01 數(shù)據(jù)安全的定義
根據(jù)《數(shù)據(jù)安全架構設計與實戰(zhàn)》一書的定義�,狹義的數(shù)據(jù)安全往往指保護靜態(tài)存儲級的數(shù)據(jù)以及數(shù)據(jù)泄漏防護等�。廣義的數(shù)據(jù)安全則是基于“安全體系以數(shù)據(jù)為中心”的立場�����,泛指整個安全體系側(cè)重于數(shù)據(jù)分級以及敏感數(shù)據(jù)全生命周期的保護���,數(shù)據(jù)安全更加接近于一種控制目的。
一般讀者都會困惑于數(shù)據(jù)安全和信息安全異同����。實際上,狹義的信息安全是為“防止敏感信息的不當擴張”�。如根據(jù)國際標準化組織(ISO)對信息安全的定義,信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護����,保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞����、更改和泄漏。而廣義的信息安全則突出“安全體系架構以信息為中心”��,強調(diào)安全管理體系。
早期����,信息安全、網(wǎng)絡安全和數(shù)據(jù)安全存在一個由大到小包含的層次�,而現(xiàn)在信息安全有狹義化的趨勢,多數(shù)情況下有被網(wǎng)絡空間安全所覆蓋的趨勢�����;而數(shù)據(jù)安全更接近安全的目標��,安全體系隨著數(shù)據(jù)的傳輸而擴展����,大部分被網(wǎng)絡空間安全覆蓋,個別部分如長臂管轄權除外����。
02 以數(shù)據(jù)安全為中心的安全控制體系
數(shù)據(jù)安全更接近安全的目標,要圍繞其建立完善的安全控制體系����,大體分為三個步驟:首先要對組織內(nèi)的數(shù)據(jù)資產(chǎn)及相關信息資產(chǎn)進行識別和分級,建立對應數(shù)據(jù)分級級別相適應的控制措施�;然后分配組織內(nèi)各個部門單位對應數(shù)據(jù)資產(chǎn)的職能角色�����;最后確定各個角色相關的所有權���、管理權或使用權等相關權責,對碰觸逾越安全基線的事件行為觸發(fā)問責機制�。
1.信息與數(shù)據(jù)資產(chǎn)的識別與分級
數(shù)據(jù)安全的重點是在整個數(shù)據(jù)生命周期中保護信息,首先就需要對數(shù)據(jù)信息進行安全分類�����,其中不僅是數(shù)據(jù)的分級���,還包括處理數(shù)據(jù)的物理系統(tǒng)、存儲數(shù)據(jù)的介質(zhì)����、以及軟件權限進行分級等等,所有數(shù)據(jù)安全管控的后續(xù)操作都應基于合規(guī)合理的分類相應推進��。換句話說�����,如果一臺PC正在處理絕密數(shù)據(jù),那么這臺計算機也應被歸類為絕密資產(chǎn)���。同樣���,如果內(nèi)部或外部驅(qū)動器等介質(zhì)保存絕密數(shù)據(jù),該介質(zhì)也應被歸類為絕密資產(chǎn)��。軟件訪問權限亦是如此��。
實施信息與數(shù)據(jù)資產(chǎn)的識別和分級步驟一般包括:
1)定義敏感數(shù)據(jù)��。敏感數(shù)據(jù)是任何非公開或非機密的信息�,包括機密的、專有的��、受保護的或因其對組織的價值或按照現(xiàn)有的法律法規(guī)而需要組織保護的任何類型的數(shù)據(jù)���。主要有:個人身份信息�、受保護的健康信息和專有信息�����,其中任何有助于企業(yè)或組織保持競爭優(yōu)勢的數(shù)據(jù)(如軟件代碼、產(chǎn)品設計計劃�����、流程����、知識產(chǎn)權等)等。
