数安风向 | 读完这篇,搞定数据安全治理所有思路痛点

从安全管理洞察数据安全!

《岩谈》第5期——数据安全专刊

“码”上掌握,数安新风向

  

山石视点:上期“数安风向”专栏——《数安风向 | 从标准研究进展看数据安全》中我们向大家详细阐述了现阶段我国出台的若干数据安全相关标准和指南,这些标准和指南中无一例外都提到了关键技术和安全管理。常言道:“三方靠技术,七分看管理”,要想使数据安全治理实现全面、可持续的建设运营,高效、科学的安全管理体系和制度必不可少。

法律手段加强数据安全保障,一方面要维护国家安全和数字主权,另一方面要保障公众权益,同时还要推动数据的应用,保障组织的权益,相关的法律法规也相继出台,特别是2021年,随着国家《数据安全法》和《个人信息保护法》等相关法规条例的陆续颁布、实施,如何保障数据安全已越来越成为各行业相关组织关注的焦点,数据安全重要性已不言而喻。

而在实践中,数据采集者希望能从面向大量用户的应用和服务中获得更多的信息,以提供更加丰富、高效的个性化服务。随着数据的聚集和应用,数据价值不断提升。伴随大量数据集中,新技术不断涌现和应用,使数据面临新的安全风险,数据安全受到高度重视。目前拥有大量数据的组织的管理和技术水平参差不齐,有不少组织缺乏技术、运维等方面的专业安全人员,容易因数据平台和计算平台的脆弱性遭受网络攻击,导致数据泄露。

山石网科基于以数据为中心的安全治理体系,从数据安全制度、数据安全运营、数据安全技术、数据安全应急与数据安全监督等几个方面提供了数据安全治理思路,而安全治理的落地,离不开高效的安全管理。本文将对企业等组织构建和实施相对完备、有效的数据安全管理体系,以提升数据安全风险应对和数据安全保障能力所涉及的各方面问题进行探讨。

图片

一、数据安全管理概述

1、数据安全管理目标

组织实现数据价值的同时,需要确保数据安全,包括:满足个人信息保护和数据保护的法律法规、标准等要求,满足数据相关方的数据保护要求及通过技术和管理手段,保证自身控制和管理的数据安全风险可控等方面。

2、数据安全管理的主要内容

组织需分析数据活动的数据的保密性、完整性和可用性所面临的新问题,分析可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响,并明确解决这些问题和影响的数据安全需求。组织需先对数据进行分类分级,根据不同的数据分级选择适当的安全措施,并评估数据安全风险。组织除开展信息系统安全风险评估外,还应考虑数据所处的应用环境(场景)潜在的系统脆弱点、恶意利用、后果等不利因素,制定应对数据安全风险的措施等。

3、数据安全管理角色及责任

组织需建立数据安全管理组织架构,根据组织的规模、数据平台的数据量、业务发展及规划等明确不同角色及其职责,至少包含以下角色:数据安全管理者、数据安全执行者和数据安全审计者

 

二、数据安全管理基本原则

数据安全的治理落地,首先需要数据安全管理组织的支撑,在安全管理的过程中,组织需遵循至少以下八个原则:

  • 职责明确:明确不同角色和其数据活动的安全责任;
  • 安全合规:制定策略和规程确保数据的各项活动满足合规要求;
  • 质量保障:在采集和处理数据的过程中应确保数据质量;
  • 数据最小化:保证只采集和处理满足目的所需的最小数据;
  • 责任不随数据转移:当前控制数据的组织应对数据负责,当数据转移给其他组织时,责任不随数据转移而转移;
  • 最小授权:控制数据活动中的数据访问权限,保证在满足业务需求的基础上最小化权限;
  • 确保安全:采取适当的管理和技术措施,确保数据安全;
  • 可审计:需实现对数据应用平台(系统)和业务各环节的数据审计。
图片

三、数据分类分级

依据“以数据为中心的安全治理体系”并以此为指导,结合具体项目实践,山石网科总结出了数据安全治理七步法(详见文末“阅读原文”中的《岩谈》第5期),其中第三步便是数据资产的分类分级,可见分类分级是数据安全治理的前提与基础

