(中國信息通信研究院安全研究所,北京 100191)
0 引言
2020年,《中共中央 國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》發(fā)布,進一步提出要培育數(shù)據(jù)要素市場。在此背景下,數(shù)據(jù)作為新的生產(chǎn)要素,成為推動數(shù)字經(jīng)濟快速發(fā)展的首要推動力。2021年,《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)相繼頒布實施,我國數(shù)據(jù)安全頂層設(shè)計基本明確,數(shù)據(jù)安全被提到了非常重要的高度,與國家安全有著緊密的聯(lián)系。遵守數(shù)據(jù)安全法律法規(guī)政策要求,切實防范數(shù)據(jù)安全風險,成為組織數(shù)據(jù)安全合規(guī)體系建設(shè)的核心目標。本文提出了以合規(guī)為驅(qū)動的數(shù)據(jù)安全體系建設(shè)框架、實施流程,以及數(shù)據(jù)安全組織架構(gòu)體系、管理制度體系、技術(shù)體系框架。
1 現(xiàn)狀分析
當前,各項數(shù)據(jù)安全法律法規(guī)制度和監(jiān)管體系正日趨完善,但數(shù)據(jù)安全法律法規(guī)政策的落地實施是一個逐步推進的過程,組織機構(gòu)數(shù)據(jù)安全合規(guī)體系建設(shè)面臨的挑戰(zhàn)將長期存在。目前,各行業(yè)組織機構(gòu)的數(shù)據(jù)安全合規(guī)體系建設(shè)正處于發(fā)展階段,在組織體系、管理制度、技術(shù)手段等方面面臨著諸多挑戰(zhàn)。
針對以上挑戰(zhàn),國內(nèi)外相關(guān)學者圍繞數(shù)據(jù)安全合規(guī)體系建設(shè)提出了一系列體系模型,其中最具行業(yè)影響力的三個模型,分別是微軟的DGPC框架、Gartner的DSG框架和阿里巴巴提出的DSMM框架。
DGPC框架是以隱私、機密性和合規(guī)為目標的數(shù)據(jù)安全體系框架[1],主要是以方法論的方式明確數(shù)據(jù)安全建設(shè)的目標主要關(guān)注數(shù)據(jù)生命周期和核心技術(shù),但缺少對數(shù)據(jù)生命周期各環(huán)節(jié)落實數(shù)據(jù)安全工作的步驟和說明。
DSG的最大亮點是提出了數(shù)據(jù)安全的建設(shè)需要和業(yè)務(wù)緊密結(jié)合,在開展安全工作時需要充分考慮業(yè)務(wù)的可發(fā)展性,在安全與業(yè)務(wù)需求上尋找平衡點[2]。
DSMM框架由三個維度構(gòu)成,分別是安全能力、能力成熟度等級以及數(shù)據(jù)安全過程。安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力,包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。能力成熟度等級分為了5級,安全能力從1~5級依次增強。數(shù)據(jù)安全過程維度分為數(shù)據(jù)生存周期安全與通用安全兩個方面,30 個過程域(Process Area)和576 個基本實踐(Basic Practice)[3]。此框架要求較全面詳細,但對于中小型組織實現(xiàn)起來較為困難,在成本有限和業(yè)務(wù)安全需求復雜的場景下實施難度較大。
2 數(shù)據(jù)安全合規(guī)體系框架
本文提出了數(shù)據(jù)安全合規(guī)體系框架,以數(shù)據(jù)分類分級為基礎(chǔ),通過梳理合規(guī)和安全需求,進行差異化管控。從發(fā)現(xiàn)問題、整改建設(shè)到監(jiān)督檢查形成閉環(huán)迭代優(yōu)化,同時建設(shè)內(nèi)容覆蓋人員、制度、技術(shù)以及環(huán)境,并對每一個階段進行了定義,很好地過濾冗余的工作,提高了效率。數(shù)據(jù)安全合規(guī)體系框架如圖1所示。

