作者介绍
@龚诗然
就职于中国信通院;
数据安全工程师;
“数据人创作者联盟”成员。
01数据安全治理
第二个问题是建立完善的数据安全体系技术和落地。传统的安全模式,已经无法适应现在数据安全的需要。因为目前的新态势新要求在做好业务安全的基础之上,如果做的比较优秀的一些企业他们会通过一些比较智能化的平台,在技术层面去实现对风险的核查、数据梳理、数据保护,还有数据类型监控预警的核心能力。业务层面在全生命周期的管理也有落地措施,另一方面再理想一些,但目前可能见到的比较少,就是在实验过程中流程自动化。因为人工智能和机器学习其实是未来数据安全工作的一个关键,大型企业,如果在数据和个人信息方面体量,非常大的一个企业,在理想状况下应该是遵从一种流程自动化,包括数据的定位提取,保持制度能切实落地或是有效管理方式。
顺便插一句,在做评估时会出现某些问题,例如人员岗位变动产生的权限管理的矛盾点,HR无法承担离职长远场景下员工数据权限的管理问题,确实是我们在具体实践过程中经常看到的一些问题。就是关于这种离职转岗场景下权限清理不及时,这样的一些流程问题,人员也不具备管理这方面内容的能力,另一方面像数据资产管理,涉及到数据的一些流动,内外部共享情况下,企业合作方的管理和资质审核其实很多仅停留在商务条件方面,商务人员也是无法承担对合作方能力资质的鉴定,然后数据安全的管辖部门不清晰,比如说有很多公司,他们是很难将数据安全管理和网络信息安全管理进行拆分,很长时间仅仅由最初始的信息安全部门担任相关数据安全管理工作,但缺乏一定的标准文件对股市技术能力支撑,包括工作开展思路,还有面向数据操作的审计不完善,要么是没有工具,要么就是存在一定的工具,但在人员配套的能力,或者技能,或者和业务是否能融合存在问题。
以及对于数据安全风险评估,因为刚才数据安全法也提到说要定期去开展风险评估,但是其实关于风险评估方面,企业在做内部的评估和审计的时候缺乏一些规则和办法。目前看到的很多案例里面,一些中小型单位并不具备这些能力,也没有做这方面的工作,其实这就是一个风险点。以上讲到的是数据安全治理中发现的一些问题,侧面佐证了数据安全治理体系这四个要素在理想状态下的是缺一不可。
刚才数据安全法中特别提到,支持做评估和评测工作帮助企业和单位,找到自己的能力差距,然后进行补齐,那么我们目前国内的能力评估现状是怎么样的呢?一方面我们国家高度重视标准化工作的,在左上角的这个列表里面我们都能看到关于数据安全方面有一系列的标准文件,但是从现状的另一方面来说,目前市面上的一些认证都还在基于比较传统信息安全方面的,另外再从市场现状来说,目前行业的数据安全治理还属于发展初期,在评估和评测的过程当中,也会遇到以下这些问题:比如各个行业的能力水平不同,以及在开展评估过程中也发现虽然标准文件很多,但是具体可以量化用来评估度量的方法有一定缺失。另外,与监管要求和公众期待还存在一些差距,我们也现在还不具备贴近产业现状的一个具体的指南。然后企业自身很少见到说形成一个非常完备的体系化的数据安全方面的防御能力。
企业数据安全治理能力不足,规则体系和业务场景太多,经常在开展评估的过程中会花很大一部分时间去履行他们系统所涉及的应用场景,还有数据流转的环节,然后另一方面治理的人才比较缺乏。就像我们在评估过程中经常能看到每个业务线配了一个安全接口人,安全BP的角色,但是职务可能是产品,可能是风控,他们不一定是数据安全治理方面的专业人才,大多数处于兼任的状态。另一方面就是专门做数据安全治理方面,各企业反馈人员配置不足,难以支撑当前的业务体量。最后标题为立法要求,这块讲的是我们现在面临的现状。但是目前国家已经把数据安全治理这方面已经提到战略高度了,在积极推进各种法律,所以需要无论是企业还是第三方机构迅速建立一个能力评估的一套规则,然后去帮助各家尽快建立自己的治理能力,或者说做能力方面的提升。
