数据安全治理体系研究和实践运用,安全法论文

数据安全治理体系研究和实践运用,安全法论文摘要：随着(中国数据安全法〕的深切进入施行和数据要素市场化深切进入发展，数据安全治理相关技术与实践也将得到持续发展．但是当前为止业内对于数据安全治理的相关实践还未构成统一的认识，相关国家及行业标准也没有能推出，尝试从数据安全治理实现目的与方式方法等方面探寻求索一种行之有效的数据安全治理实践．提出了一套数据安全治理体系架构，围绕数据安全治理实践机制的管理、技术、评估和运营等几个方面要求逐一展开进行具体讲明，并重点对数据安全治理实践所牵涉的关键措施及技术要求进行了介绍．本文关键词语:数据安全;数据安全治理;数据滥用;数据安全风险控制;数据安全运营;Abstract：Withthein-depthimplementationofthe“DataSecurityLaw〞andthefurtherdevelopmentofdataelementmarketization,thetechnologiesandpracticesrelatedtodatasecuritygovernancewillalsodevelopcontinuously.However,sofar,neitheraunifiedunderstandingoftherelevantpracticesofdatasecuritygovernancehasbeenformedwithintheindustry,norrelevantnationalandindustrialstandardshavebeenintroduced.Thispaperattemptstoexploreaneffectivedatasecuritygovernancepracticefromtheaspectsofdatasecuritygovernanceobjectivesandmethods.Thispaperalsoputsforwardasetofdatasecuritygovernancesystemarchitecture,anddescribesindetailonebyonetherequirementsofdatasecuritygovernancepracticemechanismintermsofmanagement,technology,evaluationandoperation,etc.,withkeymeasuresandtechnicalrequirementsinvolvedinthepracticeofdatasecuritygovernanceintroduced.Keyword：datasecurity;datasecuritygovernance;dataabuse;datasecurityriskcontrol;datasecurityoperation;业内等待已久的(中国数据安全法〕[1]〔下面简称(数据安全法〕〕在2021年6月10日正式颁布，数据产业发展迎来有法可依的法治发展时代．(数据安全法〕中明确提出应“建立健全数据安全治理体系，提高数据安全保障能力〞，数据安全治理也已经获得业内广泛的关注．1、业务背景数据安全治理从治理范围来看能够分为国家数据安全治理和组织数据安全治理．中国信息通信研究院发布的(数据安全治理实践指南〔1.0)〕[2]针对数据安全治理概念提出了广义和狭义2个定义，广义是针对国家战略层面落实数据开发利用和数据安全统筹发展的策略，狭义则是基于数据生命周期建立涵盖组织保障、制度规范、安全技术和人才建设等多重维度的策略．本文聚焦在组织层面的数据安全治理探寻求索，即在某个组织内部，或者多个有数据关联的组织之间的数据安全治理工作．一个典型的业务场景就是当下数字建设经过中所力推的政务数据分享．如省级政务数据分享一般都是以省大数据局或省大数据中心作为省级政务数据分享平台建设和运营方，来拉通省内各部门及地市单位的数据分享，以及与国家数据平台的数据分享等．在这个场景下，政务数据的治理业务范围就牵涉省级政务数据分享平台，以及介入政务数据分享的各个部门及地市单位的数据业务系统，也包括省级政务数据分享平台与国家平台之间的数据分享接口的安全等．当前数据安全治理业内并没有达成一个统一共鸣，本文尝试从数据安全治理实现目的与方式方法等方面探寻求索一种行之有效的数据安全治理实践方案．