曾令平 李 凱 楊浩淼

1(神州綠盟成都科技有限公司 成都 610213)

2(北京神州綠盟科技有限公司 北京 100089)

3(電子科技大學 成都 611731)

數(shù)字經(jīng)濟的發(fā)展離不開對數(shù)據(jù)安全的保障，當前發(fā)展過程中顯露出來的數(shù)據(jù)安全問題阻礙著數(shù)字經(jīng)濟的發(fā)展.此外，一些網(wǎng)絡安全問題聚化為數(shù)據(jù)安全問題，如跨境數(shù)據(jù)流動、數(shù)據(jù)泄露等.Risk Based Security公司的數(shù)據(jù)顯示，2020年3個季度數(shù)據(jù)泄露的總數(shù)達到360億條[1].與此同時，數(shù)據(jù)壟斷、數(shù)據(jù)濫用、數(shù)據(jù)權屬、數(shù)據(jù)流通等新型問題也進入研究和管理視野[2].

美國、歐盟、中國等陸續(xù)出臺的重要政策和執(zhí)法措施越來越聚焦“數(shù)據(jù)安全”和“隱私保護”.歐盟發(fā)布了《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)[3]；美國加利福尼亞州公布了《加利福尼亞州消費者隱私法案》(California Consumer Privacy Act, CCPA)[4]；中國則頒布了《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)、《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，這3部法律在立法定位上堅持總體國家安全觀，共同構成了我國數(shù)據(jù)新秩序下的三駕馬車.與此同時，截止到2021年8月，全國信息安全標準化技術委員會(TC260)圍繞數(shù)據(jù)安全和個人信息保護發(fā)布9項、在研22項國家標準[5].這一系列操作對數(shù)據(jù)商業(yè)化利用與公民個人信息保護之間的關系進行了規(guī)則約束，保護了數(shù)據(jù)和公民個人信息安全，維護了國家安全和公民合法權益，對數(shù)字經(jīng)濟發(fā)展起到了極大的推動作用.

隨著國家政策、法律法規(guī)逐漸完善，傳統(tǒng)安全企業(yè)布局正悄然發(fā)生轉變，互聯(lián)網(wǎng)頭部企業(yè)開始布局網(wǎng)絡安全領域，網(wǎng)絡安全廠商、電信運營商、設備廠商以及一些新生的獨角獸企業(yè)都不同程度聚焦在5G安全、數(shù)據(jù)安全、安全合規(guī)等前沿熱點領域和方向.在“十四五”規(guī)劃的征求意見稿中，“數(shù)據(jù)”一詞出現(xiàn)了60余次.隨著新基建的不斷發(fā)展以及數(shù)據(jù)開放的齒輪不斷加快，在合規(guī)的前提下，數(shù)據(jù)業(yè)務所帶來的價值將是巨大的.智慧城市、智慧醫(yī)療、智能配送等都在運用大數(shù)據(jù)分析技術，數(shù)據(jù)價值已成為一種新常態(tài).

1 數(shù)據(jù)安全概述

隨著我國《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》的制定與實施，合規(guī)性已成為數(shù)據(jù)安全治理與建設的重要驅(qū)動力.在數(shù)據(jù)安全合規(guī)視角下，數(shù)據(jù)安全的需求和驅(qū)動力發(fā)生了根本性的改變.因此，本文以《網(wǎng)絡安全法》正式實施為分界線，將數(shù)據(jù)安全治理與建設分為2個階段：無合規(guī)性需求與有合規(guī)性需求，并分別定義為數(shù)據(jù)安全1.0與數(shù)據(jù)安全2.0階段[6].2個階段的比較如表1所示：

表1 數(shù)據(jù)安全2個階段比較

在數(shù)據(jù)安全2.0階段，開展數(shù)據(jù)安全治理與建設主要有3個驅(qū)動力：合規(guī)驅(qū)動、風險驅(qū)動和業(yè)務驅(qū)動，數(shù)據(jù)安全合規(guī)性已成為其中最重要的驅(qū)動力.因此，本文將從構建數(shù)據(jù)安全生態(tài)圈基本框架以及各層級的基本內(nèi)容出發(fā)，結合落地實踐經(jīng)驗，提出數(shù)據(jù)安全建設落地執(zhí)行路徑.

2 數(shù)據(jù)安全生態(tài)圈的定義

在網(wǎng)絡安全領域，已經(jīng)提出構建由中央網(wǎng)絡安全與信息化委員辦公室統(tǒng)一領導、網(wǎng)絡安全主管部門協(xié)調(diào)負責、各相關部門齊抓共管、網(wǎng)絡行業(yè)組織積極推動、網(wǎng)絡公司主動履責、網(wǎng)民及社會各界廣泛參與的“六位一體”網(wǎng)絡安全生態(tài)圈[7].借助網(wǎng)絡安全生態(tài)圈的構建思路，本文提出的數(shù)據(jù)安全生態(tài)圈是指全民共同守護、全社會共同參與、全世界合作互融，以“1個中心，2個循環(huán)，3個體系，5個關鍵，8大路線”為頂層設計的數(shù)據(jù)安全生態(tài)融合體系，如圖1所示.該體系相互影響、相互制約、相互信任、不斷演變，并在一定時期內(nèi)處于相對穩(wěn)定的動態(tài)平衡狀態(tài).

