馬浩淼

中共安徽省直機(jī)關(guān)工委黨校綜合教研室,安徽合肥,230091

進(jìn)入新世紀(jì)以來,“互聯(lián)網(wǎng)+政務(wù)服務(wù)”作為黨和政府向社會(huì)和企業(yè)提供高效服務(wù)、轉(zhuǎn)變社會(huì)治理模式的重要舉措,最明顯的就是應(yīng)用在推進(jìn)數(shù)字政府建設(shè)上。當(dāng)前安徽省政府站在搶抓長三角一體化發(fā)展戰(zhàn)略機(jī)遇、全面建設(shè)新時(shí)代美好安徽的關(guān)鍵節(jié)點(diǎn)上,力爭通過數(shù)字化政府建設(shè)助力經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展,而隨著各種政務(wù)應(yīng)用的建成使用,涵蓋各個(gè)社會(huì)組織和個(gè)人的各種敏感信息和重要數(shù)據(jù)的政務(wù)數(shù)據(jù)數(shù)量越來越龐大,一旦泄露將會(huì)對(duì)公民隱私、商業(yè)秘密、政府調(diào)控決策乃至國家安全造成巨大威脅,因此“互聯(lián)網(wǎng)+”下安徽省電子政務(wù)數(shù)據(jù)安全治理至關(guān)重要。

1 “互聯(lián)網(wǎng)+”安徽省電子政務(wù)數(shù)據(jù)安全治理現(xiàn)狀

第一,安徽省電子政務(wù)數(shù)據(jù)安全治理規(guī)章制度逐年完善。國家層面出臺(tái)《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》構(gòu)成“三法三條例”體系。同時(shí),安徽省2020年制定發(fā)布了《安徽省大數(shù)據(jù)發(fā)展條例》《“數(shù)字江淮”建設(shè)總體規(guī)劃(2020—2025年)》《安徽省“數(shù)字政府”建設(shè)規(guī)劃(2020—2025年)》等多項(xiàng)文件,2021又年出臺(tái)了《安徽省政務(wù)數(shù)據(jù)資源管理辦法》《安徽省電子政務(wù)外網(wǎng)管理辦法(試行)》《安徽省省級(jí)政務(wù)云管理辦法(試行)》等一系列涉及安徽省電子政務(wù)數(shù)字資源、外網(wǎng)安全運(yùn)維和管理的文件[1]。

第二,初步完成電子政務(wù)數(shù)據(jù)安全治理體系的構(gòu)建。目前安徽省已經(jīng)建成或者邊建邊使用的系統(tǒng)包含1個(gè)省級(jí)政務(wù)云,黃山、宿州2個(gè)異地備份中心,一個(gè)全省一體化數(shù)據(jù)基礎(chǔ)平臺(tái),一張全省電子政務(wù)外網(wǎng),一個(gè)江淮大數(shù)據(jù)中心,一個(gè)“皖事通辦”平臺(tái),省政府五大系統(tǒng),一個(gè)協(xié)同辦公平臺(tái)、一個(gè)輔助決策平臺(tái)[2]。這些系統(tǒng)設(shè)計(jì)初期就從物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、系統(tǒng)安全、應(yīng)用安全等多角度進(jìn)行同步規(guī)劃,設(shè)置了安全保障體系,并及時(shí)根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)的評(píng)測結(jié)果進(jìn)行動(dòng)態(tài)調(diào)整。特別是全省一體化數(shù)據(jù)基礎(chǔ)平臺(tái),將推動(dòng)實(shí)現(xiàn)數(shù)據(jù)全面統(tǒng)一,便于數(shù)據(jù)充分共享、跨部門業(yè)務(wù)協(xié)同和政府流程再造,為下一步數(shù)據(jù)要素開發(fā)利用奠定基礎(chǔ)。

第三,省級(jí)和各地市成立了專門的電子政務(wù)管理機(jī)構(gòu),與其他部門統(tǒng)籌做好數(shù)據(jù)安全檢查和保障工作。2018年12月,安徽省數(shù)據(jù)資源局正式組建,各地市也相應(yīng)設(shè)立了數(shù)據(jù)資源局,至此安徽省電子政務(wù)缺乏專門的管理機(jī)構(gòu)的情況得以改變。安徽省數(shù)據(jù)資源局內(nèi)設(shè)有基礎(chǔ)設(shè)施與安全處和大數(shù)據(jù)中心,每年定期聯(lián)合其他部門對(duì)省直各單位進(jìn)行檢查。各地市也相應(yīng)地建起了聯(lián)合檢查組或者聯(lián)席會(huì)議機(jī)制。與此同時(shí),省電子政務(wù)外網(wǎng)安全監(jiān)測平臺(tái)和網(wǎng)絡(luò)安全態(tài)勢感知平臺(tái)得以部署,初步建立起數(shù)據(jù)安全監(jiān)測預(yù)警機(jī)制[3]。

2 “互聯(lián)網(wǎng)+”下安徽省電子政務(wù)數(shù)據(jù)安全治理面臨的風(fēng)險(xiǎn)以及成因分析

2.1 安徽省電子政務(wù)數(shù)據(jù)安全治理面臨的風(fēng)險(xiǎn)

為進(jìn)一步了解安徽省電子政務(wù)數(shù)據(jù)安全治理中存在的風(fēng)險(xiǎn),文本采用問卷調(diào)查方式,從電子政務(wù)從業(yè)人員自身情況、所在政務(wù)單位的數(shù)據(jù)安全治理制度制定情況兩方面進(jìn)行設(shè)置。電子政務(wù)從業(yè)人員自身情況,包括工作時(shí)間、學(xué)歷、所學(xué)專業(yè)、業(yè)務(wù)培訓(xùn)情況、安全意識(shí)。所在政務(wù)單位的數(shù)據(jù)安全治理制度制定情況,包括數(shù)據(jù)安全監(jiān)測、數(shù)據(jù)安全管控、崗位分工、計(jì)算機(jī)設(shè)備、權(quán)限劃分、異常情況報(bào)告、定期檢查與監(jiān)督、安全運(yùn)維外包等方面。