2、数据安全治理现在状况2.1、业内数据安全治理研究及实践情况2022年发布的GB?T37988—2022(信息安全技术数据安全能力成熟度模型〕国家标准〔简称“DSMM〞)[3]对于推动数据安全治理发展起到了非常积极的作用．DSMM标准提炼了一套数据安全能力成熟度评估体系，该体系涵盖了数据安全能力、数据安全经过和能力成熟度等级的3个维度，和1～5共5个成熟度等级，以及覆盖采集、传输、存储、处理、交换、销毁等数据生存周期的30个数据安全经过域等相关内容．阿里巴巴等单位也针对性地发布了(数据安全能力建设施行指南V1.0〔征求意见稿〕〕[4]用于指导各单位基于DSMM标准进行数据安全相关能力的建设．(基于精准治理的大数据安全治理体系创新〕[5]提出了一种大数据安全治理运行框架，该框架包括基于主体精准化的多元共治体系、基于流程精准化的科学预判体系、基于手段精准化的分类处置体系和基于保障精准化的动态保障体系等方面，涵盖了组织、流程、手段和制度等大数据安全治理的主要方面．(数据安全治理实践指南〔1.0〕〕提出了一套涵盖规划、建设、运营、评估等系统建设的各个经过，并基于数据全生命周期的数据安全治理实践总体视图，覆盖了基础安全、数据全生命周期安全和数据安全战略的数据安全治理参考框架，同时指南还给出了当前业内多家单位的典型实践方案．另外(数据安全法〕中对开展数据安全保卫及治理工作给出的详细要求包括：建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全．国家网信办2022年发布的(数据安全管理办法〔征求意见稿〕〕[6]进一步明确了建立数据安全管理责任和评价考核制度，制定数据安全计划，施行数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训．总之，当下业内对于数据安全治理应该涵盖组织机构、管理制度、安全技术及专业人员几个方面是具有统一认识的．中国互联网协会发布的团体标准T?ISC-0011—2021(数据安全治理能力评估方式方法〕[7]给出了一套数据安全治理能力评估框架，框架涵盖了数据安全战略、数据生命周期安全和基础安全3个层面的共18个数据安全能力项，并对于每个能力项又细分为基础、优秀和先进3个等级．Gartner曾提出了一个DCAP〔以数据为中心的审核和保卫〕的数据安全治理理念，基于该理念业内提出过很多的以数据为中心的数据安全解决方案，这些解决方案的一个共性就是对数据进行发现和标识化〔数据分类分级〕，并基于这些数据标识进行相应的安全策略控制．2.2、数据安全治理存在的一些主要问题业内对数据安全治理经过及关键途径基本都有一定共鸣，并进行了一些相关实践．但是当前数据安全治理研究及实践存在一些典型问题，主要有下面几个方面．2.2.1、数据安全合规不等同于数据安全保障安全行业一个重要业务目的就是“合规〞，即遵守国家各类安全相关法律法规的要求，在数据安全领域也是如此．数据安全领域牵涉的合规要求除了既要遵守网络安全相关的法规，还要遵守数据安全专有的法规．典型的数据安全法规包括：2021年刚发布的(数据安全法〕和(个人信息保卫法〕[8]，另外国家网信办发布的(网络安全审查办法〔修订草案征求意见稿〕〕[9]也专门增补了数据安全相关要求，正式发布后也将是各关键信息基础设施数据处理者所应重点遵守的法规之一．另外还有很多其他法规〔如(中国民法典〕等〕也牵涉数据安全相关规定，同时有些部委和地方也会出台面向行业或区域的数据安全相关法规，比方银保监会发布的(中国银保监会监管数据安全管理办法〔试行〕〕[10]、工信部发布的(移动互联网应用程序个人信息保卫管理暂行规定〔征求意见稿〕〕[11]、天津市发布的(天津市数据安全管理办法〔暂行〕〕[12]等．数据安全合规工作非常重要，合规也是从事数据处理事项的基本前提条件．但是数据安全合规不能等同于数据安全保障，即便符合各种相关的数据安全法规要求，不能以为数据安全就万无一失．我们知道，数据安全防护本质符合“木桶原理〞，即数据安全防护水平取决于数据安全所牵涉各个方面的安全防护水平的最低点，合规仅确保这个最低点能到达基本要求，也就是底线要求．另外数据安全合规检查的粒度也直接决定了合规结果与安全效果能否一致，就算拿到了合规证明也很难确保系统到达数据安全防护能力要求．