下面我简单介绍一下信通院推出的DSG评估,DSG评估主要是一款市场化的数据安全治理能力评估的一个服务,从去年十月份中国互联网协会启动了DSG标准的编制,现在其实已经进入到2.0的迭代阶段。但是1.0标准是在去年的时候颁布的,当时第一批通过DSG评估的,有联通大数据、蚂蚁、百度等单位,然后当时标准的制定来自百度、联通、蚂蚁、奇安信等20多家电信互联网单位,30多名专家的参与。
然后具体的工作支撑,我做了一张这样的一个图,就是根据我刚才说到的现状中的一些问题,首先从理论基础上来说,这有92%和76%这两个数字,我解释一下大概是什么意思,我们内部通过对数据安全法、还有个人信息保护法的一个对标和分析、拆解,我们把我们评估的方法,大多数都是采集于这两个法案的一些要求,这两个百分比其实是一个条款的覆盖率情况,然后右侧这些标准文件也都是我们编制评估办法的一个重要参考材料,最后形成了我们这一套评估方法,都是我刚才前面讲到了组织建设、制度文件、技术工具和人员能力,也就是说在开展具体评估的时候主要是看这四个维度,然后将这个企业能力水平进行评估评测,最后提供一些相应的咨询方面的建议和意见。
具体的能力项如上图所示,分为三大块,安全战略是一个企业组织的安全规划,以及人员管理,全生命周期安全,就是我们都知道的数据的全生命周期,基础安全是合规管理、合作方管理,还有监控与审计,鉴定与访问等,风险和需求的评估,以及安全事件应急处理的能力。然后结合我刚才所说的一些评估方法,因为我们有做分析处理,我们最后对企业评估分为基础级、优秀级和先进级。因为目前是属于初始评估的阶段,没有把先进级这个口子放开,目前评估的企业基本集中在优秀级和基础级这两个档位。
评估时的重要依据是一个团体标准,是去年开展的DSG评估方法的团标,这个团标是来自不同的电信互联网企业的30多位专家,跟我们一起共同制定的。然后也是我刚才提到的,我们评估的方法和这些能力项目具体是什么,相关文件可以在网上下载。
做DSG评估的意义是什么?其实刚才已经介绍过很多遍,在此我在说一下。我们做DSG评估的主要意义是希望能够准确的评估出行业数据安全治理能力的发展现状,能够发现企业在做数据安全方面的一些问题。然后能够帮助企业因地制宜地指明发展方向,以及提升他们的治理能力。等级分布、共性问题分析以及发现标杆是对于我们评估侧的三个重要意义,对于企业侧的重要意义就是下面这6项,也就是说现状总结,以及接收到我们的一些优化的建议,包括在评估过程中,我们也会促进业内交流,然后对于我们的评估单位也会去因地制宜的提供一些最佳实践,以及包括向我们获取咨询。最后就是在业内交流过程中,促进企业互相之间的一个宣传和推广。
给大家展示一下我们的评估企业,目前第二批正在评估当中,第三批正在报名。首批已经完成,首批的情况均为优秀,左侧这五家单位。我自己也参与了第二批中一些项目,是中间这些单位,他们的评估结果已完成访谈,目前在进行结果评定,出来结果后送到专家评审,11月进行专家评审,如果评审通过会给相应的企业颁发DSG评估证书。然后第三批我们现在进入报名中,如果通过专家评审之后,在12月的数据安全方面高峰论坛上会进行DSG能力等级证书颁发。
02数据安全推进计划
关于数据安全推进计划,由中国信息通信研究院发起, 致力于推动法律法规及监管要求的贯彻落实,促进数据安全技术交流,推广数据安全最佳实践,提升数据安全治理水平的公益性活动。具体事情包括做搭建交流平台、开展数据安全研究、建立建设标准体系,以及提供相应的测评服务,以及培训与人才认证。10月20号我们举办了一期数据安全培训研讨会,这是第一期,是金融专场,会邀请信通院政经所还有国内律所,银行金融机构,还有互联网金融公司的专家就数据安全治理和实践进行一定的研讨。
