数治实践:场景化五步走路线 带你手把手落地数据安全治理

本指南优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。

数据安全治理实践-头图
出处:数据安全推进计划

数据作为新型生产要素,已成为国家重要资产和我国数字经济发展的基础战略资源。2021 年以来,国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石,数据安全的重要性愈发突出,数据安全治理需求愈加明显。

为了梳理数据安全治理的概念内涵,探讨企业数据安全建设路线,中国信息通信研究院云计算与大数据研究所于 2021 年 7 月发布《数据安全治理实践指南(1.0)》(以下简称《指南(1.0)》),围绕数据安全治理目标、治理框架、治理实践路径展开论述。经过一年多的发展,企业数据安全治理取得了有效进展,同时也面临新的挑战。比如,当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面,对数据业务的下沉指导不充分,导致具体业务场景下的技术落地仍然缺乏实践指引,容易与管理要求脱节等。

本指南依据大量行业调研和企业实践,在《指南(1.0)》的基础上优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。

数据安全治理总体视图

本指南结合前期大量调研和数据安全治理能力评估实践,依据中国通信标准化协会大数据技术标准推进委员会 BDC 91-2022《数据安全治理能力评估方法》,提炼出一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线,如图 1 所示。

图 1 数据安全治理总体视图

(一)数据安全治理目标

数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、管理数据安全风险、促进数据开发利用三方面。

满足合规要求。逐渐细化的数据安全监管要求,为组织数据安全合规工作的推进提出了更高的要求。及时发现合规差距,协助组织履行数据安全责任义务,为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。

管理数据安全风险。不断产出的海量数据在动态实时流转过程中,面临着较大的风险暴露面,数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题,组织数据安全风险的有效管理必然是数据安全治理的重要使命。

促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放,数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设,完善组织的合规管理和风险管理工作机制,提升数据安全保护水平,促进数据的开发利用。

(二)数据安全治理体系

数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架,组织应围绕该体系进行建设。本指南提出的数据安全治理体系是一个三层架构,分别包括数据安全战略层、数据全生命周期安全层和基础安全层。

数据安全战略层是推进数据安全治理工作开展的战略保障模块,要求组织在启动各项工作前,应制定相应的战略规划。数据安全战略从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。

  • 数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方面因素明确组织整体数据安全规划。
  • 机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员,并与人力资源管理部门进行联动,防范机构人员管理过程中存在的数据安全风险。

数据全生命周期安全层是评估组织数据安全合规及风险管理等工作下沉至各业务场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点,设置管控点和管理流程,保障数据安全。具体来说包括:

  • 数据采集安全是指根据组织对数据采集的安全要求,建立数据采集安全管理措施和安全防护措施,规范数据采集相关流程,从而保证数据采集的合法、合规、正当和诚信。
  • 数据传输安全是指根据组织对内和对外的数据传输需求,建立不同的数据加密保护策略和安全防护措施,防止传输过程中的数据泄露等风险。
  • 数据存储安全是指根据组织内部数据存储安全要求,提供有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄露风险,并规范数据存储的冗余管理流程,保障数据可用性,实现数据存储安全。
  • 数据使用安全是指根据数据使用过程面临的安全风险,建立有效的数据使用安全管控措施和数据处理环境的安全保护机制,防止数据处理过程的风险。
  • 数据共享安全是指根据组织对外提供或交换数据的需求,建立有效的数据交换安全防护措施,降低数据共享场景下的安全风险。
  • 数据销毁安全是指通过制定数据销毁机制,实现有效的数据销毁管控,防止因对存储介质中的数据进行恢复而导致的数据泄露风险。

基础安全层作为数据全生命周期安全能力建设的基本支撑模块,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有
效整合。具体来说包括:

  • 数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。
  • 合规管理是指根据组织内部的业务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风险。
  • 合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。
  • 监控审计是指通过建立监控及审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。
  • 身份认证与访问控制是指根据组织的安全合规要求,建立用户身份认证和访问控制管理机制,防止对数据的未授权访问。
  • 安全风险分析是指根据组织的业务场景建立数据安全风险分析体系,将风险控制在可接受的水平,最大限度的保障数据安全。
  • 安全事件应急是指通过建立数据安全应急响应体系,确保在发生数据安全事件后能够及时止损,保障业务的安全和稳定运行,最大程度降低数据安全事件带来的影响。