經(jīng)單位與省數(shù)據(jù)資源管理局去函溝通,筆者于2022年6月30日完成安徽省數(shù)據(jù)資源管理局所在地省政務(wù)大廈的調(diào)研。參訪人員包括“基礎(chǔ)建設(shè)與安全處”“大數(shù)據(jù)中心”的5名相關(guān)工作專員,目的是了解“基礎(chǔ)建設(shè)與安全處”“大數(shù)據(jù)中心”的相關(guān)職責(zé)、安徽省電子政務(wù)信息數(shù)據(jù)安全治理的相關(guān)標(biāo)準(zhǔn);安徽省政務(wù)服務(wù)中心窗口工作人員(現(xiàn)場發(fā)放200份);安徽省直各政務(wù)單位、16個(gè)地市負(fù)責(zé)電子政務(wù)的相關(guān)處室(通過電子郵件發(fā)放170份)。共發(fā)放問卷375份,回收372份,有效率99.2% 。獲得樣本的描述性統(tǒng)計(jì)如表1、圖1所示。

同時(shí)筆者實(shí)地走訪,從領(lǐng)導(dǎo)機(jī)構(gòu)、機(jī)構(gòu)職責(zé)、日常運(yùn)維情況、風(fēng)險(xiǎn)評(píng)估、上級(jí)檢查情況、問題通報(bào)方式等多方面了解相關(guān)政務(wù)在線辦公單位數(shù)據(jù)安全治理情況。

根據(jù)問卷調(diào)查和實(shí)地走訪可知,當(dāng)前安徽省電子政務(wù)數(shù)據(jù)安全治理存在以下3種風(fēng)險(xiǎn)來源:

2.1.1 電子政務(wù)從業(yè)人員數(shù)據(jù)安全素養(yǎng)有待提升,數(shù)據(jù)安全治理人才相對(duì)匱乏

表1顯示,90%以上的電子政務(wù)管理人員擁有1年以上的工作經(jīng)驗(yàn),學(xué)歷基本在大學(xué)本科以上。在省直單位中管理人員里只有30%所學(xué)專業(yè)和數(shù)據(jù)安全有關(guān),而地市相關(guān)單位此類人才的比例更低。在接受培訓(xùn)方面,所有參訪者都接受過“基本操作培訓(xùn)”,省直單位有一半以上的管理人員接受了數(shù)據(jù)安全相關(guān)法律法規(guī)制度、安全知識(shí)的培訓(xùn),而在地市單位只有20%左右;無論省直還是地市單位,都有超過90%的電子政務(wù)管理人員認(rèn)為會(huì)按照自身工作要求,進(jìn)行數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等處理活動(dòng),至于數(shù)據(jù)最終流向哪里并且在流動(dòng)中是否安全、如何在流動(dòng)中確權(quán)是大數(shù)據(jù)資源局、建設(shè)單位或者外包公司需要考慮的事,而且大多數(shù)認(rèn)為資金投入越高越安全?？梢钥闯?電子政務(wù)管理人員大部分并非數(shù)據(jù)安全專業(yè)人員,日常培訓(xùn)更側(cè)重電子政務(wù)平臺(tái)更注重能用會(huì)用,導(dǎo)致對(duì)于數(shù)據(jù)安全帶來的風(fēng)險(xiǎn)認(rèn)識(shí)不足,安全風(fēng)險(xiǎn)意識(shí)比較薄弱。

2.1.2 電子政務(wù)數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估體系不完整,預(yù)警機(jī)制有待完善

在問卷發(fā)放過程中,對(duì)使用電子政務(wù)平臺(tái)的政務(wù)單位數(shù)據(jù)安全治理情況進(jìn)行實(shí)地訪談,發(fā)現(xiàn)目前政務(wù)單位內(nèi)部均設(shè)有網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,部分單位還設(shè)有專門的數(shù)據(jù)安全機(jī)構(gòu),如省保密局保密技術(shù)中心,省公安廳網(wǎng)安總隊(duì)和數(shù)據(jù)資源管理大數(shù)據(jù)中心,但在進(jìn)行數(shù)據(jù)安全監(jiān)管中存在重復(fù)檢查或至多頭管理的狀況,使得不同部門的數(shù)據(jù)安全監(jiān)管工作功能指向性不強(qiáng),靶向也不夠準(zhǔn)確。99%的電子政務(wù)平臺(tái)前期建設(shè)、后期運(yùn)維和系統(tǒng)安全評(píng)估工作尚停留在招標(biāo)外包的方式。外包公司安全評(píng)估主要采用調(diào)研、訪談、旁站、代碼核查等常規(guī)手段,而數(shù)據(jù)是流動(dòng)和即時(shí)更變的,這極易導(dǎo)致數(shù)據(jù)安全評(píng)估的全面、客觀、時(shí)效無法有效保障。同時(shí),目前各單位主要依靠采購的數(shù)據(jù)安全產(chǎn)品主要提供數(shù)據(jù)的分類分級(jí)和認(rèn)證以及訪問的控制、加密、審計(jì)、脫敏等技術(shù)防護(hù)服務(wù)。90%的省市政務(wù)單位在上級(jí)單位的數(shù)據(jù)安全過檢中主要關(guān)注的是儲(chǔ)存數(shù)據(jù)的設(shè)備是否安全,操作數(shù)據(jù)是否合規(guī),并會(huì)根據(jù)一定的標(biāo)準(zhǔn)來設(shè)置評(píng)估項(xiàng),在此基礎(chǔ)上展開相對(duì)靜態(tài)、固化的風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)評(píng)估體系不夠完整。93%的政務(wù)單位在開展數(shù)據(jù)安全督查或自查時(shí),查出的安全問題只通知被查單位或者自家內(nèi)部機(jī)構(gòu)整改相關(guān)問題,不會(huì)及時(shí)反饋給省市數(shù)據(jù)資源管理局,尚未沒有形成數(shù)據(jù)安全監(jiān)管全局觀,預(yù)警機(jī)制有待完善。