比方数据安全法规要求数据采集必须经过充分受权，但实际执行经过是得到明示同意还是只单纯进行公示．数据处理者对数据必须进行分类分级，但是实际执行分类分级的粒度能否涵盖了所有重要数据，能否能确保重要数据都得到有效防护．这些情况在数据安全合规评估和检测中未必能得到充分确认．同时数据安全合规评估和检测也与执行评估和检测人员本身水平及采用的评估和检测的工具能力也有很大关系．因而，数据安全合规只能作为数据安全防护的基础和底线的要求，要做好数据安全保障还需要做更多工作．2.2.2、数据安全方案不等同于数据安全防护数据安全治理还经常存在重视数据安全设计方案和建设方案，但却忽视数据安全防护效果的问题．编制数据安全方案是几乎所有数据安全建设项目所必需的要求，但是很多项目都存在重建设轻运营的问题，即数据安全方案编制得比拟全面，实际建设也按方案要求进行了部署和应用，但是数据安全治理效果能否能发挥出来、数据安全策略能否到达方案预期效果等数据安全运营阶段所应重点考察的指标往往被忽视．2.2.3、数据安全运维不等同于数据安全运营数据安全治理实践经常是重视运维，很多项目基本都会要求配置驻场运维人员，但是对数据安全运营不是非常重视，甚至有些项目还经常把运维和运营2个概念混淆不清．数据安全运营的目的是把数据安全的价值挖掘出来，但是在平常业务中，数据安全运营与数据安全运维、数据安全管理等既有部分重叠，又各有侧重点．数据安全运维的核心目的就是维护好数据安全相关软硬件产品，确保数据安全软硬件产品正常运转，相关故障、告警得到及时处置．通俗来讲，数据安全运维是确保产品用起来，数据安全运营则是确保产品用好．以数据库防火墙产品为例：数据安全运维确保防火墙运行状态正常，没有死机、没有故障、没有异常等；数据安全运营则是确保防火墙的安全防护规则始终有效，并及时剔除失效的策略．另外，数据安全运维人员技能更多强调对数据安全软硬件产品的使用及维护等方面，数据安全运营人员技能则更多是侧重数据安全防护与详细业务方面．2.2.4、数据安全技术不等同于数据安全治理经太多年研究发展，当前已经有很多的数据安全相关技术逐步成熟，比方加密、脱敏、数字水印、数据库审计等等，这些技术也在绝大部分数据安全治理实践中得以落实．但是还存在一些项目重视技术、轻视治理的问题，数据安全技术不等同于数据安全治理．数据安全技术的实践除了依靠数据安全技术本身的技术成熟度，同时还深度依靠数据安全技术应用的业务场景，以及数据安全技术产品运营人员的技能、熟练程度及责任心等．3、数据安全治理体系研究3.1、数据安全治理目的本文研究的数据安全治理目的还是限定在1个或多个组织机构内，面向重要数据或敏感信息的数据安全管理与控制等相关措施．典型的业务场景就是数字中各部门的数据安全治理，既包括各部门内部数据安全治理，也包括跨部门的数据分享层面的数据安全治理．数据安全治理主要目的包括下面方面：1〕数据安全合规目的．必须知足国内各类数据安全法规的要求，包括国家、地方及相关行业方面的法律和法规．2〕数据安全防护目的．必须确保数据安全治理所涵盖的业务系统的重要数据运行安全，包括数据可靠性要求、数据防泄露要求以及数据防滥用要求等．3〕数据安全治理目的．提供涵盖技术与管理等多层次的数据安全治理体系，确保数据安全与数据业务持续同步发展．3.2数据安全治理体系架构本文提出一套集管理、技术、评估和运营为一体的数据安全治理体系架构，从多个维度提出数据安全治理实践机制，详细架构如此图1所示．数据安全治理机制主要涵盖4个维度的数据安全治理实践机制：1〕数据安全管理机制．主要包括数据安全治理所牵涉的组织建设、人力保障和相应的规范制度等．2〕数据安全治理技术．牵涉数据安全治理所牵涉的各个领域的技术及工具，主要包括数据发现、分类分级、数据安全防护策略、安全风险控制及安全运营等方面．3〕数据安全治理评估．详细牵涉评估和评价，以及针对评估和评价后的结果进行改良与提升方面的内容．4〕数据安全运营．主要包括数据安全事件应急处置、数据安全风险隐患排查、数据安全威胁预警通报及数据安全审计等．图1数据安全治理实践机制4、数据安全治理实践探寻求索4.1、数据安全治理管理机制数据安全治理离不开组织和人力方面的投入，因而数据安全治理管理机制需要重点落实下面方面的工作．