(三)数据安全治理维度

以数据安全治理目标为指引,围绕数据安全治理体系框架,可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作,以解决“谁来干”、“怎么干”、“干的如何”、“有没有能力干”等关键问题。

1. 组织架构

数据安全组织架构是数据安全治理体系建设的前提条件。通过建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳定的贯彻执行。同时,因数据安全治理是一项多元化主体共同参与的复杂工作,明确的组织架构有助于划分各参与主体的数据安全权责边界,促进协同机制的建立,实现组织数据安全治理一盘棋。

在一个组织内部, 安全部门、合规部门、风控部门、内审部门、业务部门、人力部门等都需要参与到数据安全治理的具体工作中,相互协同,共同保障组织的数据安全。一种较为典型的数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成,如图 2 所示,各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。决策层指导管理层工作的开展,并听取管理层关于工作情况和重大事项等的汇报。管理层对执行层的数据安全提出管理要求,并听取执行层关于数据安全执行情况和重大事项的汇报,形成管理闭环。监督层对管理层和执行层各自职责范围内的数据安全工作情况进行监督,并听取各方汇报,形成最终监督结论后同步汇报至决策层。

图 2 数据安全治理组织架构示例

2. 制度流程

数据安全制度流程一般会从业务数据安全需求、数据安全风险控制需要,以及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读, 用于指导具体业务场景的具体工作。常见的制度体系如图 3 所示。

图 3 数据安全治理制度体系示例

一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本原二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。四级文件属于辅助文件,是各项具体制度执行时产生的过程性文档,一般包括工作计划、申请表单、审核记录、日志文件、清单列表等内容。

根据图 3 所示的常见制度体系,围绕数据全生命周期安全要求,可以参考图 4 完善组织各级制度文件内容。

图 4 一套可参考的数据安全管理制度体系

3. 技术体系

数据安全技术体系并非单一产品或平台的构建,而是覆盖数据全生命周期,结合组织自身使用场景的体系建设。依照组织数据安全建设的方针总则,围绕数据全生命周期各阶段的安全要求,建立与制度流程相配套的技术和工具。一种数据安全治理技术体系如图 5 所示。

图 5 数据安全治理技术体系

数据安全治理实践路线

基于以上数据安全治理实践理念,可以按照自顶向下和自底向上相结合的思路推进实践过程。一方面,组织自顶向下,以数据安全战略规划为指导,以规划、建设、运营、优化为主线,围绕构建数据安全治理体系这一核心,从组织架构、制度流程、技术工具和人员能力四个维度构建全局建设思路。另一方面,组织自底向上,针对各业务场景敏捷落地相关数据安全能力点,以快速满足业务场景的数据安全需求,降低数据安全治理的长期性对业务开展的影响。通过各个场景的建设与完善,最终全面覆盖组织的所有数据处理活动。以上的实践过程可以有效避免管理和技术的“两张皮”问题。

(一)数据安全规划

数据安全规划阶段主要确定组织数据安全治理工作的总体定位和愿景,根据组织整体发展战略内容,结合实际情况进行现状分析,制定数据安全规划,并对规划进行充分论证。

1. 现状分析

组织应通过现状分析找到数据安全治理的核心诉求及差距项,以此作为规划设计的依据。可以从安全合规对标、风险现状分析、行业最佳实践对比入手。

  • 一是数据安全合规对标。数据安全合规是组织履行数据安全相关责任义务的底线要求。不同组织应对组织适用的外部法律法规、监管要求、标准规范等进行梳理,将重要条款与现有情况进行对比,分析其差距,确定合规需求。
  • 二是数据安全风险现状分析。有效的数据安全风险管理是组织推进业务发展的重要保障。不同组织需结合其业务场景,基于数据全生命周期安全防护要求,通过数据安全风险评估等方式识别数据面临的安全威胁及所在环境的脆弱性,形成风险问题清单,提炼数据安全建设需求点。
  • 三是行业最佳实践对比。行业对比是组织经营决策的主要参考。通过分析同行业的数据安全建设先进案例,并与组织现状进行横向对比,有助于提炼出更加适宜的数据安全建设方向和建设思路。

2. 方案规划

组织应根据现状分析结果,结合数据安全治理目标,给出可落地实施的数据安全治理规划方案,并提炼重点目标和任务,分阶段落实到工程实施中。方案规划可以从前文所述的四个数据安全治理维度入手,通过对组织架构、制度流程、技术工具、人员能力的不断建设与完善达成建设目标。