2.1.3 相關(guān)數(shù)據(jù)安全治理標(biāo)準(zhǔn)和制度的制定不能與時(shí)俱進(jìn)

根據(jù)數(shù)據(jù)資源局的訪談結(jié)果,目前安徽省制定的有關(guān)電子政務(wù)數(shù)據(jù)管理的標(biāo)準(zhǔn)有:《電子政務(wù)外網(wǎng)IPv4地址規(guī)范》《基層政務(wù)用戶接入電子政務(wù)外網(wǎng)技術(shù)規(guī)范》《“互聯(lián)網(wǎng)+政務(wù)服務(wù)”數(shù)據(jù)交換信息技術(shù)規(guī)范》《電子政務(wù)外網(wǎng)政務(wù)部門接入規(guī)范》《電子政務(wù)外網(wǎng)市縣網(wǎng)絡(luò)總體構(gòu)架設(shè)計(jì)規(guī)范》《政務(wù)公開網(wǎng)絡(luò)平臺(tái)建設(shè)規(guī)范》《政務(wù)公開數(shù)據(jù)元規(guī)范》《電子政務(wù)外網(wǎng)數(shù)據(jù)交換級(jí)聯(lián)接口規(guī)范》《智慧城市政務(wù)信息資源安全管理規(guī)范》《政務(wù)數(shù)據(jù)目錄核心元數(shù)據(jù)》《政務(wù)數(shù)據(jù)目錄編碼規(guī)則》等。雖然省內(nèi)出臺(tái)了《安徽省政務(wù)數(shù)據(jù)資源管理辦法》,但當(dāng)有政府部門自行或委托第三方開展政務(wù)數(shù)據(jù)處理活動(dòng)時(shí),因?yàn)檗k法中并沒有對(duì)政務(wù)數(shù)據(jù)處理的安全管理和各類數(shù)據(jù)處理者的安全監(jiān)督給予相應(yīng)的規(guī)范要求和操作指標(biāo),導(dǎo)致各家政府部門執(zhí)行起來的效果不同,無法達(dá)到制度訂立者的初衷[3]。另外,對(duì)于公共數(shù)據(jù)開放、開源軟件管理、電子數(shù)據(jù)采集、安全運(yùn)維等工作程序,大多數(shù)政府還缺少較為完整的安全操作規(guī)范和流程,在敏感重要數(shù)據(jù)的保護(hù)上還需進(jìn)一步加強(qiáng)。

最后,省市政務(wù)單位內(nèi)有關(guān)數(shù)據(jù)安全治理制度的制定,如圖1所示,目前還是停留在崗位分工、計(jì)算機(jī)設(shè)備等政務(wù)數(shù)據(jù)管理設(shè)施和部門起步階段的制定指標(biāo),而數(shù)據(jù)安全監(jiān)測、數(shù)據(jù)安全管控、有關(guān)權(quán)限的劃分、異常情況的警示與報(bào)告、定期或不定期的檢查與監(jiān)督、安全運(yùn)維的外包管理等方面都還沒有相關(guān)制度制定工作的推進(jìn),造成在電子政務(wù)實(shí)際管理過程中可能會(huì)出現(xiàn)很大的漏洞。

2.2 安徽省電子政務(wù)數(shù)據(jù)安全治理風(fēng)險(xiǎn)成因分析

數(shù)據(jù)安全是近些年的新興學(xué)科。數(shù)據(jù)安全治理活動(dòng)涉及法律合規(guī)解讀、業(yè)務(wù)知識(shí)理解、安全技術(shù)及管理等多維度,需要多年的工作積累,但從事電子政務(wù)管理的工作人員從省到地市分布在眾多不同的單位,從業(yè)人員專業(yè)背景各有不同,且相關(guān)電子政務(wù)工作落實(shí)時(shí)間較短,因此對(duì)在崗員工充分培訓(xùn)、設(shè)施專業(yè)人才崗位和順應(yīng)新時(shí)代數(shù)據(jù)安全特征發(fā)展要求就顯得十分關(guān)鍵。為此,各部門、單位都開展了相應(yīng)的治理辦法,但實(shí)施過程中,電子政務(wù)數(shù)據(jù)安全治理的措施實(shí)施存在以下3點(diǎn)問題:

2.2.1 管理人員的安全風(fēng)險(xiǎn)意識(shí)建設(shè)需要提高

目前在崗員工的培訓(xùn)更多地側(cè)重電子政務(wù)平臺(tái)的崗位操作業(yè)務(wù)知識(shí),對(duì)于電子政務(wù)數(shù)據(jù)全生命周期的流動(dòng)中保證數(shù)據(jù)資產(chǎn)不流失不泄漏缺乏針對(duì)性地講解,使得受培訓(xùn)者感覺不到數(shù)據(jù)安全治理對(duì)單位和個(gè)人的重要性。同時(shí),電子政務(wù)管理人員很多也缺少或者沒有接觸過具體數(shù)據(jù)安全治理的經(jīng)驗(yàn),對(duì)數(shù)據(jù)安全治理的發(fā)展水平和管理進(jìn)度是缺乏認(rèn)知的,在培訓(xùn)單位日常不注重進(jìn)行數(shù)據(jù)安全方面的宣傳的情況下,各部門或單位往往僅按照上級(jí)的相關(guān)要求,通過貼標(biāo)語、放視頻、寫報(bào)告的形式完成工作指標(biāo),實(shí)現(xiàn)切實(shí)提高職工數(shù)據(jù)安全意識(shí)的效果有限。再有,受到部分單位業(yè)務(wù)績效考核方式的影響,數(shù)據(jù)安全治理目前也沒有作為硬性指標(biāo)計(jì)入業(yè)務(wù)實(shí)績中,部門對(duì)定期開展數(shù)據(jù)安全治理規(guī)章制度集中學(xué)習(xí)的積極性有限,數(shù)據(jù)安全納的日常考核實(shí)施效果也受到影響,對(duì)于違反保密規(guī)定和明顯的錯(cuò)誤行為,保持“無知者無過”的態(tài)度,也使得相關(guān)單位部分人員忽視了安全風(fēng)險(xiǎn)、降低了自我警覺,這從側(cè)面反映出相關(guān)管理?xiàng)l例的缺失使得責(zé)任人缺乏責(zé)任意識(shí)。對(duì)于眾多單位采用的平臺(tái)外包服務(wù),管理人員缺乏相關(guān)技術(shù)知識(shí),沒有對(duì)外包公司形成有效的安全監(jiān)督的能力和監(jiān)管指標(biāo),容易導(dǎo)致雇傭雙方盲目信任,這也側(cè)面反映出了平臺(tái)外包服務(wù)缺失相關(guān)的立法措施、量化指標(biāo)和任務(wù)指標(biāo)。

2.2.2 電子政務(wù)數(shù)據(jù)安全治理的相應(yīng)措施亟須與時(shí)俱進(jìn)

數(shù)據(jù)資產(chǎn)具有流動(dòng)性。在數(shù)據(jù)的全生命周期中會(huì)在不同的載體和場景環(huán)境下流動(dòng),且其資產(chǎn)價(jià)值也依據(jù)量級(jí)、周期性等因素動(dòng)態(tài)發(fā)生變化,因此使用傳統(tǒng)方法開展相對(duì)靜態(tài)、固化的風(fēng)險(xiǎn)評(píng)估無法順應(yīng)數(shù)據(jù)流動(dòng)過程中不同環(huán)境、不同目標(biāo)下的安全評(píng)估要求。而目前各單位采購的數(shù)據(jù)安全產(chǎn)品還只能提供單點(diǎn)的安全防護(hù)手段,缺乏協(xié)調(diào)聯(lián)動(dòng)能力,使得安全策略一致性差、管控效率低、全局防范與治理能力弱等問題,出現(xiàn)“頭痛醫(yī)頭, 腳痛醫(yī)腳”的現(xiàn)象,無法發(fā)揮圍繞數(shù)據(jù)全生命周期的整體防護(hù)合力。由于數(shù)據(jù)的流動(dòng)性,電子政務(wù)的數(shù)據(jù)安全治理不會(huì)僅涉及一家政務(wù)單位的數(shù)據(jù)流動(dòng),它一定會(huì)涉及省市多家政務(wù)部門、單位的流動(dòng)和使用。因此當(dāng)前的數(shù)據(jù)安全治理就是必然面臨3種風(fēng)險(xiǎn)情境:①僅將數(shù)據(jù)安全治理的實(shí)施范圍界定于各單位和個(gè)人工作職責(zé)的垂直管理體系,不考慮單位和部門間的數(shù)據(jù)流動(dòng)、交叉相互對(duì)電子政務(wù)數(shù)據(jù)安全的影響;②出于部門內(nèi)部利益或缺乏日常安全交流機(jī)制,不主動(dòng)向數(shù)據(jù)資源局通報(bào)安全風(fēng)險(xiǎn)點(diǎn);③電子政務(wù)數(shù)據(jù)安全治理的各單位出現(xiàn)碎片化管理并產(chǎn)生進(jìn)一步的管理漏洞,無法在發(fā)生問題的第一時(shí)間調(diào)動(dòng)相關(guān)資源加以解決,難從整體上形成安全管理的全局覆蓋。以上這3種風(fēng)險(xiǎn)情境是電子政務(wù)數(shù)據(jù)采集和使用部門已經(jīng)不適應(yīng)當(dāng)前日益增長的數(shù)據(jù)安全治理的表現(xiàn)。

2.2.3 電子政務(wù)數(shù)據(jù)安全治理標(biāo)準(zhǔn)化建設(shè)不夠完善

從全國數(shù)據(jù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的網(wǎng)站查詢得知,目前已發(fā)布的網(wǎng)絡(luò)安全的國家標(biāo)準(zhǔn)共有339項(xiàng),其中與電子政務(wù)有關(guān)的標(biāo)準(zhǔn)只有20項(xiàng)[4]。相關(guān)標(biāo)準(zhǔn)的數(shù)量太少,還無法在保障電子政務(wù)安全管理的實(shí)際操作當(dāng)中起到指導(dǎo)參考作用。很多新技術(shù),如智能傳感器、區(qū)塊鏈、物聯(lián)網(wǎng)、AI,都是先例行使用而忽視了制定數(shù)據(jù)安全治理規(guī)范;各種新型數(shù)據(jù)海量多源異構(gòu);或政務(wù)數(shù)據(jù)在全生命周期流動(dòng)過程中會(huì)不斷轉(zhuǎn)換載體等。如何保持政務(wù)數(shù)據(jù)分類分級(jí)的一致性以及防護(hù)策略的有效性,是目前當(dāng)前數(shù)據(jù)安全治理工作治理的重點(diǎn)和難點(diǎn),也是標(biāo)準(zhǔn)化下一步需要完善的地方。雖然進(jìn)入“互聯(lián)網(wǎng)+”已經(jīng)有些年頭,但從國家各部委再到各省市、各鄉(xiāng)鎮(zhèn)有關(guān)數(shù)據(jù)安全治理的法規(guī)和規(guī)章制度都不夠完善,數(shù)據(jù)安全治理應(yīng)對(duì)措施也各不相同,須要及時(shí)跟進(jìn)業(yè)務(wù)和合規(guī)的變化,避免數(shù)據(jù)安全監(jiān)測和數(shù)據(jù)安全管控滯后。以便在當(dāng)前數(shù)字政府建設(shè)推全國一張網(wǎng)的新形勢下,保障相關(guān)部門、單位有效發(fā)揮協(xié)同作戰(zhàn)能力。