4.1.1、组织建设需要制定数据安全治理组织机构，明确数据安全治理所牵涉业务范围的相关组织团队在数据安全治理工作中的相关职责和详细要求，建议至少应制定下面几个数据安全治理组织角色：1〕数据安全决策层．由整个组织高级管理人员或数据安全官等组成，负责整个组织的数据安全目的与规划、数据安全治理全经过的资源保障及重大事件协调与决策等职责，承当整个组织数据安全最终责任．2〕数据安全管理层．由整个组织内各个详细业务部门管理人员等组成，负责详细业务部门数据安全措施与决策的执行，包括但不限于制定数据安全管理规范、组织制定及落实数据安全技术方案、组织数据安全业务及技能培训等，承当详细业务部门数据安全的责任．3〕数据安全执行层．由各个详细业务部门承当数据安全执行的人员组成，主要负责详细数据安全治理相关的技术及管理措施的落实，包括但不限于数据安全技术方案与数据管理管理制度执行、数据安全产品部署及运维、数据安全事件监控及处置、数据安全漏洞排查及修复、数据安全事件溯源及分析等．4〕数据安全监督层．由组织内与业务部门没有从属关系的第三方人员组成，主要负责数据安全治理经过与结果的监控和审计，确保数据安全治理组织执行的效果．4.1.2、人力保障数据安全治理除了需要相关的技术工具和产品，也离不开相应的人员保障，组织建设中明确的各个数据安全治理组织角色都需要明确详细人员保障，并制定相关人员的职责和考核要求，以及为了确保人员数据安全业务技能符合数据安全治理要求所应该开展的人员技能培训及职业发展规划等．4.1.3、规范制度数据安全治理牵涉多方面的规范制度，主要包括：1〕(数据安全管理制度〕明确各个业务系统所牵涉的数据安全管理范围及责任人，以及相应的组织保障机制等．2〕(数据分类分级规范〕对组织内的各类业务数据，尤其是个人信息和重要数据，明确数据类别和安全级别．3〕(数据安全管理规范〕明确不同类别、不同级别数据的安全管理措施，建立涵盖数据采集、传输、存储、处理、交换、销毁等数据生存周期的安全管理规范．4〕(数据安全运营管理规范〕明确数据安全风险监控措施、数据安全风险响应和应急处置措施、数据安全漏洞排查、数据备份恢复等相应措施要求．5〕(数据安全培训管理制度〕明确数据安全人员培训等相关要求．4.2、数据安全治理技术方案数据安全治理技术根据DCAP“以数据为中心的安全〞技术理念，围绕数据的生命周期经过，重点针对数据流转经过实现数据安全防护．数据安全治理主要的技术包括数据发现技术、数据分类分级技术、数据安全防护策略技术、数据安全风险控制技术及数据安全运营技术等．4.2.1、数据发现技术数据安全治理的对象是数据，因而准确高效发现需要进行数据安全治理的核心数据尤为关键．当前业内静态数据发现技术〔如数据爬虫〕已经有很多成功应用，当下对于动态数据〔流转中的数据〕的发现和监控以及精准辨别出个人敏感信息和重要数据的相关技术还存在一些技术挑战，动态数据发现依靠于数据血缘等大数据相关技术，精准数据辨别主要依靠于正则表示出式等特征匹配技术，这些技术手段当下还存在如误判、漏判以及性能瓶颈等相关问题．4.2.2、数据分类分级技术数据安全治理的基础就是对数据进行合理的分类分级，不同类别级别数据进行不同程度的数据安全控制，有助于避免对所有数据进行无差异不同的安全措施，降低整体数据安全治理成本，到达对关键数据进行精准控制的目的．数据分类分级的前提是制定数据分类分级标准，然后是对数据进行类别级别的数据打标．该技术实现的难点在于数据标签怎样能在不影响正常数据业务的前提下随数据流转经过进行标签流转，并确保数据流转经过中数据标签不会被业务丢弃或篡改．4.2.3、数据安全防护策略技术数据安全治理的关键措施就是对不同类别级别数据执行不同的数据安全防护策略，常见的数据安全防护策略包括数据加密、数据脱敏、数字水印、数据访问控制等．数据安全治理中的数据安全防护策略需要做到数据全生命周期的安全防护，即需要基于数据分类分级标签，基于类别和级别进行相应的数据安全防护策略控制，确保数据流转经过中各个阶段能采用完全一致的数据安全控制措施，如在数据分享经过中，部门A数据分享给部门B，部门B需要基于数据的类别与级别采取与部门A一样的安全控制措施．但是怎样确保安全措施的一致性，详细实践方案能够考虑采用部署集中数据安全控制中心的方案，对整个组织内的数据安全防护策略进行统一控制和施行．