以一个数据安全治理建设刚起步的企业为例,一般来说,可以将数据安全规划分为三个阶段,如图 6 所示。

图 6 数据安全治理规划示例

  • 第一阶段, 组织尚处于数据安全治理建设初期,急需在内部明确数据安全治理职责分工和管理要求,因而建议主要完成初步的数据安全治理体系建设工作,包括数据安全组织机构的建立、数据安全制度体系的编制、数据安全基础能力建设以及数据安全意识培训宣贯。同时数据分类分级作为实施数据安全管理措施和技术措施的前提,是一个需要提前布局且长期推进的工作。
  • 第二阶段, 组织有了一定的数据安全治理基础,可以在这一阶段着重完善数据安全技术能力体系,通过建设统一的管理平台,全面落实数据安全管理规范及策略要求, 并通过常态化数据安全运营,实现持续的数据安全保障能力。同时,应加强数据安全能力培训体系的构建,培养复合型数据安全专业人才,壮大数据安全人才队伍。
  • 第三阶段, 组织已经初步建成数据安全治理体系,这一阶段以持续优化为主要目标,重在建立数据安全治理的量化评估体系,定期开展数据安全评估评测,监测各项指标的达标情况。再根据评估评测结果及时优化建设内容,最终达到较高的数据安全治理水平。同时,通过提炼并输出成功经验,促进行业共同进步。

3. 方案论证

为保障规划方案在建设过程的顺利实施,应从以下方面进行论证分析。

  • 一是可行性分析,根据组织现状,明确人力、物力、资金的投入与产生的效益对比,协调数据安全管理机制和技术能力建设与业务系统之间的分歧,确保在业务发展与安全保障之间达到平衡。
  • 二是安全性分析,方案在正式实施前,要进行详细的方案论证分析,确保可以在业务稳定运行的前提下实施治理建设,同时要考虑治理过程中可能产生的新风险,避免未知风险的引入。
  • 三是可持续性分析,数据安全治理是持续性过程,随着业务拓展和技术进步,规划方案在保证与当前组织现有体系兼容的同时,也要考虑与后续的发展相适应。因此数据安全治理方案不仅要考虑当下,还要着眼于未来。在满足当前数据安全需求的同时,还要适应后续的持续发展。

(二)数据安全建设

数据安全建设阶段主要对数据安全规划进行落地实施,建成与组织相适应的数据安全治理能力,包括组织架构的建设、制度体系的完善、技术工具的建立和人员能力的培养等。

通过数据安全规划,组织对如何从零开始建设数据安全治理体系有了一定认知,同时也应意识到数据安全治理的建设是一项需要长期开展和持续投入的工作,无法一蹴而就。为了快速响应不同业务场景下不同的数据安全策略要求,应基于场景需要选择性部署技术工具,编制三级操作指南文件,形成四级记录模板。通过逐个场景的数据安全建设,最终推动数据安全治理体系在组织内的全面落地。本指南梳理了场景化数据安全治理建设的总体路线,如图 7 所示。

图 7 场景化数据安全建设五步走

第一步:全面梳理业务场景

梳理数据资产面和业务场景是组织进行场景化数据安全治理建设的前提,可以帮助组织了解数据安全治理对象全貌,为组织场景化数据安全治理提供行动地图。

目前,对业务场景的划分尚未有统一的标准,本指南根据对数据安全供应侧及需求侧的调研,将场景划分方法归类为基于数据全生命周期和基于业务运行环境两种划分方式。

(1)基于数据全生命周期的场景划分

基于数据全生命周期的场景划分是分别在采集、传输、存储、使用、共享、销毁各环节抽象出典型应用场景,如图 8 所示。

  • 数据采集环节主要有个人信息主体数据采集、外部机构数据采集、数据产生等场景。
  • 数据传输环节主要有内部系统数据传输、外部机构数据传输等场景。
  • 数据存储环节主要有数据加密存储、数据库安全等场景。
  • 数据使用环节主要有应用访问、数据运维、测试和开发、网络和终端安全、数据准入、数据分析与挖掘等场景。
  • 数据共享环节主要有内部共享和外部共享等场景。
  • 数据销毁环节有逻辑删除、物理销毁和数据退役等场景。
  • 此外还有一些基础性的工作,如数据分类分级应该作为单独的场景纳入到整体的场景视图中。

