李躍忠

隨著人工智能、大數(shù)據(jù)等新興技術(shù)的應(yīng)用和普及，數(shù)據(jù)逐漸從傳統(tǒng)的IT環(huán)境中獨(dú)立出來(lái)，變成一種新的安全保護(hù)目標(biāo)實(shí)體。數(shù)據(jù)已成為國(guó)家、政府、企業(yè)、組織的戰(zhàn)略資源，對(duì)數(shù)據(jù)及其安全的治理也成為組織正常發(fā)展的基本保障。無(wú)論是希望通過(guò)數(shù)據(jù)獲得競(jìng)爭(zhēng)優(yōu)勢(shì)，不斷改善追加銷(xiāo)售和交叉銷(xiāo)售或提高客戶保有率，從而實(shí)現(xiàn)業(yè)務(wù)增長(zhǎng)目標(biāo)的業(yè)務(wù)發(fā)展訴求，還是為了降低成本、提高業(yè)務(wù)效率或優(yōu)化復(fù)雜持續(xù)并購(gòu)的企業(yè)實(shí)際運(yùn)營(yíng)需要，甚至是來(lái)自監(jiān)管部門(mén)數(shù)據(jù)相關(guān)的合規(guī)要求，這些需求都推動(dòng)著企業(yè)和機(jī)構(gòu)將數(shù)據(jù)治理視為工作的重點(diǎn)。

一、時(shí)代更迭，風(fēng)險(xiǎn)推動(dòng)數(shù)據(jù)安全治理需求

近年來(lái)，互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展勢(shì)頭迅猛，隨之而來(lái)的是大量數(shù)據(jù)泄露、數(shù)據(jù)濫用、數(shù)據(jù)盜用等安全事件的發(fā)生。雖然泄漏的是數(shù)據(jù)本身而非具有明確價(jià)格的實(shí)際資產(chǎn)，但是數(shù)據(jù)泄露事件產(chǎn)生的負(fù)面影響是巨大的、廣泛的，極易演變成重大的個(gè)人隱私泄露事件、經(jīng)濟(jì)事件乃至政治事件，其影響難以用金錢(qián)衡量。隨著互聯(lián)網(wǎng)的發(fā)展，大量的敏感數(shù)據(jù)在各種社交網(wǎng)絡(luò)及電子商務(wù)等平臺(tái)上不斷積累，如果平臺(tái)對(duì)于用戶信息分享和加工使用缺乏嚴(yán)謹(jǐn)細(xì)致的數(shù)據(jù)管理策略和有效的數(shù)據(jù)安全監(jiān)管手段，就可能被別有用心的人與團(tuán)伙非法利用，從而導(dǎo)致侵害個(gè)人隱私、威脅個(gè)人生命財(cái)產(chǎn)安全甚至國(guó)家安全的重大數(shù)據(jù)泄露事件。

數(shù)據(jù)的價(jià)值不能簡(jiǎn)單的量化，可以分為直接價(jià)值和間接價(jià)值兩方面。以近些年來(lái)層出不窮的數(shù)據(jù)泄露事件作為參考，某服務(wù)公司在網(wǎng)絡(luò)上銷(xiāo)售涉及2億余條數(shù)據(jù)，獲利2000余萬(wàn)元；某酒店集團(tuán)1.3億人的個(gè)人信息及開(kāi)房記錄在暗網(wǎng)以37萬(wàn)元被售賣(mài)等，直接價(jià)值可在一定程度上參考非法交易價(jià)格，但間接價(jià)值無(wú)法定義，被罰50億美元雖然是一個(gè)龐大的數(shù)字， 但是與影響美國(guó)大選、Facebook市值蒸發(fā)幾百億美元的結(jié)果相比較，也就不顯得突兀了?？梢?jiàn)，數(shù)據(jù)的間接價(jià)值可能遠(yuǎn)遠(yuǎn)高于直接價(jià)值。

2020年4月9日，中共中央、國(guó)務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》（簡(jiǎn)稱《意見(jiàn)》），數(shù)據(jù)作為一種新型生產(chǎn)要素被納入其中，與土地、勞動(dòng)力、資本、技術(shù)等共同構(gòu)成此次要素市場(chǎng)化改革的重要組成部分。由此表明，國(guó)家承認(rèn)了市場(chǎng)機(jī)制中數(shù)據(jù)的重要性角色與價(jià)值，并推動(dòng)數(shù)據(jù)在產(chǎn)生層面、在數(shù)據(jù)源頭的進(jìn)一步嚴(yán)格確權(quán)，逐步提升對(duì)數(shù)據(jù)的監(jiān)管及防護(hù)。