3 “互聯(lián)網(wǎng)+”下安徽省電子政務(wù)數(shù)據(jù)安全治理的優(yōu)化路徑

3.1 構(gòu)建電子政務(wù)數(shù)據(jù)安全整體治理框架,助力數(shù)字政府落地生根

為了增強(qiáng)電子政務(wù)數(shù)據(jù)安全治理的深度、廣度、針對(duì)性,必須從管理體系、技術(shù)體系、運(yùn)營體系、監(jiān)督評(píng)價(jià)體系來構(gòu)建數(shù)據(jù)安全整體治理框架[5],如圖2所示。

圖2 電子政務(wù)數(shù)據(jù)安全整體治理體系

3.1.1 電子政務(wù)數(shù)據(jù)安全管理體系

由制度體系和人員組織管理兩部分組成。制度體系中從上到下分為三層,下一層作為上一層的支撐,第一層管理制度是為了落實(shí)國家“三法三條例”制定的管理規(guī)范、標(biāo)準(zhǔn),重點(diǎn)制定并落實(shí)數(shù)據(jù)資產(chǎn)管理標(biāo)準(zhǔn)、數(shù)據(jù)全生命周期管理規(guī)范、應(yīng)急響應(yīng)和處置規(guī)范、數(shù)據(jù)安全評(píng)估規(guī)范、第三方機(jī)構(gòu)管理規(guī)范等,第二層流程規(guī)范一般由具體操作流程、手冊(cè)組成,包含針對(duì)管理制度要求制定的數(shù)據(jù)分類分級(jí)操作指南、技術(shù)防護(hù)操作規(guī)范、數(shù)據(jù)安全事件預(yù)案、數(shù)據(jù)安全治理能力評(píng)估、數(shù)據(jù)安全審計(jì)規(guī)范等指導(dǎo)性文件。第三層執(zhí)行文檔包含申請(qǐng)表單、安全記錄、安全報(bào)告、合同協(xié)議等,前面所有的環(huán)節(jié)在這一步都要有跡可循,要形成數(shù)據(jù)分類分級(jí)清單、數(shù)據(jù)資產(chǎn)清單、調(diào)查記錄和事件清單等文檔,以備審查和存檔。

人員組織管理是電子政務(wù)數(shù)據(jù)安全管理的重要一環(huán)。一是從決策、管理、執(zhí)行、監(jiān)督四方面不斷完善各級(jí)政府部門的數(shù)據(jù)安全治理組織,打通不同部門之間的溝通障礙,統(tǒng)一內(nèi)部數(shù)據(jù)安全共識(shí),發(fā)揮協(xié)同治理優(yōu)勢[6];二是加強(qiáng)內(nèi)外部人員登記審核,對(duì)負(fù)責(zé)人、關(guān)鍵環(huán)節(jié)和接觸重要數(shù)據(jù)人員進(jìn)行資格審查,全程留存數(shù)據(jù)操作記錄并定期審查追責(zé)來約束其行為;三是專業(yè)化分工并明確職責(zé),每個(gè)崗位僅被授予完成職責(zé)所需的最小權(quán)限,除了被定崗的人員外,任何人都不能越權(quán)訪問、使用敏感數(shù)據(jù)。各政務(wù)單位要切實(shí)發(fā)揮網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的作用,不定期從安全制度落實(shí)情況、人員配備情況、運(yùn)維情況、軟硬件合規(guī)等方面展開明察暗訪,將檢查結(jié)果納入年度考核結(jié)果,實(shí)施一票否決制,同時(shí)進(jìn)一步創(chuàng)新日常溝通協(xié)調(diào)機(jī)制,實(shí)施扁平化層級(jí)管理[7],制定數(shù)據(jù)共享清單,暢通數(shù)據(jù)交換渠道,本單位或系統(tǒng)內(nèi)產(chǎn)生或檢查出的電子政務(wù)數(shù)據(jù)安全問題要及時(shí)從問題末端生成記錄報(bào)告反饋給省市數(shù)據(jù)資源管理局,屬于重大安全問題的同時(shí)要自動(dòng)推送給其他相關(guān)單位,重塑安全管理業(yè)務(wù)環(huán)節(jié)。

3.1.2 電子政務(wù)數(shù)據(jù)安全技術(shù)體系

為了解決單點(diǎn)防護(hù)能力不足,必須建立集中化、聯(lián)動(dòng)化的數(shù)據(jù)安全防護(hù)平臺(tái),借助可視化的信息呈現(xiàn)與工作引導(dǎo),實(shí)現(xiàn)全鏈路流轉(zhuǎn)監(jiān)測[8]、風(fēng)險(xiǎn)分析研判與預(yù)警、安全事件處置與上報(bào)等數(shù)據(jù)安全日常運(yùn)營,借助敏感數(shù)據(jù)自動(dòng)識(shí)別、數(shù)據(jù)自動(dòng)分級(jí)分類管控、數(shù)據(jù)操作留痕審計(jì)、輸出結(jié)果申報(bào)審核等功能實(shí)現(xiàn)跨部門的數(shù)據(jù)協(xié)同共享,借助平臺(tái)化的設(shè)備管理、數(shù)據(jù)流轉(zhuǎn)關(guān)聯(lián)分析能力,打破應(yīng)用和數(shù)據(jù)庫安全監(jiān)測的壁壘,實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)監(jiān)測。

