù)據(jù)預警指標體系，前面我們提到知曉了風險點在哪里，明晰了異常規(guī)則是什么，就可以借力埋點進行數(shù)據(jù)異常預警；很多預警都是借助外部的安全設備，比如防火墻、行為監(jiān)控等各種安全設備，但還是沒有徹底解決問題，于是我們要做內(nèi)嵌式網(wǎng)絡安全，把安全做在應用系統(tǒng)里面，設置一些埋點；比如QQ異地登錄，這便是埋點，很多應用程序都可以設置埋點，一旦發(fā)現(xiàn)埋點被觸發(fā)，我們就知道數(shù)據(jù)出問題了。因此我們需要建立數(shù)據(jù)預警體系，多個埋點就形成了監(jiān)控指標，這些指標的變化就能幫助我們監(jiān)控數(shù)據(jù)安全。

4.分級分權(quán)量化考核

（1）是否建立了自上而下的安全管理機制；（2）是否在企業(yè)內(nèi)部建立自主定級按需保護體系；（3）各部門各分支機構(gòu)是否按需申報安全建設等級；（4）是否周期性按申報級別開展各部門審查；（5）在業(yè)績匯報會上是否實現(xiàn)安全業(yè)績與業(yè)務業(yè)績掛鉤。

以業(yè)績?yōu)閷颍ㄟ^劃分組織、量化分權(quán)、權(quán)力下沉，建立科學、規(guī)范的分級分權(quán)量化考核體系，充分挖掘和發(fā)揮各層級對數(shù)據(jù)安全體系的認知水平和管理機制，進而實現(xiàn)數(shù)據(jù)安全管理方面的突破和精進。

5.安全水平螺旋上升

（1）是否將安全水平的變化趨勢匯報給高層；（2）是否建立優(yōu)秀的安全貢獻者獎勵計劃；（3）針對違規(guī)者是否采用適合本地文化的懲罰；（4）是否建立可全面推廣的安全流程最佳實踐；（5）是否建立詳細的安全事件檔案庫。

從早期的水平管理、上下級管理，發(fā)展到如今倡導的斜向管理，企業(yè)的發(fā)展也要求數(shù)據(jù)安全形成一條柵格形狀和周期性審查機制，這樣就能實現(xiàn)與業(yè)績掛鉤，因此，數(shù)據(jù)安全建設一定是螺旋式上升的。[4]

另外，企業(yè)需要培養(yǎng)優(yōu)秀的數(shù)據(jù)安全工作者，以及本地化的企業(yè)文化，逐步建立起數(shù)據(jù)安全事件庫。數(shù)據(jù)安全事件庫反映著各個部門、業(yè)務、人員相關聯(lián)的特點，而實際上，很多企業(yè)沒有將數(shù)據(jù)安全事件統(tǒng)計出來形成數(shù)據(jù)庫并存放。假設某專職數(shù)據(jù)安全員，經(jīng)過一段時間處理針對性的安全事件后，提升了自身能力水平，跳槽到別家公司，先期沒有對安全事件做統(tǒng)計整理，那么該崗位的繼任者將繼續(xù)面對類似的安全事件發(fā)生，若公司有數(shù)據(jù)安全事件庫建立的流程并得到真正落實，那以后的安全事故就會越來越少，這樣就形成了內(nèi)部管理、外部監(jiān)控的良性局面。

四、結(jié)語

2021年我國頒布的《數(shù)據(jù)安全法》明確了國家數(shù)據(jù)安全管理機制和三個層級構(gòu)成，對實現(xiàn)規(guī)范數(shù)據(jù)管理活動、保障數(shù)據(jù)安全、促進數(shù)據(jù)開發(fā)利用等起到了指導性作用，建立健全數(shù)據(jù)安全制度、建立數(shù)據(jù)分級分類保護制度和數(shù)據(jù)安全審查制度，形成數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制，建立數(shù)據(jù)安全應急處置機制；對企業(yè)提出明確要求，增強企業(yè)內(nèi)外數(shù)據(jù)管理，針對數(shù)據(jù)的重要程度、敏感程度對數(shù)據(jù)進行分級分類，并采取不同級別不同程度的保護措施，加強數(shù)據(jù)安全應急處置，消除安全隱患，否則將可能同時面臨較大經(jīng)濟賠償和嚴重的行政處罰；我國電子商務發(fā)展迅速，新時代大型電商企業(yè)在運營過程中，更要注重數(shù)據(jù)安全的建設，保護好網(wǎng)絡數(shù)據(jù)，防范個人數(shù)據(jù)和個人隱私的泄露，否則將會面臨生死存亡的危機。

由此可見，我國數(shù)據(jù)安全領域仍舊任重道遠，只有通過有效的技術手段和相關政策法規(guī)的完美結(jié)合，才能從根本上解決數(shù)據(jù)安全與數(shù)據(jù)泄露的保護問題。當然，安全也不是絕對的，在進攻和防守永不停歇的安全領域，只有不斷地進行管理提升和技術創(chuàng)新，才能有效保障數(shù)據(jù)的安全。