2)定義數(shù)據(jù)分級�。數(shù)據(jù)分級工作需要通過組織業(yè)務細分、主體明確����、數(shù)據(jù)歸類、級別判定等流程加以實現(xiàn)�,是數(shù)據(jù)安全保護的基礎��。2021年6月10日�,我國《中華人民共和國數(shù)據(jù)安全法》正式頒布,其中第三十一條規(guī)定“各地區(qū)�����、各部門應當按照數(shù)據(jù)分級保護制度��,確定本地區(qū)��、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄���,對列入目錄的數(shù)據(jù)進行重點保護����?���!睌?shù)據(jù)安全法的頒布,把安全控制的頂層建筑提升到了國家安全的層面�����,要求各組織和企業(yè)依據(jù)數(shù)據(jù)的相對價值來確定分級標準和安全策略���,并依據(jù)不同的數(shù)據(jù)敏感程度制定不同的保護策略�,在對標國家安全和法律的基礎上��,建立組織內(nèi)重要數(shù)據(jù)目錄保護制度���,保障重要敏感數(shù)據(jù)的安全�����。下圖就是一個對標國家政府安全級別的分級示例��。
3)定義信息資產(chǎn)分級���。這里指的信息資產(chǎn)主要指數(shù)據(jù)概念外的信息系統(tǒng)��、物理系統(tǒng)等實體資產(chǎn)����,這些資產(chǎn)的分級應與數(shù)據(jù)分級相匹配�,如物理系統(tǒng)、存儲介質(zhì)����、軟件環(huán)境等要素要與數(shù)據(jù)安全標的相銜接,不能簡單生硬切割����,應采用統(tǒng)一價值口徑進行安全措施的對等匹配��,并保證覆蓋完整�����,才能保證信息資產(chǎn)和數(shù)據(jù)資產(chǎn)的管理邊界清晰,并且措施合理����、覆蓋全面。
2.確定對應數(shù)據(jù)安全的控制措施
定義數(shù)據(jù)和資產(chǎn)分級后�,要就確定安全控制措施(制度、流程����、機制和技術)。如使用對稱/非對稱加密保護動態(tài)/靜態(tài)數(shù)據(jù)�、保證硬件環(huán)境(溫度或濕度)符合數(shù)據(jù)存儲條件、使用適當?shù)募夹g手段結(jié)束數(shù)據(jù)生命周期等���。確定了這部分安全控制�,分別就對數(shù)據(jù)資產(chǎn)�����、信息資產(chǎn)初步建立了一個對應控制關系��,形成了一個資產(chǎn)保護目錄的雛形���。
3.數(shù)據(jù)和信息資產(chǎn)的確權
明確數(shù)據(jù)的權屬關系是數(shù)據(jù)安全治理的難點�。數(shù)據(jù)的采集、存儲�����、傳輸���、處理��、使用等每一個環(huán)節(jié)都與數(shù)據(jù)權屬有直接關系�。在數(shù)據(jù)采集階段����,過度采集用戶隱私數(shù)據(jù)的行為非常普遍,缺乏合理的授權制度和有效的約束措施將形成“過度收集”���,如近期某頭部輸入法軟件就因過度收集個人隱私信息而被巨額罰款����。在數(shù)據(jù)存儲階段�,數(shù)據(jù)如果脫離所有者的掌握和相關部門的監(jiān)管�,收集者的權力就會被過度放大�。在數(shù)據(jù)傳輸階段����,倒賣用戶數(shù)據(jù)的事情時有發(fā)生。在數(shù)據(jù)處理階段����,對數(shù)據(jù)集進行處理加工所得出的新數(shù)據(jù)歸誰所有尚沒有定論。在數(shù)據(jù)使用階段���,由數(shù)據(jù)產(chǎn)生的經(jīng)濟效益如何分配還欠缺適用的理論指導���。
換言之,沒有數(shù)據(jù)確權����,數(shù)據(jù)安全的控制基線就難以確定,安全標準也就無從談起����。產(chǎn)生這些數(shù)據(jù)權屬問題的重要原因,就是數(shù)據(jù)作為一種重要資源�����,在法律上并沒有被賦予資產(chǎn)屬性,數(shù)據(jù)的所有權或產(chǎn)權沒有被廣泛認可����。《中華人民共和國數(shù)據(jù)安全法》正式頒布后��,雖然在一定程度上確定了數(shù)據(jù)安全的法規(guī)頂層建筑�����,但針對數(shù)據(jù)確權尚未有深入的處理細則���。
雖然數(shù)據(jù)確權現(xiàn)階段難以完全實現(xiàn)��,但我們可以參考CISSP官方指南的描述管中窺豹��,初步構思一個藍圖���,先確定組織內(nèi)的角色,再針對角色職能分配權力和責任:一般來說���,組織內(nèi)面向信息資產(chǎn)的主要角色有數(shù)據(jù)所有者���、系統(tǒng)所有者��、業(yè)務所有者、數(shù)據(jù)使用者��、管理員����、托管員和用戶。
