文│国家计算机网络应急技术处理协调中心 杜薇

在数字化转型过程中,统筹发展与安全是一项基本原则,需要企业等主体构建与自身业务发展相适应的数字化管理模式,改进工作机制,实现业务、人员、资产等多方面的数字化转型。网络与数据安全是激活数字要素、推进数字化发展的重要保障和必要基础。因此,各主体要切实履行网络与数据安全的主体责任要求,顺应数字化时代工作规律,防范化解内部人员带来的安全风险。

一、关于网络与数据安全的主体责任要求

我国高度重视网络安全、数据安全和个人隐私信息保护,对政府部门、平台企业、运营者等相关方运行重要网络与信息系统,以及收集、处理、使用数据等行为作出了严格规定。

(一)国家层面发布法律法规

《国家安全法》明确指出,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。《网络安全法》多项条款明确规定,网络建设、运营、产品或服务提供商应履行网络安全保护义务,采取技术防护措施,符合国家相关标准的强制性要求等。《数据安全法》多项条款明确规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。开展数据处理活动应当履行数据安全保护义务。《个人信息保护法》设立单独章节强调个人信息处理者的义务,并对个人信息跨境制定了明确规则。《关键信息基础设施安全保护条例》设立单独章节强调运营者的责任义务。《党委(党组)网络安全工作责任制实施办法》明确了各级党委(党组)主要承担的网络安全责任、追责情形,以及建立网络安全责任制检查考核制度等要求。

(二)监管部门制定政策规章

国家网信部门、公安部门、电信主管部门等陆续发布了《网络安全审查办法》《互联网信息服务管理办法》《关于进一步压实网站平台信息内容管理主体责任的意见》《汽车数据安全管理若干规定(试行)》《网络产品安全漏洞管理规定》等多份政策文件。上述文件对关键信息基础设施运营者、网络平台运营者、互联网信息服务提供者、重要数据处理者、网络产品提供者、从事网络产品安全漏洞相关活动的组织或者个人明确了网络与数据安全的责任与义务。(三)主管部门规划管理路径重要行业主管部门陆续发布了《物联网新型基础设施建设三年行动计划(2021-2023 年)》《“十四五”电子商务发展规划》《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》等规划与管理办法,对相关领域的信息化与安全发展提出了详细的工作思路和管理要求,对相关责任方提供了明确的发展方向、安全责任与义务要求。

二、内部人员安全管理常见问题

在数字化转型的道路上,技术能力是载体,人员执行是灵魂。内部人员对于技术发展的认知水平很大程度上影响着技术手段能否在生产生活中发挥预期的能力。如何实现人员劳动力和技术能力最大化融合,是推进数字化转型,落实主体责任的重要内容。

(一)网络与数据安全岗位的特点

数字化的快速发展,激发了大量新的应用场景和商业模式,对于从业人员的要求呈现出不同的特点。

一是要有全局认知,推动创建安全的数字化环境。网络与信息系统为重要数据流通搭建了交通要道,为数据的采集、存储、处理、传输、交换、销毁等提供了技术载体,构建了共通共享的交流环境。数字要素可以在情报挖掘与处理、模型分析、知识学习、自动决策等方面发挥深度作用,为政府和企业等部门构建数字化、智能化、网络化的办公、生产、商业、运输等模式提供关键资源。保障网络与数据安全关系到业务链条的高效运转,关系到办公流程的安全可靠,关系到整体环境的稳定有序。

二是要有动态理念,注意安全隐患时刻发生变化。网络与信息系统的安全不是一劳永逸的。由于网络与信息系统不断发生变化,新的安全漏洞也会随之出现。外部的网络攻击威胁时有发生,攻击者可以通过勒索软件、恶意木马、钓鱼邮件等窃取重要数据、控制重要网络、扰乱企业正常生产。因此,从业人员要建立动态的安全观念,组织建设动态防御的能力,正确使用安全防护技术手段,不能因一时之安全而产生懈怠心理。

三是要有创新精神,直面技术手段迭代更新的挑战。从业人员面对的是一个时时充满挑战的工作。信息通信技术的发展变化,推进了应用场景的更迭,也促进了攻击手段的升级。因此,从事网络与数据安全工作的人员要具备总体形势的把握能力、主动进取的开拓能力、向前一步的谋划能力、威胁发现的感知能力、突发事件的应对能力、科研创新的研究能力等,在能力创新方面勇往直前、攻坚克难、坚持不懈,在工作实践上要积少成多、见微知著、未雨绸缪,不断提高认知水平和业务能力。