圖1 數(shù)據(jù)安全合規(guī)體系框架
數(shù)據(jù)安全合規(guī)體系建設(shè)框架是數(shù)據(jù)安全建設(shè)工作的總體藍圖,首先依據(jù)合規(guī)評估、風險評估、個人信息影響評估等對組織現(xiàn)狀進行調(diào)研摸底、差距分析,發(fā)現(xiàn)安全隱患,其次根據(jù)調(diào)研中發(fā)現(xiàn)的問題為切入點,從數(shù)據(jù)安全組織、安全管理、安全技術(shù)等不同維度進行整改,完善數(shù)據(jù)安全能力,最后加入監(jiān)督檢查機制對安全能力的落地和實施進行持續(xù)監(jiān)督,從而明確下一步工作步驟,實現(xiàn)組織數(shù)據(jù)安全體系的持續(xù)優(yōu)化、螺旋上升。
框架縱向自上而下分別是數(shù)據(jù)安全組織體系、數(shù)據(jù)安全管理體系和數(shù)據(jù)安全技術(shù)體系。組織體系是整個體系的總體綱領(lǐng),要明確數(shù)據(jù)安全體系的組織架構(gòu)、權(quán)責劃分、基本原則、總體思路等大方針、大策略;管理體系是指組織體系大方針指引下的管理制度體系,建立金字塔式逐層向下細化的管理文件體系,規(guī)范和指導安全工作的有序開展;技術(shù)體系層就是對以上綱領(lǐng)、制度體系的落地實施,部署相關(guān)技術(shù)措施、手段來保障組織整個數(shù)據(jù)處理活動的安全。總體來說,是自上而下逐層落實的關(guān)系。
數(shù)據(jù)安全合規(guī)體系框架目標確定后,在實施具體的數(shù)據(jù)安全體系建設(shè)工作時,可采用圖2所示步驟開展。
(1)準備階段
準備階段的主要工作是確定合規(guī)依據(jù)、建立團隊、制定計劃、明確建設(shè)目標和范圍、收集相關(guān)資料,確定總體工作方針。
合規(guī)依據(jù)的確定,需要根據(jù)組織業(yè)務(wù)所在行業(yè)、所屬地域等,分析相關(guān)數(shù)據(jù)安全法律法規(guī)、政策文件、標準規(guī)范等文件,為每個客戶建立所應(yīng)遵守的數(shù)據(jù)安全合規(guī)清單。評估的范圍和目標方面,需要根據(jù)組織的業(yè)務(wù)與系統(tǒng)特點,確定評估的對象、重點關(guān)注的數(shù)據(jù)等內(nèi)容,確定組織的合規(guī)目標,制定出合規(guī)評估的要點和細項。此外,數(shù)據(jù)安全工作組織難度大。數(shù)據(jù)安全建設(shè)涉及多個部門,需要多部門協(xié)同分析,合理分配,共同承擔。因此,項目團隊需要通過組織最高領(lǐng)導人的授權(quán),賦予團隊負責人隨時協(xié)調(diào)組織內(nèi)部部門的權(quán)限。

圖2 實施方法流程及各階段主要活動
(2)調(diào)研階段
準備階段即數(shù)據(jù)安全初評階段,目的是明確當前組織數(shù)據(jù)安全工作現(xiàn)狀。
此階段通過問卷調(diào)研、現(xiàn)場訪談、文件核查等方式開展,進一步了解組織網(wǎng)絡(luò)架構(gòu)、系統(tǒng)部署情況等,形成記錄文件,如基礎(chǔ)信息收集調(diào)研問卷、現(xiàn)場訪談記錄,以及業(yè)務(wù)場景和系統(tǒng)數(shù)據(jù)處理活動梳理等。為后續(xù)的差距分析做準備,這個過程根據(jù)差距分析情況,也可能會有重復,如果分析過程中發(fā)現(xiàn)不清晰的地方,會進行再次調(diào)研確認。
(3)差距分析階段
差距分析階段主要分析現(xiàn)狀與目標之間的差距,給出整改建議。
此階段將調(diào)研結(jié)果與第一階段制定的目標進行對比分析,對組織的總體、數(shù)據(jù)處理活動、技術(shù)能力三方面的安全保護能力做出評價,形成差距分析表。
(4)整改提升階段
整改提升階段依據(jù)整改建議,改進和完善組織架構(gòu)、制度規(guī)范、技術(shù)能力。
此階段從組織、管理和技術(shù)三方面分別進行架構(gòu)和完善。本文將分別對組織體系、管理體系和技術(shù)體系的建設(shè)方法進行展開介紹。