二、《數(shù)據(jù)安全法（草案）》將數(shù)據(jù)安全治理提升至法律高度

2020年6月公布的《全國(guó)人大常委會(huì)2020年度立法工作計(jì)劃》中，將數(shù)據(jù)安全法立法作為"健全國(guó)家安全法律制度體系，提高防范抵御風(fēng)險(xiǎn)能力"的重要任務(wù)。2020年7月，《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》（以下簡(jiǎn)稱《草案》）公布。《草案》規(guī)定了支持促進(jìn)數(shù)據(jù)安全與發(fā)展的措施，建立健全國(guó)家數(shù)據(jù)安全管理制度，落實(shí)開(kāi)展數(shù)據(jù)活動(dòng)的組織、個(gè)人的主體責(zé)任等內(nèi)容。其中主要內(nèi)容包括：

確立數(shù)據(jù)分級(jí)分類(lèi)管理以及風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警和應(yīng)急處置等數(shù)據(jù)安全管理各項(xiàng)基本制度；

明確開(kāi)展數(shù)據(jù)活動(dòng)的組織、個(gè)人的數(shù)據(jù)安全保護(hù)義務(wù)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任；

堅(jiān)持安全與發(fā)展并重，規(guī)定支持促進(jìn)數(shù)據(jù)安全與發(fā)展的措施；

建立保障政務(wù)數(shù)據(jù)安全和推動(dòng)政務(wù)數(shù)據(jù)開(kāi)放的制度措施。

三、構(gòu)建以數(shù)據(jù)為中心的數(shù)據(jù)安全治理體系

數(shù)據(jù)安全是一個(gè)體系化建設(shè)的過(guò)程，并非單純的產(chǎn)品采購(gòu)與部署。數(shù)據(jù)安全建設(shè)需要建立以組織建設(shè)、制度建設(shè)、技術(shù)建設(shè)為一體的頂層架構(gòu)，以數(shù)據(jù)安全治理的理念進(jìn)行體系化建設(shè)。

數(shù)據(jù)安全治理的目的是為了確保數(shù)據(jù)的安全高效利用，實(shí)現(xiàn)企業(yè)價(jià)值，提升公共管理能力。企業(yè)和機(jī)構(gòu)組織能夠通過(guò)數(shù)據(jù)安全治理解決數(shù)據(jù)安全頂層設(shè)計(jì)及管理體系建設(shè)的問(wèn)題，在其組織架構(gòu)、管理規(guī)范、數(shù)據(jù)風(fēng)險(xiǎn)分析、數(shù)據(jù)安全策略模型等過(guò)程中生成的結(jié)果均可以作為數(shù)據(jù)安全保護(hù)建設(shè)的主要依據(jù)。見(jiàn)圖1。

數(shù)據(jù)安全治理體系建設(shè)要求以數(shù)據(jù)安全治理框架為綱領(lǐng)、數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)為基礎(chǔ)、數(shù)據(jù)安全風(fēng)險(xiǎn)管控為核心構(gòu)建以數(shù)據(jù)為中心的安全防護(hù)體系。一般來(lái)說(shuō)，體系應(yīng)該包括治理評(píng)估、組織建設(shè)、管理建設(shè)、技術(shù)建設(shè)以及審計(jì)改進(jìn)等幾個(gè)特定要素。

（一）治理評(píng)估

以業(yè)務(wù)部門(mén)為單位，基于業(yè)務(wù)識(shí)別、數(shù)據(jù)識(shí)別、風(fēng)險(xiǎn)識(shí)別制定數(shù)據(jù)安全治理評(píng)估過(guò)程。通過(guò)制定數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，梳理數(shù)據(jù)資產(chǎn)清單及權(quán)責(zé) 、數(shù)據(jù)使用過(guò)程及生命周期，分析業(yè)務(wù)環(huán)境及脆弱性等，確定數(shù)據(jù)安全能力成熟度等級(jí)。見(jiàn)圖2。

（二）組織建設(shè)