四是要有风险思维,明白人员是供应链的重要环节。网络与数据是把双刃剑,既有便利也有风险。风险既来自外部,也来自内部。外部风险来自于攻击者可以长期潜伏在网络和系统中,暗自开展监听、窃取、篡改等不法行为,也可以直接控制网络和系统,进而开展勒索、扰乱、攻击等破坏性行为。内部风险来自于人员无意或者恶意的违规操作。工作人员如何正确规划、建设、使用网络和信息系统,如何正确处理重要数据,以及执行相关的管理制度、落实安全防护措施,这是保证所有技术措施有效、正常运转的关键条件。

五是要有解题思路,处理好内外部的复杂联结关系。网络与信息系统与内部的物理环境、基础硬件、网络架构、应用软件、代码编程等相关,与外部的业务模式、应用场景相关,形成了结构上的复杂性。重要数据的采集、存储、加工、应用、废弃的主体各不相同,形成了管理上的复杂性。但是二者都与其他类别的工作深度联结,服务于社会的生产生活,一旦被破坏,会对政府和企业等主体、对人民群众、对国家安全造成危害。因此,正视网络与数据安全工作的复杂性,编制有效的工作方案,对从业人员提出了更高的要求。

(二)岗位要求与个人发展的矛盾

随着数字化转型的逐步深入,网络与数据安全的主体责任愈加明确,各主体在内部人员管理方面深层次的问题逐渐浮现:

一是岗位的专业要求和人员自身知识制约的矛盾。在数字化背景下,社会生产生活方式被重新架构,新的安全风险也随之而来。这就要求岗位从业人员具备业务内容精、知识更新快、学习能力强、视野范围广等特点。尤其是高精尖领域,相关人员更要及时跟上前沿发展动态,培育大数据思维,形成跨领域、跨行业的全局视野,及时发现、化解安全风险。但是,目前很多企业的管理机制没有跟上,没有设置网络与数据安全相关岗位,或者以信息化岗位代替安全岗位,或者一人兼多岗,这就导致了从业人员缺乏体系化的专业知识培训、长期的产业知识积累、动态的前沿知识输入、全局的多源知识汲取等能力,达不到岗位能力的要求。

二是岗位的忠诚要求与人员稳定性的关系。针对涉及重要网络、信息系统、重要数据的核心岗位,从业人员需要具备忠诚度与稳定性。忠诚度包括正确的政治立场、良好的思想品德、高度的责任心、坚定的执行能力、严格的自我约束、无私的奉献精神、长期的服务时间。稳定性是指人员愿意长期从事相关工作,并且具备合格的工作技能和业务水平。对于核心岗位从业人员的能力要求设置与一般岗位从业人员应有所区分,更侧重于忠诚度与稳定性,保证关键信息基础设施和重要数据的安全性。但是网络与数据安全人才社会需求量大,流动较快,这对核心岗位的人员稳定性需求形成了一定的压力。

三是岗位的重点要求与人员个性化需求的匹配度。岗位需求与人员发展需求之间是共生发展的关系。若二者方向一致、同步发展,个人能力与岗位平台互为助力,呈现螺旋式上升的良好态势。若二者存在严重的不匹配,则会出现错位与内耗的情况。如果从业人员追求发展开拓创新与深度研究能力,缺乏操作重复性工作的耐心和责任心,在岗位适配度上存在一定的错位,可能会影响执行效果,进而降低工作对象的安全保障水平。

四是岗位客观结果与人员主观期望之间的落差。这是所有岗位普遍存在的问题。即使领导层和工作层在设置工作目标、部署人员安排时期望达到良好的效果,但是如果人员因各种问题没有完成 KPI,甚至出现考核不合格等情况,对于岗位的客观结果影响较大。如果此类情况发生在网络与数据安全相关岗位上,会直接影响到单位或者部门整体数字生态环境的安全与稳定,会成为内部的一道安全缺口、一项重要的安全漏洞。因此,及早发现此类风险,做好补救措施极为重要。

五是评价岗位需求与人员能力是否匹配的问题。基于以上问题,考虑到各主体自身的业务特点,管理层在设置网络与数据安全岗位职责、工作目标、人员管理、经费保障等方面需要建立一套科学、系统、全面的评价体系,厘清网络与数据安全岗位与其他岗位之间的分工、联结、协作、监督等关系,覆盖从业人员的忠诚度、稳定性、专业知识、安全意识、技能水平、创新能力等关键指标,动态评估人员与岗位的适配度,形成人员动态调整与补位的机制。