由于數(shù)據(jù)的流動(dòng)性,必須建立覆蓋全生命周期環(huán)節(jié)的安全防護(hù)。在采集環(huán)節(jié),可以使用來源鑒別和標(biāo)記技術(shù)保障來源可追溯[9],使用完整性校驗(yàn)防止被篡改破壞,使用隱私政策保護(hù)和過度采集監(jiān)測避免過度采集個(gè)人信息,只限于最小必要采集[10];在傳輸環(huán)節(jié),必須要對(duì)傳輸內(nèi)容加密,為保障傳輸雙方可信任要進(jìn)行雙向的傳輸鑒別,采用校驗(yàn)技術(shù)確保數(shù)據(jù)不被丟失篡改,用備份技術(shù)確保傳輸網(wǎng)絡(luò)可用。在存儲(chǔ)環(huán)節(jié),一般采用數(shù)據(jù)加密和訪問控制等措施,同時(shí)應(yīng)根據(jù)數(shù)據(jù)分級(jí)分類要求,采用介質(zhì)凈化工具避免數(shù)據(jù)泄露[11],還應(yīng)建立數(shù)據(jù)備份恢復(fù)操作規(guī)程來保障數(shù)據(jù)可用性和完整性。在使用環(huán)節(jié),在開展數(shù)據(jù)清洗轉(zhuǎn)換、匯聚融合、分析挖掘等數(shù)據(jù)加工活動(dòng)時(shí),應(yīng)當(dāng)采用數(shù)據(jù)展示屏蔽、匿名化等措施保護(hù)數(shù)據(jù)主體隱私[12],當(dāng)數(shù)據(jù)匯聚融合衍生敏感數(shù)據(jù)時(shí)應(yīng)及時(shí)按照脫敏規(guī)則和算法展開數(shù)據(jù)脫敏[13]。在加工環(huán)節(jié),首先要通過算法進(jìn)行數(shù)據(jù)的脫敏和清洗工作,為了避免出現(xiàn)算法偏見、算法漏洞等問題[14],必須采用多種技術(shù)手段如重要數(shù)據(jù)自動(dòng)識(shí)別、數(shù)據(jù)安全分析算法設(shè)計(jì)等進(jìn)行優(yōu)化,同時(shí)全程監(jiān)控加工過程,避免出現(xiàn)加工風(fēng)險(xiǎn)和違法違規(guī)現(xiàn)象。在提供公開環(huán)節(jié),可以通過密碼學(xué)、聯(lián)邦學(xué)習(xí)等隱私計(jì)算技術(shù)[15]、基于硬件的機(jī)密計(jì)算來實(shí)現(xiàn)數(shù)據(jù)可用不可見[16],敏感數(shù)據(jù)必須經(jīng)過數(shù)據(jù)脫敏來滿足不同級(jí)別的數(shù)據(jù)公開,同時(shí)數(shù)據(jù)公開要建立審批機(jī)制并記錄審批和發(fā)布情況,在跨域數(shù)據(jù)交換時(shí)需使用區(qū)塊鏈、數(shù)字水印等數(shù)據(jù)溯源標(biāo)記技術(shù)監(jiān)測高風(fēng)險(xiǎn)數(shù)據(jù)的交換和敏感數(shù)據(jù)的調(diào)用[17]。在刪除銷毀環(huán)節(jié),一般是采用數(shù)據(jù)擦除等方式實(shí)現(xiàn)數(shù)據(jù)刪除,涉及敏感重要數(shù)據(jù)以及個(gè)人信息的存儲(chǔ)介質(zhì)要進(jìn)行物理銷毀,最后還要經(jīng)過數(shù)據(jù)銷毀效果評(píng)估避免別有用心的人可能利用殘存數(shù)據(jù)來恢復(fù)盜取數(shù)據(jù)[18]。

3.1.3 電子政務(wù)數(shù)據(jù)安全運(yùn)營體系

電子政務(wù)數(shù)據(jù)管理制度和技術(shù)體系是否有效都離不開運(yùn)營體系的良好運(yùn)行。一是定期或者由于數(shù)據(jù)跨境等需要開展的風(fēng)險(xiǎn)評(píng)估,從而發(fā)現(xiàn)可能存在的數(shù)據(jù)安全風(fēng)險(xiǎn)和違法違規(guī)現(xiàn)象。評(píng)估重點(diǎn)對(duì)數(shù)據(jù)處理、安全管理、安全技術(shù)應(yīng)用、敏感和重要信息保護(hù)進(jìn)行考量,共有五個(gè)步驟,其中準(zhǔn)備工作包含制定目標(biāo)、確定評(píng)估對(duì)象、開展調(diào)研,調(diào)研方式要多種方式結(jié)合,既要有常規(guī)的現(xiàn)場人員、文檔、系統(tǒng)的了解,更需要通過相關(guān)工具對(duì)安全措施進(jìn)行有效性測試,風(fēng)險(xiǎn)分析包含風(fēng)險(xiǎn)歸類、風(fēng)險(xiǎn)定級(jí),評(píng)估總結(jié)主要是形成數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告并給出整改建議。

