文│ 中国移动通信集团有限公司信息安全管理与运行中心 张峰 江为强 王光涛
数据安全问题涉及公众利益、社会稳定与国家安全,亟需规范安全管理,加强安全防护。而数据安全标准是开展数据安全管理、规范行业数据安全要求、指导企业提升数据安全能力的重要抓手。本文分析了国内外数据安全标准研制背景,梳理了国家、电信和互联网行业以及基础电信企业数据安全标准现状,并对数据安全标准体系完善工作提出思考与建议。
一、国内外标准化组织加快数据安全标准布局
当今世界已进入数据时代,全球数据呈现爆发增长,数据资源已成为国家基础战略性资源和社会生产的创新要素。随着数字经济蓬勃发展,新技术与新应用的落地使得数据价值前所未有地释放,与此同时,数据安全问题日益突出,成为全球治理的重要议题。在此背景下,世界各国纷纷采取行动,从战略规划、政策制定、标准执行等多个维度入手,形成了各具特色的治理理念和治理方案。欧盟致力于塑造“更加安全的数字未来”,美国致力于维护其在数字领域的世界领导地位,我国致力于推进网络强国建设。
(一)国际数据安全标准制修订动态
国际标准化组织积极构建数据安全标准体系,加紧布局数据安全标准研制工作。目前主要的国际数据安全标准化组织包括 ITU-T、ISO/IEC、NIST 等。ITU-T 国际电联 SG17 安全标准工作组主要负责研制电信和互联网领域数据安全和个人信息保护标准,已发布相关标准和研究项目近 20 项。ISO/IEC JTC1/SC27 WG4 安全控制和服务工作组研制的标准涉及大数据安全和隐私保护的参考架构、过程、实施指南等;SC27 的 WG5身份管理和隐私保护技术工作组,主要开展隐私保护标准研制。ISO/IEC 第 1 联合技术委员会 (ISO/IEC JTC1) 与大数据安全、个人信息保护相关的标准和研究项目达 20 多项。美国 NIST SP800 提出了大数据安全基础架构,同时 NIST 标准还涉及系列受控非保密信息、个人可识别信息等主题的数据安全和隐私保护标准。
(二)国内数据安全标准制修订动态
“安全发展,标准先行”,标准化工作是保障数据安全的重要基础,我国也大力布局数据安全、个人信息安全保护等政策和标准。《中华人民共和国数据安全法》第十七条明确提出国家推进数据安全开发利用技术和数据安全标准体系建设,国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。2016 年,全国信安标委(TC260)成立大数据安全标准特别工作组(SWG-BDS),主要围绕数据安全和个人信息保护两个方向研制相关标准,先后发布了《信息安全技术 大数据服务安全能力要求》《信息安全技术 数据安全能力成熟度模型》《信息安全技术 政务信息共享 数据安全技术要求》《信息安全技术 个人信息安全规范》等重要标准,《信息安全技术 电信领域数据安全指南》已获报批。目前,数据安全国家标准体系包括了基础共性、安全技术、安全管理、安全测评和典型应用五大类,共包含 50 多项标准,其中已发布 10 余项,在研近 20 项,待制定 20 余项。
二、电信和互联网行业数据安全标准化工作成效显著
(一)电信和互联网行业数据安全标准初成体系
当前我国电信和互联网行业高速发展,在服务数字经济快速发展的同时,汇聚大量数据,面临严峻的数据安全风险。为坚持安全和发展并重的原则,积极应对复杂严峻的安全风险与挑战,加速构建数据安全保障体系,2019 年,在中国通信标准化协会网络与信息安全技术工作委员会(CCSA TC8)下成立数据安全标准特设组 TF1,开展数据安全标准化相关工作。针对标准体系性不强、部分关键标准进度缓慢、重点领域标准缺失等问题,2020 年 12 月工信部印发了《电信和互联网行业数据安全标准体系建设指南》,旨在发挥标准对电信和互联网行业数据安全的规范和保障作用,加快制造强国和网络强国建设步伐,要求相关企业结合本行业(领域)、本地区实际,在标准化工作中贯彻执行。