(三)传统思维下管理与技术的割裂

数字时代带来新的经济形态,催生不同的管理模式。大数据思维、各领域深度融合、跨领域跨行业的复合知识结构等是管理者必须要面对的挑战。对于多数企业来说,对数字化的概念理解还有待加强,对于数字化转型的必要性还不理解,对应的管理思路还停留在传统思维上,出现重技术轻管理、忽视主体责任、人员和经费保障不到位等问题,使得内部人员的安全管理缺乏体系化设计、制度化落实、常态化监督,存在严重安全漏洞,进而导致重要网络与数据存在严重安全隐患。

在数字化转型过程中,内部人员所面对的岗位内容、工作环境、合作伙伴等会发生相应改变。管理与技术的深度融合成为发展大势,这对管理层在制度设计方面提出了新的要求。如何最大化发挥技术在管理与生产过程中的作用,以及规范技术在此过程中产生的安全性问题?如何引导员工正确使用技术,以及评价与监督员工对技术的使用效果?如何正确处理突发网络安全与数字泄露等事件,以及做好事后的恢复工作?如何管理数字化资产,以及培养相应的数字人才?高层管理人员需要理清以上问题的思路,避免出现管理与技术形成各干各的、互不相关的局面。

三、内部人员安全管理的路径分析

做好数字化转型过程中的内部人员安全管理,要从认识论与方法论两个方面发力。深刻认识内部人员在数字化过程中扮演的重要角色和影响力,有针对性地进行制度与手段建设,不断深化数字化政策、技术、场景、模式等的落地效果。

(一)提升内部人员的数字素养

安全是发展的前提,发展是安全的保障。提升内部人员的数字素养是企业推进研发设计、生产加工、经营管理、销售服务等业务数字化转型的关键要素,也是安全教育的保障。

企业可以组织对人员数字化意识培育的系统规划、方法设计、标准衡量,推进形成网络与数据安全防护的集体意识与文化(见图 1)。坚持完善制度建设,创建良好的数字化环境,为人员的思想建设提供科学路径,健全工作流程中的风险防范措施,提高网络安全防护意识。坚持内部常态化宣传教育,通过树立典型模范等方式,传达正确的做法,加强人员的自我监督意识,定期组织自评估,检查是否存在不合规的操作行为。坚持他人监督,通过轮岗、监督审计、第三方检查评估等方式,增强核心岗位的安全性、可靠性,杜绝出现一人垄断式的岗位情况。坚持舆论监督,做好宣传引导,树立正确的内部舆论导向,强调违法犯罪案例的严重后果,对人员进行违规操作形成心理威慑。

图1 数字化集体意识培育流程图

企业可以为内部人员提供系统性的数字化教育。一是知识普及宣传。面向一般工作人员,组织学习国家层面发布的领导人重要讲话、重大规划文件、重要法律法规、最新政策规章,以及专项整治、网络攻击和数据泄露等具体案例,及时掌握党中央关于数字化工作的部署安排和行动动态,研究跟进主管行业部门的有关管理制度,保证工作的合规性,提高全员的安全意识水平。二是专业技能培训。定期组织开展数字化知识前沿讲座、相关资质证书培训、业界专家咨询、专业技能竞赛等,不断强化专业岗位人员的知识储备,激发人员的创造力和战斗力。三是业务融合性研究讨论。组织开展面向业务数字化转型的需求、难点、进展等内容的研究讨论,对信息化基础工程、大数据支撑、网络化共享、智能化协作等方面的发展可能性进行深度探讨,研究后续发展规划和管理措施,发现业务数字化转型的创新潜力,理解安全风险隐患的防范必要性。

(二)人与技术的全生命周期管理

营造良好的数字生态,离不开人与技术的深度协作。人是技术的发明者、操作者和对结果的承担者,技术是人类思想的传达者、执行者和对世界的改造者。在网络、信息系统、数据的全生命周期中,人的劳动力价值始终贯穿了全过程。劳动力价值与技术价值结合在一起,共同推动了网络与数据对世界的改造作用。要达到保障网络与数据安全的目标,就要做好人与技术的全生命周期管理。

针对内部人员,形成与重要网络、信息系统、数据配套的全生命周期安全管理。从网络与信息系统的规划、建设、使用阶段,以及重要数据的采集、加工、传输、存储、交换、销毁等环节,分别形成对操作人员的安全与备份管理、技术监督、考核评价等制度,建立分工协作、安全巡检、应急处置、冗余备份等常态化工作机制,建设重要数据各环节的留痕、审批、审计、限权等技术监督手段,保证相关人员的操作合规与安全可靠,保障基础设施的安全运行,加强数据泄露的发现与问责能力,强化技术对人员行为的约束作用,保证重要网络和数据安全。请见图 2。