二是常態(tài)化運(yùn)營,重點(diǎn)做好四方面的工作。在識(shí)別方面,要根據(jù)國內(nèi)外監(jiān)管要求和業(yè)界成熟的方法制定數(shù)據(jù)分級(jí)分類、風(fēng)險(xiǎn)監(jiān)測和數(shù)據(jù)保護(hù)策略,運(yùn)用自動(dòng)化工具梳理數(shù)據(jù)資產(chǎn)情況形成資產(chǎn)清單并進(jìn)行資產(chǎn)安全評(píng)估,借助敏感數(shù)據(jù)發(fā)現(xiàn)技術(shù)對(duì)相關(guān)數(shù)據(jù)進(jìn)行標(biāo)記,分析數(shù)據(jù)流量提取訪問行為特征從而建立應(yīng)用信息備案清單[19];在防護(hù)方面,借助數(shù)據(jù)安全防護(hù)平臺(tái)的安全策略管理工具,在數(shù)據(jù)全生命周期各關(guān)鍵節(jié)點(diǎn)設(shè)置防護(hù)策略,自動(dòng)關(guān)聯(lián)業(yè)務(wù)和數(shù)據(jù)資產(chǎn);在監(jiān)測方面,構(gòu)建面向用戶、終端、應(yīng)用、數(shù)據(jù)的全鏈路數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測體系,進(jìn)行統(tǒng)一的訪問行為檢測和流轉(zhuǎn)監(jiān)測與審計(jì),發(fā)現(xiàn)問題時(shí)及時(shí)溯源取證;在響應(yīng)處置和優(yōu)化方面,及時(shí)解決安全問題,并針對(duì)出現(xiàn)的安全問題完善相應(yīng)數(shù)據(jù)保護(hù)策略,如出現(xiàn)誤報(bào)情況要重新審核風(fēng)險(xiǎn)監(jiān)測策略、應(yīng)用信息備案清單并加以完善,從而形成一個(gè)完整的運(yùn)營管理閉環(huán)。

3.1.4 電子政務(wù)數(shù)據(jù)安全監(jiān)督評(píng)價(jià)體系

各家政務(wù)單位要積極配合省市數(shù)據(jù)資源局的安全監(jiān)管,主要由以下五個(gè)環(huán)節(jié)構(gòu)成:

在評(píng)估認(rèn)證環(huán)節(jié),各政務(wù)單位部門要嚴(yán)格落實(shí)國家制定的相關(guān)認(rèn)證制度,進(jìn)行手機(jī)應(yīng)用安全認(rèn)證、數(shù)據(jù)安全管理認(rèn)證等,每年定期向所在地市數(shù)據(jù)資源局報(bào)送本單位年度數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告;在監(jiān)測預(yù)警環(huán)節(jié),各地市數(shù)據(jù)資源局通過分析評(píng)估報(bào)告、監(jiān)測預(yù)警、通報(bào)處置機(jī)制,向全市各單位及時(shí)發(fā)布風(fēng)險(xiǎn)提示,規(guī)劃制定應(yīng)急預(yù)案,進(jìn)行應(yīng)急演練,與省內(nèi)其他兄弟地市、省級(jí)數(shù)據(jù)資源局、網(wǎng)信辦建立聯(lián)防聯(lián)控管理機(jī)制,建立信息共享平臺(tái);在事件調(diào)查處置環(huán)節(jié),出現(xiàn)重大或者特大數(shù)據(jù)安全事件時(shí),省市各單位要加強(qiáng)合作,由省市數(shù)據(jù)資源管理局統(tǒng)一調(diào)配各單位人財(cái)物資源,切實(shí)構(gòu)筑應(yīng)急互助保障機(jī)制,同時(shí)省市審計(jì)部門應(yīng)每年對(duì)各政務(wù)單位至少開展一次數(shù)據(jù)安全審計(jì);在監(jiān)督檢查環(huán)節(jié),省市數(shù)據(jù)資源局通過數(shù)據(jù)安全審查、監(jiān)督檢查與違規(guī)處罰等相關(guān)制度落實(shí)監(jiān)管,重點(diǎn)就網(wǎng)絡(luò)等保、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、密碼評(píng)估管理等系列測評(píng)開展監(jiān)督檢查;在糾正問責(zé)環(huán)節(jié),省市數(shù)據(jù)資源局要責(zé)令違法違規(guī)單位限時(shí)整改并給予警告,對(duì)相關(guān)負(fù)責(zé)人、直接責(zé)任人采取調(diào)離崗位或者禁止從事數(shù)據(jù)安全保護(hù)工作的處罰,對(duì)出現(xiàn)問題的系統(tǒng)及應(yīng)用要立即停用,對(duì)服務(wù)期間出現(xiàn)違規(guī)處理或產(chǎn)生重大安全事故的第三方維保、評(píng)估機(jī)構(gòu)要責(zé)令終止合作,情節(jié)嚴(yán)重的話要報(bào)送公安機(jī)關(guān)。

3.2 樹牢安全風(fēng)險(xiǎn)意識(shí),加強(qiáng)專業(yè)人才培養(yǎng)