圖1 數(shù)據(jù)安全生態(tài)圈架構

3 數(shù)據(jù)安全生態(tài)圈的構成

3.1 1個中心

《信息安全技術 數(shù)據(jù)安全能力成熟度模型》[8](以下簡稱“DSMM”)以數(shù)據(jù)為中心，重點圍繞數(shù)據(jù)生命周期，從組織建設、制度流程、技術工具、人員能力4個維度給出了組織數(shù)據(jù)安全能力的成熟度模型架構.基于DSMM思想，提出以數(shù)據(jù)安全防護為中心的數(shù)據(jù)安全生態(tài)圈建設目標，圍繞數(shù)據(jù)處理活動展開安全防護，實現(xiàn)組織數(shù)據(jù)安全治理與能力建設.

3.2 2個循環(huán)

在組織數(shù)據(jù)安全治理與能力建設上要實現(xiàn)“雙循環(huán)”新格局，“雙循環(huán)”可解釋為“內(nèi)循環(huán)”和“外循環(huán)”.“內(nèi)循環(huán)”指組織需選擇適合自身的數(shù)據(jù)安全建設體系，從管理、技術、運營等不同維度出發(fā)，不斷獲得相對安全；“外循環(huán)”是指在“內(nèi)循環(huán)”的基礎上，隨著數(shù)字產(chǎn)業(yè)化的不斷發(fā)展和完善，組織的數(shù)據(jù)業(yè)務通過合法合規(guī)的流動產(chǎn)生價值，為組織帶來數(shù)字紅利.

3.3 3個體系

管理和技術不分家，兩者相輔相成.管理和技術的不斷融合需要持續(xù)運營和不斷優(yōu)化調(diào)整，以實現(xiàn)持續(xù)自適應的數(shù)據(jù)安全防護能力.對于不同數(shù)據(jù)責任主體，數(shù)據(jù)安全體系建設的工作目標和側重點也有所不同.參照《電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設指南》[9]、DSMM等標準，借鑒行業(yè)最佳實踐，對組織提出建設包含管理體系、技術體系和運營體系的數(shù)據(jù)安全體系.

3.3.1 管理體系

從組織管理視角出發(fā)，通過對政策法規(guī)、標準規(guī)范及行業(yè)主管部門的管理要求進行解讀，管理體系設計主要從組織建設、管理策略與制度、管理流程和能力認證4個維度進行橫向擴展，再對每個維度進行縱向細分，形成可落地執(zhí)行的數(shù)據(jù)安全管理體系，如圖2所示.

圖2 數(shù)據(jù)安全管理體系設計

3.3.2 技術體系

數(shù)據(jù)安全技術體系是數(shù)據(jù)安全實踐工作的保障條件，也是數(shù)據(jù)安全管理的輔助手段.數(shù)據(jù)安全技術體系設計從數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀的全生命周期出發(fā)，綜合組織所有安全域進行整體規(guī)劃，并考慮需要具備的技術手段和工具，如圖3所示.

圖3 數(shù)據(jù)安全技術體系設計

3.3.3 運營體系

數(shù)據(jù)安全治理與能力建設是一個長期持續(xù)的過程，需要在組織內(nèi)持續(xù)落實數(shù)據(jù)安全管理和技術要求，并基于組織的自身特點、具體業(yè)務場景和技術發(fā)展不斷調(diào)整和優(yōu)化，形成數(shù)據(jù)安全運營長效機制，為數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警、處置等提供能力支撐.數(shù)據(jù)安全運營體系設計由淺入深主要分為4個層級：數(shù)據(jù)監(jiān)測、常態(tài)管控、風險預警、持續(xù)改進，如圖4所示：

圖4數(shù)據(jù)安全運營體系設計

3.4 5個關鍵

在進行數(shù)據(jù)安全體系整體規(guī)劃和設計時，需根據(jù)組織具體業(yè)務和應用場景等合理進行.在此過程中，需注意以下5個關鍵點.

3.4.1 頂層數(shù)據(jù)安全標準的制定

數(shù)據(jù)安全標準的制定遵循層級式設計理念.依據(jù)政策法規(guī)、標準規(guī)范和行業(yè)要求，結合實際業(yè)務需求，制定數(shù)據(jù)安全管理標準四級框架，形成一套完整的、可操作的管理制度和管理流程，確保數(shù)據(jù)安全工作有法可依、有規(guī)可循.