电信和互联网行业数据安全标准体系包括基础共性、关键技术、安全管理和重点领域等标准。其中,基础共性标准包括术语定义、数据安全框架、数据分类分级等标准,为各类标准提供基础支撑;关键技术标准从数据采集、传输、存储、处理、交换、销毁等全生命周期维度,对数据安全关键技术进行规范;安全管理标准包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等;重点领域标准主要是结合相关领域的实际情况和具体要求,指导行业有效开展重点领域数据安全保护工作。电信和互联网行业数据安全标准体系框架如图所示。
图 电信和互联网行业数据安全标准体系框架图
电信和互联网行业数据安全标准体系框架中特别提到了重点领域标准,是在基础共性标准、关键技术标准、安全管理标准的基础上,结合新一代信息通信技术发展情况,主要在 5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,并结合行业发展情况,逐步覆盖其他重点领域。结合重点领域自身发展情况和数据安全保护需求,制定相关数据安全标准。
《电信和互联网行业数据安全标准体系建设指南》,为行业数据安全标准化工作提供了指导与依据,可以有的放矢地开展标准化工作,并且已经取得了初步的成效。
(二)电信和互联网行业数据安全标准研制与实践并行
总体来说,电信和互联网行业数据安全标准化工作以《电信和互联网行业数据安全标准体系建设指南》为指导,截至 2022 年 2 月,数据安全标准特设组研制数据安全行业标准 60 项以上,初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求,基本满足行业数据安全保护需要,标准在重点领域中的应用在不断推进中。
1. 标准研制
基础共性标准方面,按照“急用先行”“从易入难”的原则,从基础电信业务着手,同时选取重点互联网业务,研制数据分类分级方法标准和重要数据识别标准,逐步形成“1+N”的数据分类分级系列标准。其中《基础电信企业重要数据识别指南》和《基础电信企业数据分类分级方法》两项标准已发布,物联网、云服务、即时通信、工业互联网等业务领域的分类分级标准正在研制中。
安全管理标准从数据安全框架的管理视角出发,指导行业落实法律法规以及行业主管部门的管理要求,截至目前已发布《电信网和互联网数据安全风险评估实施方法》和《电信网和互联网数据安全通用要求》,其他标准正在研制阶段。
数据安全关键技术系列行业标准涵盖数据分类分级、数据脱敏、数据库审计、数据异常行为识别、接口安全、数字水印、数据销毁、数据安全管控平台等技术要求和测试方法标准。通过研制不同技术手段相关标准,指导企业针对不同安全级别的数据,采用差异化的技术手段进行保护。
在 5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域的数据安全标准研制工作也快速推进。由于重点领域技术飞速发展、应用场景不断拓展,因此需要加快标准研制。
2. 贯标
工信部结合《电信和互联网行业数据安全标准体系建设指南》有关要求,2021 年 6 月开始组织基础电信企业开展行业数据安全贯标工作,针对《基础电信企业数据分类分级方法》《基础电信企业重要数据识别指南》《电信和互联网数据安全评估规范》三个规范进行贯标。经过为期数月的督导落实,于 2021 年 12 月遴选了贯标优秀案例并公示,以鼓励基础电信企业持续加强标准落地工作。后续应以贯标工作为抓手和切入点,用“严标准”建立数据安全管理制度,用“高标准”建设数据安全保护技术能力,全面提升数据安全管理水平。
三、基础电信企业加快企业标准研制
(一)步构建数据安全标准体系
为深入落实国家法律法规要求,满足行业数据安全标准体系建设需求,以保障基础电信企业数据安全为主线,基础电信企业近几年加大了标准研制力度,初步构建了数据安全标准体系,同时正持续推动标准的制定、实施和规范化。当前建立的基础电信企业标准化体系涵盖了管理、技术、重点领域和平台产品四个方面的内容。
管理制度标准从数据安全框架的管理视角出发,指导企业落实法律法规以及行业主管部门的管理要求,包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。
技术指南类标准主要从采集、传输、存储、处理、交互等数据全生命周期出发,针对数据识别、数据标记、数据脱敏、数据加密、数据防篡改、数据库监测、隐私计算、数字水印等技术制定指导性标准,为数据安全运营提供有力支撑。