1、数据分类分级原则

数据分类分级应满足科学性、稳定性、实用性和扩展性等原则。

2、数据分类分级流程

组织可参考下图的流程对数据进行分类分级。组织应根据数据分类分级规范对数据进行分类;为分类的数据设定初始安全级别;综合分析业务、安全风险、安全措施等因素后,评估初始安全级别是否满足数据安全需求,对不恰当的数据分级进行调整,并确定数据的最终安全级别。

图注:数据分类分级实施步骤

3、数据分类分级方法

数据分类方法可参照国标GB/T 7072—2002中的6章实施,由组织根据数据主体、主题、业务等不同的属性进行分类。组织需对已有数据或新采集的数据进行分级,数据分级需要组织的主管领导、业务专家、安全专家等共同确定。政府数据分级参照GB/T 31167-2014中6.3节,将非涉密数据分为公开、敏感数据。组织可根据法律法规、业务、组织战略、市场需求等,对敏感数据进一步分级,以提供相适应的安全管理和技术措施。组织针对不同级别的数据可参照国标GB/T 30274-2017选择恰当的管理和技术措施对数据实施有效的安全保护。

图片

四、数据安全风险评估

要对数据安全进行有效的管理,对自身的现状和当前安全风险进行全面准确的评估至关重要,数据安全治理七步法第四步便是风险评估。山石网科充分借鉴DSMM(数据安全能力成熟度模型)DSG(Gartner提出的数据安全治理体系框架),取其长处助力数据安全风险评估。

图注:数据安全能力成熟度模型

在实际的评估中,组织需要关注数据安全风险评估的诸多特点:

1、资产识别:组织开展资产识别时,需关注数据的资产特点,包括但不限于:个人信息、重要数据;数据可视化与分析算法与软件及处理框架等。

2、威胁识别:组织开展威胁识别时,需关注数据安全威胁的特点,包括但不限于潜在的不利因素、恶意利用所需的科学专业知识和技能和数据出境威胁等。

3、脆弱性识别:组织开展脆弱性识别时,需关注数据安全的特定脆弱性,包括但不限于:数据存储、处理等基础软件和基础设施的脆弱性和数据相关应用系统的脆弱性等。

4、已有安全措施确认:组织还需对已采取的安全措施的有效性进行确认。安全措施的选择可参考国标GB/T 35274—2017。

5、风险分析:组织需采用适当的方法与工具确定威胁利用脆弱性导致数据安全事件发生的可能性,综合安全事件所作用的数据资产价值及脆弱性的严重程度,判定安全事件造成的损失对国家安全、社会公共利益、组织和个人利益的影响。

图片

五、落地数据安全管理

在整体数据安全治理体系的落地建设中,存在诸多里程碑节点,本节例举三个供读者探讨。

1、确定数据安全保护范围

组织需首先识别业务运营中涉及的个人信息(包括个人敏感信息)、重要数据和组织业务数据,形成需要保护的数据清单,并逐项识别数据清单中数据的活动以及实现方式,并维护数据清单,在使用数据清单之前,数据清单应得到评审,确保数据清单内容充分适宜,并在适当范围内进行发布。组织还需定期(一般不超过12个月)或在数据清单涉及的内容发生变化时对数据清单进行更新。

然后,组织还需基于数据分类分级实施相应保护,在数据保护清单的基础上确定数据安全保护范围,原则上数据保护范围应覆盖数据保护清单识别的所有的数据,如果不覆盖所有数据应说明理由。组织应对数据保护范围的适宜和充分进行评审,并在组织范围内发布,也就是说确定的数据保护范围应形成数据保护清单,且该清单应与数据清单的维护保持同步。

2、建立数据安全管理制度

制定数据安全管理制度一般包含以下几方面内容:

制定数据安全保护方针和策略:组织主要负责人应根据组织的发展战略和数据安全保护需求,包括数据安全管理相关方的要求,建立数据安全保护方针;

