第九期大讲堂回顾 | 刘东昊:以国家标准为抓手的数据安全治理实践
分享嘉宾:刘东昊
贵州大数据安全工程研究中心常务副主任
大数据协同安全技术国家工程研究中心贵州分中心主任
数据安全发展背景
数字经济时代下,数据安全成为了一个不可忽视的问题。当今社会数据安全事件愈演愈烈,且成本越来越高。据国际权威调查显示,94%的失窃数据涉及数据库。2021年全球数据泄震总量创历史记录,同比增加68%,数据泄露平均成本达到424万美元,最贵的个人记录能够卖到180美元/条。2022年6月24日,网络安全审查办公室对“知网”启动网络安全审查;6月21日,“某学习平台APP疑似泄露1亿7273万条学生信息,疑似被黑客兜售;4月15日报道,某信息技术公司擅自为境外公司开通远程登录端口,一个月泄露500G高铁信号数据;2月11日,法国总统马克龙与普京会唔时,拒绝俄方对其进行核酸检测,为保障DNA数据安全……数据安全事件层出不穷,为更好地应对数据安全问题,国家频频出台数据安全法律法规和标准规范,加强数据安全监管力度,并将数据安全提升为国家安全的重要组成部分。。
2022年6月23日,国务院印发《国务院关于加强数字政府建设的指导意见》, 提出构建数字政府全方位安全保障体系,就强化安全管理责任、落实安全制度要求、提升安全保障能力、提高自主可控水平四个方面提出具体要求;并提出构建科学规范的数字政府建设制度规则体系,从以数字化改革助力政府职能转变、创新数字政府建设管理机制、完善法律法规制度、健全标准规范、开展试点示范这五个方面进行全面部署。安全保障是数字政府建设的底线,数据安全和个人信息保护问题将成为数字政府建设的重中之重。
事实上,自2017年到2022年,中央不断推出数据安全、个人信息、网络安全相关的法律法规,加强并完善对数据安全的监管。其中,《网络安全法》、《数据安全法》和《个人信息保护法》,作为数据安全保护的重要文件,在监管层面极大地推进了行业的发展。为此,2021年也被业界称为数据安全产业发展元年。
同时,各个地区和各个行业也在逐步将国家对于数据安全管理的要求进行落实。自2019年开始,深圳、贵阳等各个城市相继出台数据和数据安全管理相关条例,在横向的地方政府层面推进了数据监管的实施。而纵向的各行业,也在各部委的指示下,相继规范数据安全方面的监管要求。各个垂直行业作为经济的主要载体,更值得数据安全供给方持续的跟踪和关注。
数据安全保障能力是国家竞争力的直接体现,数据安全是国家安全的重要方面,也是促进数字经济健康发展、提升国家治理能力的重要议题。
数据安全治理探索与实践
为更好的落实数据安全要求,各行各业开展了相应的探索和实践。到目前为止,贵州大数据安全工程研究中心(简称“贵州工程中心”)以GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》(简称“DSMM”)国家标准为抓手,在政务、通信、交通、金额、能源等行业积累了丰富的数据安全治理实践经验,形成了以国家标准DSMM为抓手的五维一体的数据安全治理体系,包括以《数据安全法》、《网络安全法》、《个人信息保护法》为代表的法律法规的落地;网络安全审查办法、数据安全能力成熟度模型、个人信息安全规范等相关标准与规范;数据安全能力体系的评估、咨询与认证;注册数据安全官、注册数据安全工程师、数据安全管理员、DSMM测评师等的人才培训;数据资产发现、数据分类分级、隐私计算平台等相关技术产品。DSMM国家标准将数据安全能力分为“非正式执行”、“计划跟踪”、“充分定义”、“量化控制”和“持续优化”5个等级,第三等级是各个组织的基础目标,等级越高,代表被测评的组织机构数据安全能力越强。DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。DSMM国家标准旨在对标国家标准,及时发现存在的问题,总结企业数据安全现状;帮助组织发现数据安全能力短板,给出优化的建议;了解数据安全的常见风险和防护目标;增加企业数据安全的意识,防范可能的数据安全事件;了解行业的数据安全经验,推动自身的数据安全管理水平建设;针对企业的优势加强宣传,扩大行业的知名度,提升竞争力。
