本文来自微信公众号“数字经济杂志”,作者/闻云霞。
基于数据分类分级的数据安全保护现状分析
国家在数据安全保护方面的政策中提及的比较突出的一项就是要对数据实行分类分级保护,加强对重要数据的保护,对核心数据要实行更加严格的管理制度。数据分类分级工作的重要性已经成为共识,各行业组织机构纷纷出台数据分类分级工作的指导性文件。
在政务行业,贵州、上海、浙江、四川等省市都出台了适合本地的政务数据分类分级指南,力求通过对政务数据的分类分级工作,夯实数据安全保障基础,促进政务数据共享和开放,让数据在安全可控的环境下进行流通,更好地服务公众,造福人民。
在金融、医疗行业也出台了相关的行业分类分级标准,在主管部门已有指导文件的基础上,下级机构深入细化,制定符合本地实际的数据分类分级规范。
在电信运营商、铁路、电力、教育、电网、人社、医保等行业也都积极出台指引性文件,指导本行业实施分类分级工作。
在以数据分类分级为基础的数据安全保护实践过程中,依然面临不少挑战。最突出的一点就是以数据分类分级为基础的数据安全体系建设滞后。数据分类分级工作与数据安全保护工作脱节,以数据分类分级为基础的数据安全体系建设普遍滞后或不健全,没有形成整体的数据安全体系规划顶层设计,数据全生命周期安全管控措施缺失,缺少动态可监测的运营保障机制,没有形成有效的闭环机制。
基于数据分类分级的数据安全保护实践路径
数据安全保护需要多方位探索,综合化、体系化地构建数据防护体系。通过多行业不同类型客户的相关实施经验,总结得出组织在利用数据分类分级成果建立有效的数据安全体系过程中,可以从以下几方面(如图1)入手建立切实有效的数据防护体系。
(一)数据安全咨询体系
在对数据做安全保护措施前,应该要知道目前有哪些数据,以及这些数据在使用过程中会遇到哪些安全风险,做到“知风险”与“行安全”的辩证统一。
首先,要摸清家底,对数据进行分类分级。厘清数据现状,形成有序清晰的数据资源列表,能够全面直观地知道组织有哪些数据、数据在哪里、数据体量、主要负责部门/负责人、数据使用情况等内容,为数据分类分级打好基础。
通过数据的业务属性和安全属性认知数据的价值和风险,对数据进行分类和定级,这是数据安全保护的前提,基于分类分级的成果,才能更准确地对不同类型、不同安全等级的数据设置不同的安全保护策略。
其次,对数据进行风险识别,精准把脉。从基础环境风险、合规风险、数据安全现有能力评估等维度进行数据风险识别。对现有数据资产风险有了清晰的认知,才能更好地给出风险处置建议及安全保障体系建设规划指导。
(二)数据安全管理体系
数据安全保护措施不仅体现在安全技术能力建设的硬实力上,也包括建立自上而下的管理体系这种软实力。对数据做好分类分级工作后,要围绕数据生命周期(采集、传输、存储、处理、交换、销毁)形成以融合型组织、制度为基础的保障体系。
从数据管理制度、技术制度、安全检查制度等维度出发,综合考虑不同安全等级的数据在不同的生命周期过程中应具备的安全管理能力。如设立数据管理员或数据保护官(DPO)角色,负责数据安全的日常管理和监督;制定数据安全事件应急响应计划,以便在发生数据泄露或其他安全事件时迅速应对。对于安全等级较低的数据,可以实施基本的数据安全管理措施,保障数据的可用性、完整性;对于安全等级较高的数据,可以实施较严格的管理措施,且数据只能由被授权的人员访问,对外共享的数据需满足相关要求。保障数据的可用性、完整性和保密性。
(三)数据安全保障体系
数据安全保障体系包含技术保障和运营保障两方面。
在数据分类分级实施成果及“知风险”的基础上,建立全方位的数据安全技术能力。基于数据分类分级结果,以联动策略为牵引,建立以风险管理为导向的全域、动态的安全联动防御机制。
以数据分类分级为基础,基于分类分级的结果,通过与数据安全管理平台等形成联动策略,数据安全常态化监测和智能风险预警,全面提升数据安全防护能力,构建围绕数据全生命周期各环节的安全技术防护体系,从而实现企业数据安全全域统管、全局可控。形成从终端域、网络域、运维域、业务域、数据域、管理域的全域数据安全技术保障(如图2)。
同时,建立安全长效的运营体系是强化安全保护的基础。通过数据安全运营,保障数据安全能力的持续更新,可以根据新的威胁、技术和业务需求不断更新数据分类分级和安全保护策略。
包括但不限于数据资产的常态化梳理和分类分级;数据安全风险的常态化分析预警;关注数据安全事件场景造成的风险,完善现有安全应急预案;定期对组织的数据安全管理体系和数据安全控制措施进行审计;关注数据安全领域的最新动态和技术发展,不断优化和完善数据安全保护措施;探索新兴技术(如人工智能、区块链)在数据安全中的应用等。
数据安全文化建设及安全方面的培训也是不可忽视的内容。组织要在业务发展、数据利用的过程中建立数据安全文化,鼓励员工提高数据安全保护意识、积极参与数据保护。要对不同的岗位、不同级别的人员制定数据安全培训计划,定期开展数据安全培训。从安全培训计划、安全培训教材管理、安全培训实施、安全培训考核、安全培训归档等维度建立培训体系。
结语
数据安全保护工作需要具有全局的视角,多方、综合、差异化地对数据进行保护。从发现问题、制定计划(现状分析)→需求分析、解决问题(安全体系建设)→检查验证、评估效果(成效评估)→固定成绩、问题总结(优化完善)的路径形成有效的数据保护体系。在实践的过程中,要从组织自身实际发展状况和需求出发,逐步建立和完善安全保护体系建设,要具备可动态、敏捷调整的能力,保障安全体系的有效性。
保护并不是限制,要以保护促发展,在安全可靠的环境下推动数字经济的发展,让数据创造更多的经济效益和社会效益。
(闻云霞 杭州美创科技股份有限公司 数据安全治理咨询专家顾问)