随着互联网、物联网飞速发展,人工智能的快速应用及普及,数据算法不断优化,复杂且大量的数据所蕴含的经济价值和社会价值逐渐提升,使数据成为国家基础性战略资源和重要执政资源,数据安全风险随之增加,数据安全问题不断涌现。
早在2015年,我国就陆续发布了《促进大数据发展行动纲要》《大数据产业发展规划(2016—2020年)》《国家信息化发展战略纲要》《国家网络空间安全战略》等一系列重大文件,推动大数据部署,深化大数据应用,并提出了涵盖数据安全在内的国家网络空间安全战略,数据安全问题逐渐被重视。
此后,数据安全法律法规伴随着行业高速成长而不断完善和丰富,密集出台了《数据安全法》《关基保护条例》《个人信息保护法》《网络安全审查办法》修订版 《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”)等法律法规,统筹发展和安全,推动数据安全建设。
数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》正式发布
历时四年,聚合行业安全专家智慧,凝炼行业安全最佳实践,数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》(以下简称“框架”)于2023年6月17日第三届数字安全大会上正式发布,数世咨询、数说安全、CIO时代等多家安全行业媒体对该框架均进行了细致解读。
该框架是在中国信息协会信息安全专业委员会指导下,中孚信息研究院与PCSA安全研究院、联盟成员,联合行业用户和产业各方,共同开展行业研究,深刻总结提炼十三五期间和十四五众多行业数据安全治理、规划、建设、运营的落地实践,共同提出一个基于行业最佳实践的《主责数据保护与流动安全监管框架》。
《框架》视角
研究团队提出《框架》的保护视角、总体架构、业务场景和版本发布重点。
一、“数据要素价值流通安全”的保护视角
二、五层七模块的总体架构
五层:基础层、数源层、汇聚层、流通层和场景支撑层;
七模块:数据质量治理、资源效益治理、资产权益治理、实体安全治理、运营安全治理、价值安全治理,以及可信价值链。
三、三横三纵的数据安全业务
三横的数据流通管控场景:组织内循环的自控机制、行业自循环的自律机制和社会大循环的监管机制;
三纵的资源治理场景:数据治理、安全治理和数据安全治理。
《框架》核心思想解读
一、《框架》的目标定位
法律法规密集出台,数据二十条重磅发布,国家安全监管逐项落实,各行业陆续开展数据治理及安全治理工作,大量的行业用户急需找到一个可参考可落地的数据安全框架。
本次发布的数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》聚焦数据安全本身,面向各行业用户组织,从统筹开放与管控的视角出发,总结凝炼数据治理和安全治理的共性问题、共性顽疾,形成以主责数据为核心的数据安全治理共性经验。
围绕主责数据保护与流动安全监管主场景开展数据安全保护,理清数据治理、安全治理和数据安全治理之间的目标区别和责任边界,实现数据安全管理、技术、运营、监管一体化,保障数据在主责明确、流动监管过程中的安全使用,不断激活数据价值,持续督导治理过程中的分类分级管理,形成上层监管与从业自律、法治与从业自治协同、上下统筹的数据安全治理结构。
二、《框架》聚焦的关注点
2.三权分立,划清数据管理、安全管理、监管审计责权利边界
做好主责数据的保护,首先要明确数据管理和安全管理的责权利边界。
通过“三环论”构建的三权分立原则,明确数据安全基础分工和边界,推动责权利边界从模糊走向清晰。
首先明确定义和三权匹配的三员,即:系统管理员、安全管理员和安全审计员。
数据的系统管理员,一般是指业务部门和数据部门。
数据的安全管理员,一般是指主管安全的部门。
数据的安全审计员,一般是指数据安全的监管部门,或者称为数据安全治理委员会。大部分的数字化组织缺少监管部门。
其次定义实现数据安全主责明确的三个层次闭环。
第一层次是业务闭环,充分定义系统管理员的权责,落实数据相关系统管理权限划分、人员授权、访问授权、API调用授权等工作。这是保障业务及数据安全的基础。