图 8 基于数据全生命周期的场景划分

基于数据全生命周期的场景划分方式,一方面能更好地契合当前法律法规中关于数据全生命周期的安全要求,一方面更加匹配当前主流的数据安全治理体系框架。

(2)基于业务运行环境的场景划分

组织的业务虽然各有不同,但是其业务运行环境的划分基本相同,据此可以将业务场景划分为:办公场景、生产场景、研发场景、运维场景等。还可以基于支撑业务运行的基础设置进一步细分为云、终端等场景,如图 9 所示。

图 9 基于业务运行环境的场景划分

基于业务运行环境的场景划分方式,一方面与业务的研发上线紧密关联,有利于场景的识别,另一方面兼容组织安全域的划分,有利于充分利用原有的网络安全能力。

第二步:确定业务场景治理优先级

在业务场景梳理完成后,组织需要综合考虑监管要求、数据安全风险和业务发展需要,明确业务场景治理的开展优先级。

以上文提到的基于数据全生命周期的场景划分方式为例,数据分类分级是数据安全的基础性工作基本已经成为行业共识,随着行业数据分类分级指南的不断建立和完善,组织应跟紧行业发展步伐,前置数据分类分级工作的优先级。其次,数据采集环节中个人信息主体数据采集、外部机构数据采集等场景均涉及到个人信息权益保护,是当前数据安全合规出现问题的高危场景,容易影响组织品牌形象,因而需要优先治理。此外,数字经济的繁荣发展离不开数据的流通共享,随之而来的风险也在不断显现,对数据流通的安全保护势在必行,因而也应着重进行相关场景的安全建设。

第三步:评估业务场景数据安全风险

评估业务场景数据安全是指针对具体场景,综合考虑合规要求、数据资源重要程度、面临的数据安全威胁等因素,将数据流动过程的风险点梳理出来,并明确数据安全风险等级。业务方应根据此项评估结果,确定要进行整改的风险点,并将其作为数据安全治理建设需求的输入,为制定场景化数据安全解决方案提供依据。

第四步:制定并实施业务场景解决方案

符合业务场景的数据安全风险评估结果,组织可以根据相关政策及标准要求,申请充分的资源保障,并制定可落地的解决方案。目前,对于部分场景,业界已经形成了一些公认的典型解决方案,例如在数据加密存储场景中使用加解密系统,并在算法的选择上避开不安全的 MD5、AES-ECB、SHA1 等算法;在终端场景下部署终端 DLP 等。但更多情况下,组织需要根据实际情况通过自研解决方案或者甄选适宜的供应侧解决方案。

第五步:完善业务场景操作规范

规范业务场景日常的数据安全管理和运营工作,组织应督促业务部门在实施具体的技术措施后,及时完善组织整体数据安全制度体系中关于三级与四级的制度文件, 如《远程访问操作规范》、《数据备份操作规范》、《数据防泄露操作规范》、《堡垒机操作规范》等,以保持制度流程和技术落地的一致性。

(三)数据安全运营

数据安全运营阶段通过不断适配业务环境和风险管理需求,持续优化安全策略措施,强化整个数据安全治理体系的有效运转。

1. 风险防范

数据安全治理的目标之一是降低数据安全风险,因此建立有效的风险防范手段,对于预防数据安全事件发生有重要作用,可以从数据安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。

数据安全策略制定。一方面,根据数据全生命周期各项管理要求,制定通用安全策略,另一方面,结合各业务场景安全需要,制定针对性的安全策略。通过将通用策略和针对性策略结合部署,实现对数据流转过程的安全防护。

数据安全基线扫描。基于面临的风险形势,定期梳理、更新相关安全规范及安全策略,并转化为安全基线,同时直接落实到监控审计平台进行定期扫描。安全基线是组织数据安全防护的最低要求,各业务的开展必须满足。

数据安全风险评估。通过将日常化定期开展的数据安全风险评估结果与安全基线进行对标,发现不满足基线要求的评估项,再通过改进业务方案或强化安全技术手段的方式实现风险防范。

2. 监控预警

数据安全保护以知晓数据在组织内的安全状态为前提,需要组织在数据全生命周期各阶段开展安全监控和审计,以实现对数据安全风险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风险点进行防控,从而降低数据安全风险。

态势监控。根据数据全生命周期的各项安全管理要求,建立组织内部统一的数据安全监控审计平台,对风险点的安全态势进行实时监测。一旦出现安全威胁,能够实现及时告警及初步阻断。