在制定标准规范及管理办法方面,数据安全的标准规范的制定不同于网络安全维护。数据作为流通的信息,除了关注自身的安全,还应关注整体的供应链、生态的完整和完全。匹配地方性和行业的法律法规加以管理办法,成为首要之事。
在数据安全评估认证方面,数据安全评估认证按照国家标准,通过八个复杂完整的阶段,对企业目前的数据安全状况做出评估。通过政策鼓励企业参与数据安全认证,结合网信和公安的数据安全执法,双向驱动提升社会化企业数据的“外圈安全”,特别是政务供应链企业和拥有大量敏感数据和个人信息的金融、房地产、电信、互联网等行业,最终构建起“内圈安全+外圈安全”的城市数据安全水位。
在数据安全咨询服务方面,数据安全评估之后,根据企业自身的评估结果和能力短板,开展相应的数据安全咨询服务。其中包括管理体系的完善、组织体系的建设、技术工具的优化、人员能力的提升等。同时,尤其处于粤港澳大湾区的企业,更应该考虑到境外数据安全的问题。
在数据安全人才培训方面,数据安全问题日益受到重视,但网络安全人才并不多,其中数据安全的人才更为稀缺。为更好的应对数据安全治理问题,从2018年开始,贵州工程中心就开始进行数据安全人才培训的项目,并已经形成了一整套的数据安全人才培训体系。截至目前为止,已有一千多人参加了培训,约七百人获得相应证书,为数据安全治理输送了一部分人才。
在数据安全产品体系方面,数据安全产品体系的建设是需要政府、各个企业共同努力铸造的。贵州工程中心与大数据协同安全技术国家工程实验室深度合作,联合阿里巴巴集团、360集团等共推数据安全体系产品。
数据交易与数据安全
2022,贵州省大数据发展管理局组建了事业单位——贵州省数据流通交易服务中心,完成了贵阳大数据交易所有限责任公司的重整。贵阳大数据交易所作为数据交易和数据安全的一次实践与探索,是数据安全产品体系的一次重大事件。
之后,贵州工程中心支持编制的《数据交易安全评估指南》于2022年5月数博会上正式发布。该指南与其它七项规则一同构成贵州省数据流通交易服务中心/贵阳大数据交易所的数据产品交易的数据交易规则体系。
数据交易规则体系的发布,进一步规范了数据交易的运行机制,从核心上探索解决“数据确权难”,“数据定价难”、“数据监管难”等难题。这有力地打击了数据流通方面黑灰产业,帮助数据更好的流通、充分发挥数据的价值。
数据安全实践典型案例
案例一:政务平台数据安全
政务数据是当前集中化程度最高的行业之一,涉及个人信息、社保数据、医疗数据等众多敏感重要数据,存在着数据泄露、数据丢失、数据篡改等诸多隐患风险。贵州工程中心以《数据安全法》和《个人信息保护法》为指引,按照DSMM的三级的要求,针对政务平台的数据安全能力现状进行评估,分析数据安全漏洞,并在组织建设、制度规范、技术工具、人员能力等方面给予能力提升建议,协助开展数据安全能力提升,达到DSMM三级能力要求。
最终产生的应用效果有,一是管理、策略、技术工具支撑数据安全管理体系运营;二是数据分类分级安全管控能力,大大促进数据的归集;三是共享交换安全支撑业务。
案例二:行业客户数据安全
针对烟草行业客户的用户画像,围绕数据安全合规、数据安全体系建立、数据安全自评估能力的核心诉求,参考要求:《中华人民共和国数据安全法》、《中华人民共和国个人信息法》、《信息安全技术据安全能力成熟度模型》GB/T37988-2019,我们解决了客户的相关痛点问题,如数据海量业务复杂:数据种类和数据大、管理和安全面临挑战;数据存储集中:恶意攻击行为、数据暴露风险高;行业内部共享与分发风险:业务数据共享需求多、个人信息内部分发风险。最终产生了良好的应用效果,包括,数据安全能力全面提升,成功解决了主要痛点问题;数据安全自评估工具箱,建立数据安全自评估能力;也获得了数据安全优秀项目奖……
数据安全的核心是保证数据安全、合法、有序地流动。数据作为一种新型的生产要素,对国家经济和社会发展产生了深远的影响。通过采取必要措施保护数据,使数据得到合法使用,使数据持续处于安全状态,是共创美好数字生活的必要手段。经过近年来的探索和实践,贵阳已经构建起较为完善的大数据及网络安全体系。各大论坛、活动,都在积极关注数据安全在贵阳的实践创新。
数据安全,需要我们的携手共建数据安全命运共同体,这是共创人类美好明天的必然要求;这是共创数字合作新局面的现实需要;这也是共创繁荣美好未来的中国担当。让我们共创新机遇,共建新产业。
扫码进入直播回顾