政府人員負(fù)責(zé)完成電子政務(wù)日常操作和管理工作,因此無論處在何種崗位牢固樹立安全風(fēng)險(xiǎn)意識(shí)。每個(gè)人都要端正態(tài)度,不能心存僥幸,對(duì)于自身崗位數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)和應(yīng)對(duì)措施要熟記于心。各級(jí)政府、各單位要針對(duì)不同崗位的職責(zé)要求,建立電子政務(wù)工作人員職業(yè)認(rèn)證制度,要求持證為民辦事,同時(shí)將電子政務(wù)人員崗位安全培訓(xùn)納入年度工作計(jì)劃,制定系統(tǒng)培訓(xùn)方案,結(jié)合實(shí)際和技術(shù)趨勢,多從身邊案例和典型案例出發(fā),加大對(duì)具體應(yīng)用場景、數(shù)據(jù)環(huán)境等具體案例出現(xiàn)的風(fēng)險(xiǎn)原因分析、數(shù)據(jù)安全法律法規(guī)、數(shù)據(jù)安全標(biāo)準(zhǔn)、保密知識(shí)、相關(guān)安全工具、 應(yīng)急響應(yīng)和演練的學(xué)習(xí),讓受訓(xùn)人員對(duì)可能造成的不良后果充分認(rèn)識(shí)。同時(shí)注重在單位內(nèi)選拔經(jīng)驗(yàn)豐富并且基礎(chǔ)較好的數(shù)據(jù)安全人才開展傳幫帶進(jìn)行人才梯隊(duì)建設(shè)[20]。各政務(wù)部門要嚴(yán)格落實(shí)日?？荚u(píng)和安全事故責(zé)任追究制度,人員上崗需簽訂保密承諾書,辦理重要業(yè)務(wù)時(shí)通過系統(tǒng)安全提醒、風(fēng)險(xiǎn)告知、領(lǐng)導(dǎo)授權(quán)的方式加強(qiáng)監(jiān)督,同時(shí)實(shí)行誰辦事誰負(fù)責(zé),公務(wù)行為終生責(zé)任制。電子政務(wù)工作人員站在數(shù)字政府服務(wù)的最前沿,掌握著經(jīng)濟(jì)、科技、文化、社會(huì)重要和基礎(chǔ)數(shù)據(jù),必須時(shí)刻以總體國家安全觀為指導(dǎo)方針,堅(jiān)持國家利益至上,以人民安全為宗旨,堅(jiān)持底線思維,在崗位一天就要切守好電子政務(wù)安全關(guān),為企為民提供優(yōu)質(zhì)放心的服務(wù)。同時(shí)為了給電子政務(wù)提供充足的數(shù)據(jù)安全人才供給,必須建立多層次、標(biāo)準(zhǔn)統(tǒng)一的培養(yǎng)體系,高校和科研院所要開展基于創(chuàng)新型人才培養(yǎng)要素的寬口徑基礎(chǔ)教育,培養(yǎng)既有數(shù)據(jù)安全理論知識(shí)又有相關(guān)法律經(jīng)驗(yàn)的高水平人才,企業(yè)要注重結(jié)合市場和未來發(fā)展需要培養(yǎng)數(shù)據(jù)安全專業(yè)化人才,提升產(chǎn)才融合,提升人才驅(qū)動(dòng)力,鼓勵(lì)人才積極申報(bào)專利,并將發(fā)明研究成果及時(shí)轉(zhuǎn)換為到應(yīng)用推廣上來,提升我國數(shù)據(jù)安全治理水平。

3.3 加快構(gòu)建電子政務(wù)數(shù)據(jù)安全治理標(biāo)準(zhǔn)化體系,強(qiáng)化法制保障

數(shù)據(jù)分級(jí)分類是數(shù)據(jù)安全治理的基礎(chǔ),各級(jí)組織要嚴(yán)格執(zhí)行國家和安徽省制定的相關(guān)標(biāo)準(zhǔn),通過培訓(xùn)數(shù)據(jù)操作人員、應(yīng)用自動(dòng)化分級(jí)分類軟件、定期對(duì)分級(jí)分類結(jié)果進(jìn)行審查和修正來保障數(shù)據(jù)分級(jí)分類在整個(gè)數(shù)據(jù)生命周期的一致性。通過研判國際最新電子政務(wù)數(shù)據(jù)安全治理標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)并根據(jù)國內(nèi)實(shí)際需求,加緊對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測預(yù)警、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)評(píng)估[21]、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)安全應(yīng)急標(biāo)準(zhǔn)體系、電子政務(wù)數(shù)據(jù)安全治理專業(yè)素養(yǎng)、數(shù)據(jù)安全事故問責(zé)訂立相關(guān)標(biāo)準(zhǔn),鼓勵(lì)數(shù)據(jù)安全領(lǐng)軍企業(yè)積極參與標(biāo)準(zhǔn)的制定和推廣。推廣過程中應(yīng)建立標(biāo)準(zhǔn)評(píng)估機(jī)制,對(duì)標(biāo)準(zhǔn)落地、實(shí)施和運(yùn)行情況進(jìn)行監(jiān)督來保證有效執(zhí)行,對(duì)于不適應(yīng)數(shù)據(jù)安全治理實(shí)際情況的措施及時(shí)進(jìn)行更改完善,同時(shí),注意及時(shí)將不同應(yīng)用場景下好的實(shí)踐案例收集為相關(guān)部門提供參考與借鑒。由于“互聯(lián)網(wǎng)+”時(shí)代各種新技術(shù)運(yùn)用的比較頻繁,各級(jí)政府要加大對(duì)車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、人工智能等應(yīng)用場景數(shù)據(jù)操作流程以及故障處理進(jìn)行統(tǒng)一規(guī)范,還得按照國家數(shù)據(jù)分級(jí)分類保護(hù)、網(wǎng)絡(luò)安全等保、涉密分級(jí)保護(hù)等制度定期開展評(píng)測,對(duì)工作人員職責(zé)和權(quán)限、異常情況報(bào)告、監(jiān)督檢查、外包運(yùn)維等方面不合規(guī)的要加以整改,并形成相關(guān)制度今后嚴(yán)格要求。同時(shí)國家要從當(dāng)前和長遠(yuǎn)角度出發(fā)盡快制定《電子政務(wù)法》、《政務(wù)數(shù)據(jù)安全法》等核心法律法規(guī),加強(qiáng)電子政務(wù)數(shù)據(jù)全流程監(jiān)管、標(biāo)識(shí)、融合計(jì)算安全,并根據(jù)數(shù)字政府的建設(shè)進(jìn)度要求及時(shí)修訂相關(guān)運(yùn)行性法律法規(guī),就新出現(xiàn)的元宇宙、邊緣計(jì)算、量子信息等技術(shù)涉及的電子政務(wù)數(shù)據(jù)安全概念、構(gòu)成要素、監(jiān)管程序和條件、法律責(zé)任和處罰辦法進(jìn)行補(bǔ)充完善,剔除過時(shí)條款,對(duì)于中央層面未立法但亟須規(guī)范的關(guān)鍵環(huán)節(jié)或技術(shù)可由安徽省優(yōu)先采取地方立法,從上到下構(gòu)建一套完整統(tǒng)一的“互聯(lián)網(wǎng)+”電子政務(wù)數(shù)據(jù)安全治理法律框架,推動(dòng)各級(jí)政府電子政務(wù)數(shù)據(jù)安全治理更加規(guī)范。