本著“誰(shuí)主管、誰(shuí)負(fù)責(zé)”的工作原則落實(shí)執(zhí)行，在系統(tǒng)生命周期各階段明確責(zé)任部門(mén)及安全職責(zé)。制定數(shù)據(jù)安全管理辦法，并且同步完善數(shù)據(jù)安全管理制度、業(yè)務(wù)制度、技術(shù)制度等。見(jiàn)圖3。

（三）管理建設(shè)

在全面的風(fēng)險(xiǎn)分析基礎(chǔ)上，制定合理的安全策略，在數(shù)據(jù)的分級(jí)、分類(lèi)、分布、訪問(wèn)權(quán)限、傳輸路徑、操作審計(jì)、備份恢復(fù)等多個(gè)方面，規(guī)定誰(shuí)、在什么時(shí)間、什么地點(diǎn)、對(duì)哪種數(shù)據(jù)、進(jìn)行何種行為。見(jiàn)圖4。

（四）技術(shù)建設(shè)

通過(guò)數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)，基于數(shù)據(jù)集進(jìn)行細(xì)粒度管控，明確各措施執(zhí)行周期，制定技術(shù)目標(biāo)和技術(shù)建設(shè)內(nèi)容。見(jiàn)圖5。

（五）數(shù)據(jù)安全審計(jì)及持續(xù)改進(jìn)

安全驗(yàn)收后的日常運(yùn)營(yíng)維護(hù)中，應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平，對(duì)整體環(huán)節(jié)加強(qiáng)安全審計(jì)監(jiān)督，并持續(xù)跟蹤數(shù)據(jù)安全治理服務(wù)。見(jiàn)圖6。

數(shù)據(jù)安全治理提高了客戶整體數(shù)據(jù)安全管控能力。根據(jù)客戶業(yè)務(wù)需求特點(diǎn)，分析能力現(xiàn)狀與目標(biāo)差距，完善數(shù)據(jù)保密性、完整性及可用性保障措施，制定切實(shí)可行的數(shù)據(jù)安全治理方案，有效解決數(shù)據(jù)安全能力改進(jìn)、建設(shè)、運(yùn)維過(guò)程的管理等問(wèn)題，確保數(shù)據(jù)安全能力切實(shí)落地。

四、數(shù)據(jù)安全從業(yè)人員能力提升

數(shù)據(jù)安全治理不能僅僅依靠模型和框架，還要采用法律、教育、行政、倫理等多種方法與手段。針對(duì)數(shù)據(jù)利用過(guò)程中的一系列安全問(wèn)題與安全隱患，應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全教育和培訓(xùn)，提升網(wǎng)絡(luò)安全從業(yè)人員的專(zhuān)業(yè)素質(zhì)，強(qiáng)化公眾的安全意識(shí)、安全防范技能。

2016年4月，中共中央總書(shū)記習(xí)近平在北京主持召開(kāi)網(wǎng)絡(luò)安全和信息化工作座談會(huì)并發(fā)表重要講話，強(qiáng)調(diào)“網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才競(jìng)爭(zhēng)。”；2017年，《網(wǎng)絡(luò)安全法》要求采取多種方式培養(yǎng)網(wǎng)絡(luò)安全人才，促進(jìn)網(wǎng)路安全人才交流。近年來(lái)，我國(guó)不斷探索和踐行各種網(wǎng)絡(luò)安全人才培養(yǎng)模式，但網(wǎng)絡(luò)安全人才因其技能要求高，培養(yǎng)周期長(zhǎng)，如何吸引更多人員加入網(wǎng)絡(luò)安全行業(yè)以及如何提升從業(yè)人員的能力是目前亟待解決的問(wèn)題，人才資質(zhì)認(rèn)定正是解決這兩個(gè)問(wèn)題的有效途徑。

人才資質(zhì)認(rèn)定的目標(biāo)是通過(guò)短時(shí)期的系統(tǒng)專(zhuān)業(yè)認(rèn)證培訓(xùn)，通過(guò)考試獲得行業(yè)組織權(quán)威機(jī)構(gòu)的技能認(rèn)證，是對(duì)通過(guò)者能力的評(píng)定，為企業(yè)用人提供專(zhuān)業(yè)權(quán)威的參考，同時(shí)促進(jìn)從業(yè)人員的專(zhuān)業(yè)技能提升。