图2 人员安全全生命周期管理

(三)人与技术的分类分级管理

《数据安全法》等法律明确对数据实行分类分级保护。《网络安全法》《关键信息基础设施安全保护条例》明确在网络等级保护的基础上,对关键信息基础设施实行重点保护。不论是重要网络、信息系统,还是重要数据,都离不开人与技术的共同支撑,因此,应当建立人与技术的分类分级管理的工作机制。

针对内部人员,根据其所接触的网络、信息系统、数据等数字资产的重要程度,一旦遭受损害可能造成的损失程度等因素,按照就高不就低的原则,确定相关岗位的分类级别。若出现一人兼多岗的情况,以所任岗位的最高级别要求进行人员管理。考虑到人员流动等变动因素,相关人员出现离岗或调岗等情况,要评估风险,考虑采取相关的补救措施。对于核心岗位,要建立对人员的动态台账管理,明确权限范围,定期开展监督检查、教育培训等。

针对技术应用,梳理出资产清单,包括产品设备、应用软件、信息系统等基础性软硬件资产,以及各类核心数据、重要数据、一般数据、个人敏感信息等不同类型的数据资产,建立资产台账或目录,动态更新与维护。对于关键信息基础设施和重要数据,相关的安全管理行为应严格遵守《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律要求和主管部门的政策规定。

(四)推进三个“多”共同发力

做好内部人员的安全管理,要建立多主体参与、多手段建设、多领域融合的工作机制。

多主体参与是指在企业等主体内部各级人员积极发挥优势作用,共同构筑安全城墙。高层管理者统筹协调、规划部署、划分责任,职能部门建章立制、宣传教育、监督检查,业务负责人贯彻落实、细化分工、评价考核,工作人员听从指挥、遵守制度、自我监督,形成一个良好循环,保证安全管理制度的落地执行。

多手段建设是指运用管理手段、技术手段、宣传手段等保障安全管理措施落实到位。管理手段是指通过制度规章、奖惩措施、监督整改、经费保障等机制为内部人员的工作行为提供指导方向和可行性条件,引导行为规范化、标准化,防止出现越轨行为。技术手段是指通过日志记录、权限设置、安全审计等方式限制、约束、记录内部人员的操作行为,建立事前、事中、事后的风险应对能力,降低重要数据违规流出、重要网络与信息系统违规操作的风险。宣传手段是指协调内外部资源开展安全知识教育,结合主要业务特点,带动内部人员了解和思考工作中的安全隐患。

多领域融合是指建立跨部门、跨业务的工作协同机制。与传统的业务相比,数字化业务开展需要多元化和复合型的知识支撑,需要全局性视野和破局式思维,需要多部门的深度合作和互相支撑,因此,人才队伍的安全管理就不单是某一个部门的任务。内部人员不再局限于一个部门,可能会面临轮岗、临时抽调、外派等工作状态,可能与其他部门人员组成专项团队,也可能与外包团队建立工作关系,因此企业等主体对于人员流动、协作等情况产生的网络与数据安全问题要予以持续关注。

(五)建立科学的人才评价体系

建立与数字时代相适应的人才评价标准和方式,选拔出具备数字化思维和能力的人员。通过树立先进典范,鼓励员工全体积极适应数字化转型的历史需要,激发员工在数字化背景下干事创业的热情。重视对实践能力、创新思维、技术水平、知识多元化等方面有优势的人才进行挖掘、发展、培养,帮助具备忠诚、能力、干劲、担当等品质的人才脱颖而出,给予数字化人才充分的实践锻炼机会,提高人才在实践中的斗争能力。

建立与数字化时代相适应的人才保障机制。一是为数字化人才创造健康的生态环境,加强内部数字化基础设施的建设,建立人才规范化、系统化、专业化的培养模式,从人事机制、薪酬管理等方面积极给予数字化人才正面回应,鼓励内部人员发挥所长、开拓创新,将个人价值与集体价值融合在一起。二是充分发挥领军人才的带头作用,适当授权,激发其干事创业的冲劲。三是重视人才队伍的纪律作风建设,帮助人才树立守规矩、明底线、知敬畏的意识,牢守底线思维,坚持风险意识,筑牢思想源头的安全大坝。

(本文刊登于《中国信息安全》杂志2022年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。