如果加入到我们数据安全推进计划都会有什么样的一个成员权益?做安全很难去回答一个问题:收益在哪里?我做这件事情投入之后,产出在哪里?其实在开展各项活动的时候,也会希望说给我们的同学们,还有成员们讲清楚我们这个活动所能给大家带来的收益都有哪些,一方面是法律法规和政策解读,刚才有提到,虽然各种法律纷纷开始施行,但是因为是基本刑法,还有很多具体的一些内容可能是需要进一步的去拆解。我们这边九月到十月期间举办监管机构最新的数据安全政策方面细化的解读,从九月开始我们开展了很多数据安全方面标准文件的制定,我目前知道的就有三个是关于数据产品的服务能力方面的标准,审计产品标准,这些标准制定需要企业的老师们共同参与共同制定,这样才能说这个标准是更科学,更有普适性的一个工作。培训和公开课刚才也有提到,其实我们在做企业访谈过程中企业经常反复的就是人才的能力提升,还有人才培训这一块存在痛点,那么我们这边也有培训和公开课。
DSI成员可以免费获取一线专家的数据安全方面的公开课,可以优惠参加数据安全体系化培训,从九月启动报名,然后还有“星河”案例,也就是关于数据方面的经典案例,整个行业最佳实践方面的案例题报。可以直接通过评选初审进入专家评审阶段。还有关于数据安全治理能力的在线预评估,还有安全风险评估,评估侧我们也有相应的优惠。最后是一些长期活动,比如说像是牵头成立数据安全的项目组,联合发布数据安全的研究成果。但是标红星主要是由我们DSI联合发起单位独享的。
那么关于参与单位这块,因为刚才有提到联合发起单位,先简单介绍一下现在参与情况,截止9月30日,收到了一百零三家企业正式成为了我们的参与单位,主要行业集中在金融,互联网,汽车,安全厂商等等这些行业里面,其中我们评定的这个联合发起单位共30多家,包括以上这些公司集团。
03其他工作资讯
那么关一些其他工作资讯的方面,我给大家简单介绍一下。刚才提到,我们和成员单位紧密合作开展数据安全技术方面的研究,具体包括哪些技术呢?我这里做了一张全景图。
其中标蓝的内容是我们目前在做的这个安全技术方面的研究,也是多多鼓励各位企业的老师与我们共同开展这些研究,然后为标准研制,为行业的健康发展提供自己的思路、创新理念和经验。
我目前主要接收服务评估与评侧方面的相关内容,一方面是数据安全的风险评估,我们是根据数安法,个保法,网安法,个人信息安全管理安全规范,还有数据安全治理能力评估方法,等保方面等法律法规文件做了条款的收集和重新归类。最后是通过系统管理安全,系统数据安全,系统应用安全三个方面进行企业数据安全风险方面的评估,工作开展的方式是通过这些条款,做了一个风险矩阵,并且对相应的风险点做量化打分,最后输出一个风险等级,对应不同的风险等级再加上企业相关的业务情况提供一些解决方案。这是我们这一项评估服务的内容。
另一方面是针对一些涉及到大量个人信息方面的企业,我们也推出了个人信息保护方面的评估,具体是通过个人信息保护法,数据安全法,还有35273这三个文件,主要是通过这三个文件,也是通过风险矩阵分析,然后评定风险等级,对应推出相应的解决方案给到企业。这两部分内容大家可以理解为是一种咨询评估服务,主要包括以上六个维度。
我们团队还有相关DSMM的认证服务,关于评估评测方面的这个内容大家都可以直接联系我去了解更多的消息。
想了解更多数据知识也欢迎看,7 位大厂产品联合写的《大数据实践之路:数据中台+数据分析+产品应用》这本书。
网友评论