第二层次是安全闭环,充分定义安全管理员的权责,制定安全策略、基线,配备数据流动过程中需要的安全设备、手段,形成监控、响应、预测和防御的闭环。这是保障数据安全一体化运营的基础。
第三层次是监管闭环,充分定义安全审计员的权责,落实数据安全管理过程中的角色、流程、数据流动前、流动中、流动后的一体化审计。这是保障数字化组织做到数据安全充分合规的基础。
3.围绕静态数据和动态数据,实现流动安全监管
随着信息化、数字化进程的不断演进,业务系统不断建设,逐步积淀出大量结构化数据、半结构化数据和非结构化数据,它们广泛存在于终端、数据中心、存储设备和数据平台上,同时配备的各类数据安全防护能力也在不断完善。但在具体落实主责数据安全保护的指导、监督、检查,做好主责数据安全保卫、保障、保护的执行过程中,仍会发现数据安全工作存在诸多问题,其根本原因是对数据当前的状态定位不清,现有数据安全防护手段缺乏针对性。
从数据状态上来看,通常分为两大类数据:
第一类为静态数据,即存储状态中的数据,往往会存在盲数据、僵尸数据和死数据的问题,且大多底账不清、权属不清、权责不清,无法清晰定义哪些是数据资源、哪些是数据资产、谁在使用、谁在访问,存在数据泄露的风险。
另一类为动态数据,即流动状态中的数据,存在流动前、流动中和流动后价值属性的区别,无论是数据流动前未取得授权;还是流动中的过程看不见、管不到、非法使用、滥用发现不了;还是流动后数据过程状态不可审查、数据权益不可控,都存在很大的数据泄露和滥用风险。
对于数据所有者来说,静态数据能否做到清晰可见,动态数据能否做到流动管控,已逐渐成为数据安全落地成功的关键因素。
4.数据全生命周期过程涉及诸多角色
数据角色决定数据流动监管的权限需求。通过对数据流动过程中不同角色的权限与职能进行解析,定义数据流动角色,实现不同数据角色对数据流动安全监管过程中的不同权限与职能的落地提供有效支撑。
数据所有者:掌握数据所有权的数据产权所有方;
数据使用者:对数据拥有使用和交换需求的数据需求方;
数据提供者:对数据进行获取、处理与提供的数据提供方;
数据运营者:对数据运营过程的计划、组织、实施和控制,是与数据生产和服务创造密切相关的各项管理工作的承担方;
数据安全监管者:在数据不同价值阶段,制定数据流动安全策略,对不同数据角色的操作等进行检查审核。
5.数据在组织内部、跨组织、行业、区域及跨境之间的流动
数据流动主要涉及不同行业领域间的跨行业流动;国家、省、市、县(区)等各级部门间的跨层级流动;同级部门/组织间的跨区域流动;行业内部多个组织间或组织内部多个部门间的跨部门流动;组织内部多个应用系统间的跨应用流动;以及组织内部生产环境和测试环境之间的跨环境流动。
三、《框架》的核心思想:“1-3-6-N”架构
数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》的核心思想可总结为“1-3-6-N”架构。
“1”个主要场景即主责数据保护与流动安全监管场景。要求责任主体,明红线、守底线,做到事前、事中和事后监管。
“3”个方面即数据治理、数据安全治理、安全治理。以数据安全治理为主体,协同好数据治理和安全治理,明晰边界与责权。
“6”个层次即治理层、监管层、管理层、运营层、技术层和数据层。统筹六个层次目标的关键场景和关键任务,共同构建数据安全治理体系。
“N”个关联角色即数据安全治理过程中涉及的多个角色。包括:数据所有者、数据监管者、数据提供者、数据使用者、数据运营者、安全审计员、安全管理员、系统管理员等。
中孚信息认为,安全概念从传统的网络安全,发展到近期的数据安全,最终走向数据价值安全的变革,既是一次对传统安全市场的洗牌,也是给“数据价值公司”的机会。
为落实“数据二十条”要求,中孚信息长期致力于数据要素价值流通安全发展方向,集合行业专家资源和公司技术能力,发现新兴市场需求、探索新兴技术,并提供针对性解决方案。如在数据银行方面,着力解决交易双方不对等问题;在公共数据空间安全方面,解决原始数据不出域的安全要求和广泛复制成本过高等问题;在数据交易机制方面,提出包含数据资产安全标识、数据交易证明链和数据权益证明链的“一标双链”体系,解决可信交易问题等。