4.2.4、数据安全风险控制技术数据安全防护策略并不能保证数据的绝对安全，尤其是对于数据滥用方面，常见的数据安全防护策略很难防备，因而基于大数据技术的数据安全风险控制技术能够进行有效补充．数据安全风险控制技术主要通过在数据流转的各个关键环节部署数据探针等采样数据，同时结合数据业务提炼数据安全业务模型，对数据流转经过中潜在的数据泄露、数据滥用行为进行防备．数据安全风险控制技术还能够与安全威胁情报相结合，对于可能泄露到外网的关键数据进行风险分析与预警．4.2.5、数据安全运营技术数据安全运营是数据安全治理不可或缺的一个环节，数据安全运营环节牵涉很多详细技术，华而不实数据安全态势分析和预警通报是最常用的技术措施之一．数据安全态势分析主要采集数据安全防护及数据安全风险控制产品相关安全风险数据，对数据安全风险进行汇总分析，并结合安全风险对数据业务影响程度进行风险优先级排序，确保高风险的安全事件得到最优先的处置．同时数据安全态势分析还需要实现数据安全事件处置的闭环跟踪，即需要能够关联数据安全事件处置责任人，并对一些基本的安全事件进行自动紧急处置〔如关闭业务等〕．数据安全预警通报核心是基于数据安全漏洞排查、数据安全威胁情报等信息对组织内的数据业务系统存在的潜在数据安全威胁进行风险辨别及预警通报，提早防备相关数据安全威胁．4.3、数据安全治理评估机制数据安全治理评估机制是检查数据安全治理效果的最有效措施，评估机制主要包括评估与评价措施和改良与提升措施2个方面．数据安全评估措施主要包括：确定评估的目的数据及所牵涉的应用系统和人员，梳理数据全生命周期经过及所牵涉的数据安全技术与管理措施，分析各个数据流转环节数据安全措施的有效性，输出数据安全评估分析报告．数据安全评价措施在数据安全评估措施的基础上对数据安全治理能力和效果进行打分评价．另外DSMM标准能够作为数据安全评估和评价措施的一个重要参考材料，该标准提炼出的30个安全经过域基本涵盖了数据安全评估经过的各个环节，标准对数据安全能力成熟度模型的定级可以以作为评价结果的重要参考．对于数据安全评估与评价发现的问题需要及时采取相应的改良与提升措施，详细工作包括：明确改良与提升的责任人，制定数据安全改良与提升方案及工作计划，对于改良与提升后的结果进行审计和总结等．数据安全治理评估机制不是一个一次性的任务，而是需要根据数据业务发展情况定期或不定期开展．假如数据业务发展比拟平稳，能够考虑1个季度开展1次评估；假如某段时间较多数据业务上线，或者某个重要数据业务出现较大变更等情况可以以及时进行数据安全评估．4.4、数据安全治理长效运营数据安全治理与数据业务发展严密相关，这也导致数据安全治理不是一个短期的一蹴而就的工作，而是需要长期持续运营．数据安全治理运营的核心工作包括应急处置、隐患排查、预警通报和安全审计等几个方面．4.4.1、应急处置对于数据安全治理经过中发现的各类数据安全事件和威胁隐患能够及时进行闭环处置，确保数据安全威胁得到解除，降低数据安全事件对数据业务的影响程度．数据安全应急处置详细措施需要根据数据安全事件根本原因进行针对性处理，常见措施包括修复数据业务系统安全漏洞、改良数据处理业务流程、完善数据管理措施与制度等．4.4.2、隐患排查数据安全隐患排查工作需要定期或基于数据安全威胁情报实时开展，主要是针对数据业务系统及数据处理流程中能否存在数据泄露、数据损毁或数据滥用等方面的漏洞进行检查，隐患排查还能够借助相关数据安全漏洞扫描等工具辅助进行．4.4.3、预警通报预警通告要求数据安全运营人员对未发生的各类数据安全威胁进行提早处置，详细措施能够借助数据安全运营相关技术工具进行威胁预测分析及漏洞检测．4.4.4、安全审计安全审计是数据安全措施合规及有效性的根本保障，数据安全审计一方面要求配置独立的安全审计人员，另一方面也要求保障审计工作的规范性和专业性．数据安全审计规范性要求主要具体表现出在审计经过的严谨性和审计材料的可靠性〔不会被随意篡改或损毁〕等方面，数据安全审计专业性则要求审计人员具备专业的数据安全业务知识，能够对数据安全管理、技术等处置措施的规范性及结果有效性进行准确研判．5、结束语近年来数据已经成为国家重要的新型生产要素[13]，数据要素的数据安全治理还处于初期研究阶段，同时针对人工智能等新型技术领域的数据安全治理研究也在持续深切进入[14]，一些相关的技术〔如隐私安全计算、数据安全溯源等〕还处于发