(5)復評總結(jié)階段
復評總結(jié)階段總結(jié)建設(shè)完善后的效果,輸出評估報告,制定后續(xù)工作提升方案和工作計劃。
此階段對整個合規(guī)體系建設(shè)工作進行分析和總結(jié)達到以下三個目標:一是綜合評價組織數(shù)據(jù)安全合規(guī)總體水平和關(guān)鍵業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全管控技術(shù)能力;二是清晰呈現(xiàn)數(shù)據(jù)安全合規(guī)體系建設(shè)與提升過程;三是明確提出后續(xù)數(shù)據(jù)安全工作方向和步驟。
通過以上過程,滿足數(shù)據(jù)安全合規(guī)目標,同時提升組織總體數(shù)據(jù)安全水平。
• 數(shù)據(jù)安全合規(guī)體系建設(shè)三要素之一——數(shù)據(jù)安全組織體系
數(shù)據(jù)安全組織體系在整個數(shù)據(jù)安全合規(guī)建設(shè)中起著至關(guān)重要的作用,組織體系確定后,可以明確人員權(quán)責,覆蓋數(shù)據(jù)安全保障工作的全過程,避免人員權(quán)責分配不合理,導致無法有效開展數(shù)據(jù)安全工作。
數(shù)據(jù)安全合規(guī)建設(shè)中首先要明確數(shù)據(jù)安全組織架構(gòu),明確各相關(guān)部門所處的層級和相應(yīng)的職責(見圖3)。決策層主要由組織一把手負責、業(yè)務(wù)及技術(shù)部門領(lǐng)導共同參與,成立數(shù)據(jù)安全管理領(lǐng)導小組,主要職責包括決策和授權(quán)的工作。管理層指派數(shù)據(jù)安全負責人,負責組織數(shù)據(jù)安全管理的工作,同時各部門、各業(yè)務(wù)的負責人也要參與。執(zhí)行層主要由數(shù)據(jù)安全運營、技術(shù)團隊、運維團隊組成進行,數(shù)據(jù)安全相關(guān)要求、流程、制度以及日常審核等工作。監(jiān)督層主要由審計部門組成,監(jiān)督數(shù)據(jù)安全管理制度的落實等情況,以及各階段的審計、評估等工作。參與層包括公司所有員工及部門。
建立數(shù)據(jù)安全組織體系的基礎(chǔ)上,要明確部門間的權(quán)責邊界,組織架構(gòu)映射出的責任分配表如圖4所示。
安全部門負有安全監(jiān)管職責,負責策略規(guī)劃、監(jiān)督管理的落實執(zhí)行,牽頭負責能力建設(shè)、管理制度建設(shè)、安全運營管理與安全意識宣貫等工作。
• 數(shù)據(jù)安全合規(guī)體系建設(shè)三要素之二——數(shù)據(jù)安全管理體系
數(shù)據(jù)安全建設(shè)是一項需要多方聯(lián)動型的復合型工作,在開展管理體系建設(shè)時,需考慮組織層面實體的管理、執(zhí)行團隊以及虛擬的聯(lián)動小組,所有部門均需要參與數(shù)據(jù)安全建設(shè)當中。

圖3 數(shù)據(jù)安全組織架構(gòu)

圖4 組織架構(gòu)與部門權(quán)責映射矩陣圖
在管理體系建設(shè)方面,本文根據(jù)行業(yè)的最佳實踐給出了管理制度體系“金字塔”,如圖5所示,總體分為四個級別,分別是一級戰(zhàn)略方針,二級管理制度,三級規(guī)范和流程、四級執(zhí)行文件以及相關(guān)記錄,自頂而下,逐層細化。

圖5 制度體系
一級文件戰(zhàn)略方針明確組織管理要求、目標及基本原則,一般是“數(shù)據(jù)安全管理辦法”文件呈現(xiàn),其地位是組織的數(shù)據(jù)安全基本法。
二級文件管理制度是細化數(shù)據(jù)安全管理辦法中的相關(guān)要求,同時考慮科學性、合理性、完善性和適用性,常見的有組織架構(gòu)、人員安全管理制度、權(quán)限管理制度等。