3.4.2 組織建設與人員能力支撐

進行數(shù)據(jù)安全管理首先要成立專門的數(shù)據(jù)安全管理的組織機構，以明確數(shù)據(jù)安全管理的政策，落實和監(jiān)督由誰長期負責，確保數(shù)據(jù)安全管理的有效落實.組織機構可按照決策層、管理層、執(zhí)行層、監(jiān)督層這4個層級進行設計，在具體執(zhí)行過程中，可賦予已有安全團隊與其他相關部門數(shù)據(jù)安全管理的工作職能，或?qū)で蟮谌綄I(yè)團隊開展工作.在人員能力支撐方面，已經(jīng)有關于網(wǎng)絡安全行業(yè)特殊人才的提案，且近期國家主管部門也在統(tǒng)籌制定人才認定的標準.組織在培養(yǎng)數(shù)據(jù)安全人員能力時，需要重點關注以下4個能力：數(shù)據(jù)安全管理能力、數(shù)據(jù)安全技術能力、數(shù)據(jù)安全運營能力和數(shù)據(jù)安全合規(guī)能力.

3.4.3 數(shù)據(jù)安全管理基線標準化

數(shù)據(jù)安全管理基線(以下簡稱“數(shù)據(jù)安全基線”)可以理解為數(shù)據(jù)安全管理要求，是指組織開展數(shù)據(jù)處理活動和有關平臺系統(tǒng)應遵循的原則和安全保護要求，包括組織保障、制度建設、規(guī)范與流程建立等管理性要求，規(guī)范執(zhí)行相關配套技術性要求，以及實行數(shù)據(jù)安全運營的可持續(xù)性要求.國務院2021年度立法工作計劃就包括制定數(shù)據(jù)安全管理條例[10]，2020年TC260發(fā)布的《信息安全技術 網(wǎng)絡數(shù)據(jù)處理安全規(guī)范》(征求意見稿)[11]也提出了網(wǎng)絡運營者利用網(wǎng)絡開展數(shù)據(jù)處理活動應遵循的規(guī)范和安全要求.因此，數(shù)據(jù)安全基線標準化勢在必行，如圖5所示：

圖5 數(shù)據(jù)安全基線標準化

3.4.4 工具定制開發(fā)與自主創(chuàng)新

多年來，國內(nèi)外大環(huán)境的不斷變化為信創(chuàng)產(chǎn)業(yè)的誕生創(chuàng)造了絕佳時機.信創(chuàng)產(chǎn)業(yè)是數(shù)據(jù)安全、網(wǎng)絡安全的基礎，也是“新基建”的重要內(nèi)容.無論是網(wǎng)絡基礎設施建設主體、設備廠商、安全廠商還是其他各家企業(yè)，都需要有自主創(chuàng)新思維和自主研發(fā)能力，構建起自己的產(chǎn)業(yè)標準和生態(tài)，逐漸擺脫西方國家的技術限制[12].

3.4.5 數(shù)據(jù)安全一體化安全運營

數(shù)據(jù)流動才能產(chǎn)生價值，數(shù)據(jù)安全的有效流動需要通過建設數(shù)據(jù)安全一體化安全運營機制來保障.Gartner發(fā)布的2021年10大數(shù)據(jù)和分析趨勢之一便是XOps，其目標是運用DevOps的最佳實踐實現(xiàn)效率和規(guī)模經(jīng)濟，在保證可靠性、可重用性和可重復性的同時，減少技術和流程的重復并實現(xiàn)自動化.XOps使企業(yè)機構能夠通過數(shù)據(jù)和分析的運營化推動業(yè)務價值的實現(xiàn)[13].

2021年3月19日，綠盟科技正式發(fā)布智慧安全3.0理念體系.該理念體系提出以體系化建設為指引，構建“全場景，可信任，實戰(zhàn)化”的安全運營能力，達到“全面防護，智能分析，自動響應”的防護效果.可見，數(shù)據(jù)安全一體化安全運營已不再遙遠，其將逐漸成為一種新趨勢、新業(yè)態(tài).