日常审计。针对账号使用、权限分配、密码管理、漏洞修复等日常工作的安全管理要求,利用监控审计平台开展审计工作,从而发现问题并及时处置。审计内容包括但不限于表 3 所示内容。

表 3 日常审计项目示例

审计项目 活跃度异常账号、弱口令、异常登录
敏感数据是否加密存储
敏感数据是否加密传输
个人信息采集是否得到授权
异常 / 高风险操作行为
敏感数据是否脱敏使用
漏洞是否定期修复
分类分级策略是否正确落实
接口安全策略的落实情况
销毁过程的日常监督

专项审计。以业务线为审计对象,定期开展专项数据安全审计工作。审计内容包括数据全生命周期安全、隐私合规、合作方管理、鉴别访问、风险分析、数据安全事件应急等多方面内容,从而全面评价数据安全工作执行情况,发现执行问题并统筹改进。

3. 应急处理

一旦风险防范及监控预警措施失效,导致发生数据安全事件,组织应立即进行应急处置、复盘整改,并在内部进行宣贯宣导,防范安全事件的再次发生。

数据安全事件应急处置。根据数据安全事件应急预案对正在发生的各类数据安全攻击警告、数据安全威胁警报等进行紧急处置,确保第一时间阻断数据安全威胁。

数据安全事件复盘整改。应急处置完成后,应尽快在业务侧组织复盘分析,明确事件发生的根本原因,做好应急总结,沉淀应急手段,跟进落实整改,并完善相应应
急预案。

数据安全应急预案宣贯宣导。根据数据安全事件的类别和级别,在相关业务部门或全线业务部门定期开展应急预案的宣贯宣导,降低发生类似数据安全事件的风险。

(四)数据安全评估优化

数据安全评估优化阶段主要是通过内部评估与第三方评估相结合的方式,对组织的数据安全治理能力进行评估分析,总结不足并动态纠偏,实现数据安全治理的持续优化及闭环工作机制的建立。

1. 内部评估

组织应形成周期性的内部评估工作机制,内部评估应由管理层牵头,执行层和监督层配合执行,确保评估工作的有效执行,并应将评估结果与组织的绩效考核挂钩, 避免评估流于形式。常见的内部评估手段包括评估自查、应急演练、对抗模拟等。

评估自查通过设计评估问卷、调研表、定期执行检查工具等形式,在组织内部开展评估,主要评估内容至少应包括数据全生命周期的安全控制策略、风险需求分析、监控审计执行、应急处置措施、安全合规要求等内容。

应急演练通过构建内部人员泄露、外部黑客攻击等场景,验证组织数据安全治理措施的有效性和及时止损的能力,并通过在应急演练后开展复盘总结,不断改进应急预案及数据安全防护能力。应急演练可采用实战、桌面推演等方式,旨在验证数据安全事件应急的流程机制是否顺畅、技术工具是否实用、安全处置是否及时等,进一步完善应急预案,补足能力短板。

对抗模拟通过搭建仿真环境开展红蓝对抗,或模拟黑产对抗,帮助组织面对内外部数据安全风险时实现以攻促防,沉着应对,并在这个过程中不断挖掘组织数据安全可能存在的攻击面和渗透点,尤其是面对组织内部数据泄露风险,可以有针对性的完善数据安全治理工作机制和技术能力。

2. 第三方评估

除了内部评估外,组织还应引入第三方评估。第三方评估以国家、行业及团体标准等为执行准则,能客观、公正、真实地反映组织数据安全治理水平,实现对标差距分析。如中国信息通信研究院 2020 年底推出的国内首个数据安全治理能力评估服务,结合业务场景和全生命周期数据流,从组织架构、制度流程、技术工具、人员能力的建设情况入手,综合考察组织数据安全治理能力的持续运转及自我改进能力。目前该评估服务已在金融、电信、互联网、汽车等多个行业领域获得广泛认可,是组织进行全面摸排、横向对比的重要抓手。

本文摘编自数据安全推进计划《数据安全治理实践指南(2.0)》,全文下载:

更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。

数据安全治理相关推荐:

数治长文:数据安全治理从概念到落实?策略、模型、管理及运营四面全要
本文从典型技术架构、治理平台逐步展开,论述了其设计思路和理念,再从标准安全产品延伸、创新安全场景驱动分别切入,探索易落地的数据安全治理模型和体系。

发条评论

你的电邮不会被公开。有*标记为必填。