其中�,數(shù)據(jù)所有者最終負責對數(shù)據(jù)進行分級、標記和保護��;系統(tǒng)所有者負責管理處理數(shù)據(jù)的系統(tǒng)����;業(yè)務所有者控制數(shù)據(jù)處理流程并確保系統(tǒng)能為組織創(chuàng)造價值;數(shù)據(jù)使用者通常是組織處理數(shù)據(jù)的第三方實體����;管理員根據(jù)數(shù)據(jù)所有者提供的準則授予對數(shù)據(jù)的訪問權限;托管員接受數(shù)據(jù)所有者的委托負責日常數(shù)據(jù)的正確存儲并保護數(shù)據(jù)����;用戶訪問系統(tǒng)中的數(shù)據(jù)。映射到商業(yè)銀行體系中���,數(shù)據(jù)所有者往往是業(yè)務部門����;系統(tǒng)所有者通常來說是業(yè)務系統(tǒng)主管部門,一般來說系統(tǒng)所有者和數(shù)據(jù)所有者是相一致的���,但也有數(shù)據(jù)和系統(tǒng)所有權相分離的情況��;數(shù)據(jù)使用者可以是企業(yè)內(nèi)其他參與數(shù)據(jù)處理的部門�����,也可以是第三方外部公司���;管理員負責系統(tǒng)內(nèi)訪問數(shù)據(jù)人員的權限設置和特權,通常由數(shù)據(jù)管理部門�����、內(nèi)控管理部門和IT部門共同扮演����;托管員是銀行物理系統(tǒng)機管部門和運維部門;用戶則可能是終端、員工�、客戶和其他外部人員。
4.制定安全人員的管理策略
不論單位組織內(nèi)的數(shù)據(jù)分級如何準確�����、資產(chǎn)保護目錄如何完備����、安全管控技術如何先進�����、角色分配和數(shù)據(jù)確權如何明晰��,但只要管理流程有人的參與����,就必定是數(shù)據(jù)安全管理體系內(nèi)最薄弱的一環(huán)。因此�,建立一套完整的數(shù)據(jù)安全團隊的人員建設和管理策略必不可少,從招聘��、能力建設直到實施管控���,務必全面覆蓋�。
一是制定嚴密的入職程序,在預備階段審查候選人的能力�、背景,在勞務關系建立階段確定保密和雇傭協(xié)議的具體細節(jié)�;二是組織需要根據(jù)崗位職責、人員角色�,明確相應的能力要求,建設安全團隊人員的能力培養(yǎng)機制���。三是通過職責分離��、崗位輪調(diào)��、權限管理和績效考核等手段�,將數(shù)據(jù)安全管控實施過程中人的不確定降到最低�。四是重視數(shù)據(jù)安全人員的離職程序,對離職人員在職期間接觸到的有形/無形資產(chǎn)進行清理和滅失����,同時實行離職審計制度。五是關注外包商風險控制���,對合作中的數(shù)據(jù)交換進行合規(guī)���、隱私和賠償細則進行明確約定�。
03 小結(jié)
一是數(shù)據(jù)分級是數(shù)據(jù)安全的基礎���,在數(shù)據(jù)安全法的基礎下建立重要數(shù)據(jù)目錄保護制度�,保障了重要敏感數(shù)據(jù)的安全�����,能為等級保護制度提供支撐基礎���,也有助于防控數(shù)據(jù)風險、保障數(shù)據(jù)交易����、釋放數(shù)據(jù)價值。二是數(shù)據(jù)確權是數(shù)據(jù)安全的重點和難點�����,確權有助于明確數(shù)據(jù)安全治理的部門�����、推進組織內(nèi)外的數(shù)據(jù)公開化,也是數(shù)據(jù)價值評估體系和數(shù)據(jù)交易制度的必要條件����。三是客觀把握數(shù)字化轉(zhuǎn)型中發(fā)展和安全的平衡。數(shù)據(jù)確權的確有利于數(shù)據(jù)安全的落地�,但也客觀減緩了數(shù)據(jù)在組織內(nèi)外的流動性,增厚組織內(nèi)的體制壁壘�����。過早����、過嚴、過窄地進行數(shù)據(jù)確權���,反而可能會抑制業(yè)務發(fā)展�。在明確安全基線和保證發(fā)展速度的天平上�����,數(shù)據(jù)安全治理體系尚有很長一段路要走���。
等保測評咨詢