3.5 8大路線

數(shù)據(jù)安全生態(tài)圈建設的有效落地需要先做好計劃，然后實施，實施中進行復核檢測，進而改進，如此反復階梯式完成，形成一個螺旋式上升的PDCA循環(huán).因此便有了以下8大路線：協(xié)調(diào)戰(zhàn)略 、制定行動計劃(P)、多方參與、啟動基線控制(D)、策略執(zhí)行與下發(fā)、監(jiān)測與創(chuàng)新(C)、安全運營、評估和優(yōu)化(A).這8大路線包含2條邏輯鏈路，一條是“技管并重，分級防護”，即確定統(tǒng)一的數(shù)據(jù)安全戰(zhàn)略與方針，制定多部門共同參與的機制，采用管理和技術相結合的方式，針對數(shù)據(jù)資產(chǎn)和數(shù)據(jù)應用場景采取差異化的管控措施，建立持續(xù)自適應的數(shù)據(jù)安全風險和信任評估機制，合理選擇安全控制方式，有效降低數(shù)據(jù)安全風險.另一條是“集中運營，循序漸進”，即建立層次化的數(shù)據(jù)安全管理組織和集中的數(shù)據(jù)安全管控措施，全面覆蓋數(shù)據(jù)安全治理與能力建設各個領域，實現(xiàn)可度量、可管理、可改進的集中運營保障體系，為業(yè)務的平穩(wěn)運行提供可信的數(shù)據(jù)安全支撐環(huán)境.

通過以上8大路線的2條邏輯鏈路的落地實施，最終形成完善的、有效銜接的、響應及時的和運轉高效的數(shù)據(jù)安全生態(tài)運營體系.

4 數(shù)據(jù)安全KPI指標體系實踐

近年來，我國不斷出臺數(shù)據(jù)安全和個人信息保護法律、法規(guī)和相關政策.例如，《網(wǎng)絡安全法》聚焦網(wǎng)絡安全方向，維護網(wǎng)絡空間良好生態(tài)；《數(shù)據(jù)安全法》是數(shù)據(jù)領域的基礎性法律，強調(diào)了保障數(shù)據(jù)安全與促進數(shù)據(jù)開發(fā)利用并重；《民法典》設立專章規(guī)范隱私權和個人信息保護，提出個人信息權益并將其定位為人格屬性；《個人信息保護法》是針對個人信息保護的專門法律，兼顧個人信息的安全和利用；《信息安全技術 個人信息安全規(guī)范》[14]也是針對個人信息安全，提供了具有可操作性的指引，規(guī)范了個人信息處理活動應遵循的原則和安全要求.

本文將根據(jù)上述政策法規(guī)及標準規(guī)范，從數(shù)據(jù)安全KPI指標體系設計入手，進一步分析數(shù)據(jù)安全體系建設可落地執(zhí)行的路徑，包括KPI指標體系模型、KPI指標體系總體框架以及數(shù)據(jù)安全評價指標和評價要素[15]等.

4.1 KPI指標體系模型

目前，無論是國家層面還是行業(yè)實踐，都暫未形成帶有考核性質(zhì)的數(shù)據(jù)安全KPI指標體系標準.因此，從保障數(shù)據(jù)安全持續(xù)優(yōu)化改進的角度出發(fā)，參考智慧城市評價模型[15]以及《數(shù)據(jù)安全治理能力評估方法》[16]，擬在規(guī)劃數(shù)據(jù)安全體系建設全景圖的基礎上，研究設計符合組織管理、技術、運營特點的數(shù)據(jù)安全KPI指標體系模型.模型主要由能力類指標、成效類指標和運營類指標組成，如圖6所示.

圖6 數(shù)據(jù)安全KPI指標體系模型

4.2 KPI指標體系總體框架

根據(jù)數(shù)據(jù)安全KPI指標體系模型，數(shù)據(jù)安全KPI指標體系總體框架如圖7所示.

圖7 數(shù)據(jù)安全KPI指標體系總體框架

在數(shù)據(jù)安全KPI指標體系總體框架中，能力類、成效類及運營類指標所涉及的各個方面均為一級指標，每個一級指標包含若干二級指標評價要素，每個二級指標評價要素代表對一級指標某個側重面的考量依據(jù).總體框架共包含13個一級指標、 46個二級指標評價要素.二級指標評價要素的確立可根據(jù)當年政策法規(guī)及組織自身管理要求動態(tài)變化，以適應數(shù)據(jù)安全與業(yè)務的健康發(fā)展.

4.3 評價指標和評價要素

根據(jù)數(shù)據(jù)安全KPI指標體系總體框架，這里僅對能力類一級指標下的二級指標評價要素進行部分列舉和說明，如表2所示：

表2 能力類一級指標下的二級指標評價要素

5 結束語

2021年是“十四五”開局之年，也是構建數(shù)據(jù)新次序的開篇之年.國家層面既針對數(shù)據(jù)安全和個人信息保護領域制定立法依據(jù)，也針對安全人才培養(yǎng)和認定、安全意識提升等提供認證渠道，這對數(shù)據(jù)安全治理與能力建設起到很大的推動作用.在有條不紊地推進數(shù)據(jù)安全生態(tài)圈落地實施的同時，應將數(shù)據(jù)安全與健康發(fā)展、維護用戶合法權益等作為組織必不可少的內(nèi)容，確保數(shù)據(jù)合法有序地流動、共享、交易，積極推動自身數(shù)字化轉型升級和業(yè)務增長.