（一）為從業(yè)者指明職業(yè)發(fā)展方向與目標(biāo)

網(wǎng)絡(luò)安全行業(yè)本身具有更新快、跨領(lǐng)域、碎片化的特點(diǎn)，隨著目前人工智能、大數(shù)據(jù)等新技術(shù)的應(yīng)用，對(duì)于人才能力的要求越來(lái)越高，如何選擇職業(yè)發(fā)展方向?qū)臉I(yè)者非常重要。資質(zhì)認(rèn)證是對(duì)行業(yè)人才需求的高度概括。2019年9月，中國(guó)信息安全測(cè)評(píng)中心召開(kāi)的人才培養(yǎng)年會(huì)中發(fā)布了CISP系列注冊(cè)資質(zhì)證書(shū)，設(shè)計(jì)17個(gè)分項(xiàng)領(lǐng)域，旨在促進(jìn)對(duì)網(wǎng)絡(luò)安全人才有強(qiáng)烈需求領(lǐng)域的人才培養(yǎng)力度，對(duì)進(jìn)入行業(yè)的新人，資質(zhì)認(rèn)定可以幫助他們明確職業(yè)發(fā)展方向，促進(jìn)他們積極學(xué)習(xí)專(zhuān)業(yè)技能。針對(duì)已經(jīng)深耕專(zhuān)業(yè)方向的人員，資質(zhì)認(rèn)定是對(duì)他們能力的認(rèn)可，是他們專(zhuān)業(yè)方向發(fā)展前景的指路燈。不管是哪個(gè)階段的人才，資質(zhì)認(rèn)定都是堅(jiān)定他們?cè)诰W(wǎng)絡(luò)安全行業(yè)發(fā)展的定心針。

（二）為企業(yè)選拔人才提供重要指標(biāo)

2018-2019年度《中國(guó)信息安全從業(yè)人員現(xiàn)狀調(diào)研報(bào)告》中針對(duì)職業(yè)流動(dòng)的調(diào)研數(shù)據(jù)中顯示：與上一年度相比，能體現(xiàn)出應(yīng)聘者具備一定專(zhuān)業(yè)知識(shí)、技能和工作經(jīng)驗(yàn)的“信息安全資質(zhì)證書(shū)”取代了“相關(guān)工作經(jīng)驗(yàn)”成為用人單位首要的關(guān)注重點(diǎn)，信息安全資質(zhì)成為用人單位選拔人才的重要指標(biāo)。

人員資質(zhì)認(rèn)定是有權(quán)威機(jī)構(gòu)做背書(shū)的，越來(lái)越多的企業(yè)會(huì)在招聘需求中標(biāo)明對(duì)求職者資質(zhì)證書(shū)的要求。2019年各行各業(yè)遭受“寒冬”侵襲，各大知名企業(yè)裁員風(fēng)暴不斷，網(wǎng)絡(luò)安全行業(yè)方興未艾，人員需求保持著旺盛的增長(zhǎng)態(tài)勢(shì)。擁有網(wǎng)絡(luò)安全行業(yè)的專(zhuān)業(yè)資格證書(shū)，可以使從業(yè)者在競(jìng)爭(zhēng)中處于有利位置，為個(gè)人長(zhǎng)遠(yuǎn)的職業(yè)發(fā)展敲開(kāi)大門(mén)，提供有力保障。

隨著信息安全工作的高度專(zhuān)業(yè)化，安全培訓(xùn)也必須適應(yīng)時(shí)代發(fā)展，具備系統(tǒng)性、專(zhuān)業(yè)性、權(quán)威性、持續(xù)性等特點(diǎn)。具備上述特點(diǎn)的CISP認(rèn)證考試已成為國(guó)內(nèi)最具權(quán)威性的信息安全資質(zhì)證明，得到了信息安全行業(yè)的高度認(rèn)可。

1.系統(tǒng)性。為了適應(yīng)網(wǎng)絡(luò)空間安全保障對(duì)人才的需求，CISP的知識(shí)體系在不斷地更新和發(fā)展，前基本覆蓋了信息安全工作各個(gè)環(huán)節(jié)，通過(guò)學(xué)習(xí)有效地形成信息安全保障工作地體系化思路，較好地避免了信息安全中“木桶效應(yīng)”地出現(xiàn)。