在管理制度、技术指南的基础上,结合新一代信息通信技术发展情况,在 5G、大数据、云计算、移动互联网、工业互联网、物联网、人工智能、区块链等重点领域进行布局,结合重点领域发展情况和数据安全保护需求,制定相关数据安全标准。
平台产品类标准从技术治网、技术管网的角度全方位提升企业安全服务能力,通过加强企业技术能力从而承担好社会责任与履行好社会义务,为用户提供安全、可靠、可信的技术服务,提升用户体验,进而助力业务发展。
(二)加速数据安全标准研制工作
在经济全球化的背景下,企业标准的作用已不只是企业组织生产的依据,更是企业开创市场继而占领市场的“排头兵”。目前,数据安全国家标准和行业标准已经初成体系,对数字经济高质量发展起到支撑和推动作用。为保障数据安全相关工作有序开展,企业也制定了一系列的数据安全企业标准。以基础电信企业数据安全标准体系建设和标准研制现状为例,在管理标准方面,基础电信企业在数据安全总体制度、数据分类分级、数据安全评估、应急响应与灾难备份等方面已经开展相关研制工作,但在监测预警与处置和数据安全能力认证方面的标准研究还有所欠缺;在技术标准方面,主要涉及应急响应、数据脱敏等;在数据安全产品类标准方面,研究进度相对缓慢,例如缺少 API 安全管控、数据水印溯源、数据销毁等方面的产品检测标准,在重点领域和产品方面标准研制工作还有所欠缺。
以某运营商为例,其制定的数据安全企业标准规范包含管理与技术两类。其中管理类标准规范包括《大数据安全保障体系框架》《大数据安全管理要求》《大数据安全运营要求》《大数据安全风险防控工作指引》《大数据安全保障总体策略》等;技术类标准规范包括《数据安全事件应急响应实施指南》《大数据安全防护通用技术规范》《大数据平台安全基线要求》《大数据安全防护技术实施指南》《大数据安全脱敏实施指南》《大数据安全技术合规评测方法》等。
四、数据安全标准体系思考与建议
为发挥标准对基础电信企业数据安全的规范和保障作用,加快制造强国和网络强国建设步伐,需立足行业现状,推动数据安全标准化工作,积极应对数据安全风险和挑战。
一是根据国家政策及技术迭代滚动优化数据安全标准体系架构。随着法律法规的不断健全、管理制度的不断完善、关键技术的不断演进,需要定期调整数据安全标准体系架构、拓展标准面,以满足产业及监管需求。
二是优化标准管理流程、提升标准的时效性。对于标准制定优先级,针对需要紧急制定的标准,建立绿色通道机制,优化标准制定流程,体现为监管服务的时效性。强化标准制定、标准研究以及专项指引等各层次标准的梯度推进,对于紧迫性较强的业务,行业标准与企业标准制定可以参考借鉴国家标准的做法,制定指引以应对紧急需求。
三是做好标准贯标落地,强化优秀案例推广。数据安全标准贯标工作可以督促指导基础电信企业贯彻落实数据安全法律法规,加强数据安全管理工作。在贯标的同时,梳理典型做法,遴选优秀案例,持续优化标准应用,提升数据安全能力。
四是做好国家标准、行业标准与企业标准联动。国家标准对行业标准和企业标准起到指引作用,行业标准是对国家标准的补充,起到规范行业数据安全工作的作用。企业标准应与国标行标衔接,强化标准落地性,可加强三方面工作。第一完善企业数据安全标准体系;第二是强化数据安全评估类标准编制;第三是推进 5G、工业互联网、人工智能、云计算等垂直领域的数据安全标准编制。
五是加强标准的实验验证和符合性测试。建立标准试验验证和符合性检测平台,重点开展数据开放共享、产品评价、数据能力成熟度、数据质量、数据安全等关键标准的试验验证和符合性检测。
五、总结
数据安全标准对促进数据应用规范化、提升数据活动安全性有着重要意义。在数据安全标准化工作中,监管部门、行业、企业等应发挥各自职能,监管部门给予充分指导、行业持续完善体系、企业参与标准制定并践行,通过多方协作,进一步完善标准体系。推动数据安全标准在数据安全监管政策落地、规范数据安全管理、指导数据安全技术、指引数据安全产品设计等方面发挥重要作用。
(本文刊登于《中国信息安全》杂志2022年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。