三級文件規(guī)范和流程是對二級制度文件的落地性實現(xiàn),包括各業(yè)務(wù)、各產(chǎn)線的具體操作指南和規(guī)范,主要文件有分類分級規(guī)范、脫敏規(guī)范、使用規(guī)范、開放共享審批流程等,指導數(shù)據(jù)使用者在各場景、各階段的規(guī)范操作。
四級的執(zhí)行文件以及相關(guān)記錄可以分為協(xié)議文件類、報告類以及清單記錄類,其中報告類和部分清單類記錄還應(yīng)體現(xiàn)出周期性,用來實現(xiàn)制度文件中的相關(guān)要求。
• 數(shù)據(jù)安全合規(guī)體系建設(shè)三要素之三——數(shù)據(jù)安全技術(shù)體系
數(shù)據(jù)安全技術(shù)體系建設(shè)過程中要兼顧數(shù)據(jù)全生命周期分級安全管控和數(shù)據(jù)安全管理策略實施兩大方面的需求。
生命周期分級安全管控方面,主要依據(jù)不同安全級別數(shù)據(jù)的分級保護要求,執(zhí)行差異化的數(shù)據(jù)安全管控策略。首先要確定技術(shù)保護要點,即數(shù)據(jù)處理活動各階段主要關(guān)注的技術(shù)防護需求和目標。比如,在使用加工場景環(huán)節(jié),需要關(guān)注數(shù)據(jù)脫敏、濫用防范、導入導出管控等需求。數(shù)據(jù)提供、公開環(huán)節(jié),主要關(guān)注如何防止數(shù)據(jù)在共享過程的泄露問題、如何在保護數(shù)據(jù)機密性前提下解決數(shù)據(jù)孤島問題等。
在明確數(shù)據(jù)安全保護要點需求的同時,還要兼顧數(shù)據(jù)安全管理各層次的安全需求(見圖6)。監(jiān)督管理層需要掌握總體數(shù)據(jù)資源情況以及集中管理、數(shù)據(jù)安全管理狀況、數(shù)據(jù)安全運行情況、策略統(tǒng)一下發(fā)等,因此需要建立監(jiān)管中心等技術(shù)手段,通過態(tài)勢感知、流向地圖等形式,實施監(jiān)控全局,發(fā)現(xiàn)問題、解決問題。在保護執(zhí)行層,需要針對內(nèi)部風險和外部風險進行保護,分別對應(yīng)到內(nèi)部域和外部域的保護策略。能力支撐層需要為上層監(jiān)管和保護策略提供基礎(chǔ)安全能力,支撐數(shù)據(jù)流轉(zhuǎn)和使用過程中的機密性、完整性、可用性,比如數(shù)據(jù)加密、脫敏等基礎(chǔ)安全能力。

圖6 以數(shù)據(jù)安全能力為中心的技術(shù)框架
技術(shù)體系建設(shè)和部署的第三個重點是在需求明確的基礎(chǔ)上,部署數(shù)據(jù)安全技術(shù)工具,在這些技術(shù)工具上做配置時,依據(jù)數(shù)據(jù)安全級別來配置差異化的安全策略。
3 應(yīng)用案例
3.1 背景
某省為加快構(gòu)建新發(fā)展格局,全面深化改革開放,堅持創(chuàng)新驅(qū)動發(fā)展,推動高質(zhì)量發(fā)展,深入實施網(wǎng)絡(luò)強國、數(shù)字中國戰(zhàn)略,以深化“放管服”改革優(yōu)化營商環(huán)境為主線,以利企便民、激發(fā)市場活力為目標,以提升網(wǎng)上政務(wù)服務(wù)能力為突破口,全面推進政務(wù)流程再造、業(yè)務(wù)模式優(yōu)化、履職能力提升,統(tǒng)籌推進政府職能從管理型向服務(wù)型轉(zhuǎn)變,全面推行“一網(wǎng)通辦”“一網(wǎng)統(tǒng)管”“一網(wǎng)協(xié)同”的政務(wù)綜合性平臺。
3.2 面臨的問題
平臺匯集了多個廳級部門、供應(yīng)商、團隊和系統(tǒng)。但尚未形成統(tǒng)一的管理體系、各運營部門間沒有做好安全協(xié)同工作,因此在使用的過程中用戶面臨安全隱患。
隱患一:安全能力覆蓋面不足,無法有效覆蓋關(guān)鍵系統(tǒng)。
隱患二:數(shù)據(jù)安全建設(shè)缺乏常態(tài)化、持續(xù)化的運營來應(yīng)對業(yè)務(wù)系統(tǒng)變化、數(shù)據(jù)安全需求變化、技術(shù)能力更迭帶來的新型挑戰(zhàn)。