2.專(zhuān)業(yè)性。CISP是一系列認(rèn)證考試的總稱，覆蓋數(shù)據(jù)安全治理、滲透測(cè)試等多種信息安全細(xì)分領(lǐng)域，通過(guò)后可獲得CISP-DSG、CISP-PTE等專(zhuān)業(yè)資格證書(shū)。

3.權(quán)威性。中國(guó)信息安全測(cè)評(píng)中心是我國(guó)開(kāi)展風(fēng)險(xiǎn)評(píng)估的國(guó)家專(zhuān)控隊(duì)伍之一，擁有國(guó)內(nèi)一流的信息安全漏洞分析資源和測(cè)試評(píng)估技術(shù)裝備，承擔(dān)黨政機(jī)關(guān)等重要信息系統(tǒng)的安全保障任務(wù)。

4.通過(guò)CISP考試不是終點(diǎn)，而是起點(diǎn)。通過(guò)CISP考試，證書(shū)持有者可持續(xù)獲得CISP組織的持續(xù)支持，及時(shí)獲悉最新威脅預(yù)警，掌握應(yīng)對(duì)方案，加強(qiáng)從業(yè)者溝通合作。

（三）注冊(cè)數(shù)據(jù)安全治理專(zhuān)項(xiàng)認(rèn)證

為了滿足數(shù)據(jù)安全治理領(lǐng)域?qū)?zhuān)業(yè)人才的需求，加快我國(guó)數(shù)據(jù)安全治理人才的培養(yǎng)，中國(guó)信息安全測(cè)評(píng)中心推出了注冊(cè)數(shù)據(jù)安全治理專(zhuān)項(xiàng)證書(shū)，英文為 Certified Information Security Professional - Data Security Governance，簡(jiǎn)稱CISP-DSG。CISP-DSG旨在讓注冊(cè)人員增強(qiáng)數(shù)據(jù)安全治理能力，幫助各類(lèi)組織機(jī)構(gòu)解決數(shù)據(jù)安全頂層設(shè)計(jì)及管理體系建設(shè)的問(wèn)題，從而提升國(guó)家企事業(yè)單位信息安全管理能力，獲得證書(shū)的專(zhuān)業(yè)人員要求具有數(shù)據(jù)安全治理過(guò)程管理、數(shù)據(jù)安全技術(shù)體系設(shè)計(jì)、數(shù)據(jù)安全管理體系設(shè)計(jì)的基本知識(shí)和能力。

在整個(gè)注冊(cè)數(shù)據(jù)安全治理專(zhuān)業(yè)人員（CISPDSG）的知識(shí)體系結(jié)構(gòu)中，共包括信息安全保障、信息安全評(píng)估、網(wǎng)絡(luò)安全監(jiān)管、信息安全管理、數(shù)據(jù)安全基礎(chǔ)知識(shí)、數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全管理體系這四個(gè)知識(shí)類(lèi)。見(jiàn)圖7。

目前，國(guó)外相關(guān)機(jī)構(gòu)（ISC）2 和ISACA尚未推出數(shù)據(jù)安全治理的專(zhuān)項(xiàng)認(rèn)證，中國(guó)信息安全測(cè)評(píng)中心是首個(gè)推出數(shù)據(jù)安全治理方向?qū)ｍ?xiàng)的認(rèn)證培訓(xùn)的機(jī)構(gòu)。CISP-DSG培訓(xùn)內(nèi)容權(quán)威，實(shí)用性強(qiáng)，涵蓋了近年來(lái)我國(guó)發(fā)布的數(shù)據(jù)安全、數(shù)據(jù)保護(hù)相關(guān)政策文件、標(biāo)準(zhǔn)規(guī)范，以及全球最新、最佳實(shí)踐。

隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)已經(jīng)成為連接全世界的載體，也成為促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、便利人們生活的原動(dòng)力。開(kāi)展數(shù)據(jù)安全治理，不僅僅是國(guó)家、企業(yè)的責(zé)任，更與生活在大數(shù)據(jù)時(shí)代的每個(gè)人都息息相關(guān)。數(shù)據(jù)安全治理是一個(gè)全新的話題，更是一個(gè)具有生命力的話題，值得所有數(shù)據(jù)安全從業(yè)人員甚至公眾深入探討研究。

作者單位：北京天融信教育科技有限公司