确定数据安全保护目标:组织应根据数据安全保护策略,针对数据保护清单,梳理本标准中适用的要求,并根据要求确定每类数据和数据活动的数据安全保护目标,形成数据安全保护目标文件;

制定数据安全保护计划:由数据安全保护责任人对组织实现数据安全保护目标进行策划,并依据策划文件,再制定数据安全保护计划;

组织人力资源与保障:组织应确定承担数据安全保护职责的所有相关部门,并将落实保护措施、履行管理职责分配到人。组织需任命数据安全责任人,并通过正式的授权明确其责任和权力,数据安全责任人应由组织的管理层人员或具有相同职权的人员承担,且数据安全责任人对数据安全负直接责任,能够独立履职,不受外部干扰。此外,组织还需具备和落实充分的人力资源保护措施、履行管理职责,具体包括:所有与数据安全保护相关的岗位及其责任和能力要求、人员岗位考核及安全意识教育与培训等;

事件与应急管理:组织需通过对超范围采集、泄露、窃取、篡改、毁损、不正当使用等数据安全事件进行管理,确保数据安全事件在发生时得到及时发现和解决,并建立数据安全事件应急管理制度,确保数据安全事件在发生时得到及时控制;

符合性管理:组织须识别与数据安全相关的所有法律法规要求和合同义务,形成清单或内部政策文件,并对其进行管理。

3、数据安全管理控制措施

为使数据安全管理制度得到有效执行和落实,组织需采取以下几方面的数据安全管理控制措施:

隐私管理:针对数据保护清单的涉及处理个人信息的数据活动制定隐私政策,并对其进行管理;

数据收集管理与安全控制:在进行数据收集前,应符合法律、法规、合同的要求或征得数据主体(特别是个人信息主体)的授权同意;在数据收集过程中,应对数据收集活动进行影响分析和风险评估,根据其结果采取适当的安全措施确保数据安全;

数据传输管理与安全控制:数据传输是数据收集、数据共享、交易、委托处理、发布、数据出境等活动所需的辅助活动,通常采取公共网络、专用网络、内部网络、移动介质等方式实现,应对数据传输活动进行管理,必要时采取相关措施,确保数据传输活动得到控制;

数据保存管理与安全控制:数据保存是数据控制者必须管理数据活动,数据通常存储在内部网络存储设备、公共网路存储设备、移动存储和纸质介质中,应对数据保存活动进行管理,必要时采取相关措施,确保数据保存活动得到控制;

数据处置管理与安全控制:数据处置是组织对不需要再保存和处理的数据采取的数据活动,主要通过删除、销毁、声明等手段实现,应对数据处置活动进行管理,必要时采取相关措施,确保数据处置活动得到控制;

数据使用管理与安全控制:数据使用是数据生命周期中最重要的活动,通常包括组织为给用户提供服务而进行的处理、分析、展示等活动,以及为提供更高质量的服务和增加经营效益而进行的处理、分析、转移、发布、展示等活动,因此需对这些环节采取相应的安全管控措施,包括使用授权、自动决策、信息公开和数据访问与(个性化)展示等方面;

数据委托处理、共享、转让和发布管理:应对数据委托处理、共享、转让和发布活动的合规性和风险进行管理,并对数据的委托处理、共享和转让的数据接收方和受委托方的数据安全保护能力进行管理,确保共享、转让和委托处理时的数据安全;

第三方应用接入管理与安全控制:当数据控制者在其产品或服务中接入具备个人信息和重要数据处理功能的第三方产品或服务(定义)时,应对第三方的接入和涉及的产品和服务进行管理,确保不因第三方的应用接入而危害数据安全。

当然数据安全治理不止包含以上三部分,资产摸底、风险分析、技术落地、服务支撑等等,都是不可或缺的部分。无论是山石网科数据安全治理体系,还是具体落地的七步法方案,都始终强调数据安全治理“自上而下”的特性,既有宏观的方针指引,也要有落地的策略指导。从顶层到基层,从管理到治理,从一维到多维,让数据安全有章可循。