3.3 解決方案
平臺規(guī)模較大,涉及的關(guān)聯(lián)方、供應(yīng)商較多,需要專職的數(shù)據(jù)安全團隊統(tǒng)籌和協(xié)調(diào)數(shù)據(jù)安全工作。組織應(yīng)建立數(shù)據(jù)安全組織架構(gòu),架構(gòu)中建議邀請組織一把手擔任決策者身份,保證數(shù)據(jù)安全工作的順利開展,各部門責任人擔任管理者、組長擔任執(zhí)行者、數(shù)據(jù)安全或?qū)徲嬋藛T擔任監(jiān)督者等,同時對其數(shù)據(jù)安全責任進行有效劃分。監(jiān)督相關(guān)人員應(yīng)定期對數(shù)據(jù)安全相關(guān)制度落地有效性進行監(jiān)督檢查,組織數(shù)據(jù)安全負責人定期開展數(shù)據(jù)安全制度文檔的宣貫工作,增強組織人員的數(shù)據(jù)安全意識。
落地實施過程中,各部門負責人應(yīng)根據(jù)所屬部門負責的系統(tǒng)或業(yè)務(wù)的范圍,使用數(shù)據(jù)識別能力梳理各部門產(chǎn)生、存儲的數(shù)據(jù)類型,并按照組織統(tǒng)一的數(shù)據(jù)分類分級規(guī)范對部門涉及的數(shù)據(jù)進行定級,形成數(shù)據(jù)分類分級清單。梳理敏感數(shù)據(jù)的流向,發(fā)現(xiàn)敏感平臺或系統(tǒng),發(fā)現(xiàn)數(shù)據(jù)關(guān)鍵位置,重點部署相關(guān)技術(shù)措施,并進行實時監(jiān)測與預(yù)警。
3.4 實施效果
數(shù)據(jù)安全組織架構(gòu)、管理制度、技術(shù)能力及運營環(huán)境滿足了《數(shù)據(jù)安全法》《關(guān)鍵基礎(chǔ)設(shè)施安全保護條例》及政務(wù)數(shù)據(jù)政策相關(guān)要求,同時建立了基于數(shù)據(jù)分類分級的縱深風險防控體系,實現(xiàn)政務(wù)數(shù)據(jù)安全識別、風險監(jiān)測與追溯管理,健全完善政務(wù)網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)梳理與分級分類,實現(xiàn)數(shù)據(jù)流轉(zhuǎn)動態(tài)監(jiān)測、數(shù)據(jù)安全風險源頭分析與定位,提升某省政務(wù)數(shù)據(jù)安全監(jiān)管水平和數(shù)據(jù)安全防御能力,實現(xiàn)針對政務(wù)平臺的數(shù)據(jù)安全風險監(jiān)測、通報和處置。通過本項目實施,一是數(shù)據(jù)安全監(jiān)管能力顯著提升,可掌握該省重要數(shù)據(jù)資產(chǎn)管理情況,實時監(jiān)測數(shù)據(jù)安全風險,并具備可追蹤溯源的能力;二是全省政務(wù)數(shù)據(jù)安全事件顯著減少,市級各單位數(shù)據(jù)安全和個人信息保護意識明顯提升。
4 結(jié)束語
本文提出了一種覆蓋全面、可持續(xù)優(yōu)化、便于操作的數(shù)據(jù)安全合規(guī)體系框架,闡述了面向組織合規(guī)及風險管控目標,圍繞數(shù)據(jù)安全體系規(guī)劃與建設(shè)的實施流程以及各流程階段的主要工作,并對建設(shè)的組織架構(gòu)、制度體系、技術(shù)框架進行了論述。
隨著《數(shù)據(jù)安全法》《個人信息保護法》的正式實施,組織應(yīng)建立健全數(shù)據(jù)安全合規(guī)體系,提高數(shù)據(jù)安全管控能力。數(shù)據(jù)安全合規(guī)體系建設(shè)通過建立合規(guī)體系框架、確定實施路徑,以及對其安全能力的持續(xù)監(jiān)督來指導數(shù)據(jù)安全工作。同時,同態(tài)加隱私計算、區(qū)塊鏈、量子計算等技術(shù)的發(fā)展與實踐,更加夯實數(shù)據(jù)安全能力底座,兼顧業(yè)務(wù)發(fā)展與數(shù)據(jù)保護的平衡。