在企业或组织内部,数据驱动业务发展是数字经济时代的显著特征,数据处理活动涉及多个部门,主体多元、利益多元,数据安全与发展、持续与突破,诸多价值目标在这一问题上交织碰撞,如何满足企业或组织内部各方利益关系,实现数据开发利用和安全合规的平衡,构建数据安全管理、技术、运营相融合的全流程数据安全治理需求日益强烈。企业或组织参考数据安全系列国家标准可让数据安全治理工作更规范和更容易落地。
数据安全系列国家标准
上图是处于已正式发布或公开征求意见的数据安全系列国家标准,方便企业和组织落实数据安全的参考。
首先,分类分级保护是数据安全治理工作的第一步,《网络数据分类分级要求》在2022年9月14日公开征求意见,数据分类分级工作首先要参考这个国标,在识别和保护重要数据方面,也要参考《重要数据识别指南》和《重要数据处理要求》。
涉及使用和处理大量个人信息的企业或组织要参考GB/T 35273-2020《个人信息安全规范》和GB/T 41391-2020 《移动互联网应用程序(APP)收集个人信息基本要求》。
数据安全系列国家标准分为三个类别:安全要求类标准、实施指南类标准和检测评估类标准,企业或组织参考标准的重点和阶段不同。
安全要求类标准:GB/T 35274《大数据服务安全能力要求》修订中,GB/T 37932- 2019《数据交易服务安全要求》,GB/T 39477-2020《政务信息共享 数据安全技术要求》;
实施指南类标准:GB/T 27973-2019《大数据安全管理指南》,GB/T 39725-2020《健康医疗数据安全指南》,《电信领域大数据安全防护实现指南》。
检测评估类标准:GB/T 37988-2019《数据安全能力成熟度模型》,GB/T 41479-2022《网络数据处理安全要求》。
全流程数据安全治理应参考其中的GB/T 35274《大数据服务安全能力要求》、GB/T 27973-2019《大数据安全管理指南》、GB/T 37988-2019《数据安全能力成熟度模型》,以下对这三个国标进行重点介绍。
01 GB/T 35274《大数据服务安全能力要求》
国家标准GB/T 35274-2017《大数据服务安全能力要求》,2017年首次发布,2022-04-28下达修订,是属于安全要求类标准,规定了大数据服务提供者应具有的基础安全能力、大数据服务生命周期安全能力以及大数据服务平台与应用相关的系统服务安全能力。标准修订思路是基于《数据安全法》等相关法律法规和国内大数据服务提供者的最佳实践,按照数据安全风险管理的思路,在参考信息安全管理体系和网络安全等级保护制度基础上,制定了大数据服务产品的安全治理、安全监管、个人信息和国家重要数据的安全保护等。
该标准规定了大数据服务提供者的数据服务安全能力要求,包括组织管理安全能力、数据处理活动安全能力和数据服务安全风险管理能力。
适用于指导大数据服务提供者的数据服务安全能力建设,也适用于第三方机构对大数据服务提供者的数据服务安全风险进行评估。
从大数据服务过程中数据服务风险管理的角度规范了大数据服务提供者在风险识别、安全防护、安全监测、安全响应和安全恢复环节的安全能力建设要求。
02 GB/T 27973-2019《大数据安全管理指南》
国家标准GB/T 27973-2019《大数据安全管理指南》,是属于实施指南类标准,提出了大数据安全管理基本概念,重点阐述了大数据安全管理的目标、主要内容、角色与责任。
随着数据的聚集和应用,数据价值不断提升,而伴随大量数据集中,新技术不断涌现和应用,使数据面临新的安全风险,大数据安全受到高度重视。在大数据的生命周期中,将有不同的组织对数据做出不同的操作,关键是要加强掌握数据的组织在技术和管理能力方面的建设,加强数据采集、存储、处理、分发等环节的技术和管理措施,使组织从管理和技术上有效保护数据,使数据的安全风险可控。
大数据安全管理目标:组织实现大数据价值的同时,确保数据安全。组织应:满足个人信息保护和数据保护的法律法规、标准等要求;满足大数据相关方的数据保护要求;通过技术和管理手段,保证自身控制和管理的数据安全风险可控。
大数据安全管理的主要内容:明确安全需求、数据分类分级、明确大数据活动安全要求、评估大数据安全风险。
大数据安全管理角色及责任:大数据安全管理者、大数据安全执行者、大数据安全审计者。
大数据安全管理基本原则:职责明确、安全合规、质量保障、数据最小化、责任不随数据转移、最小授权、确保安全、可审计。
03 GB/T 37988-2019《数据安全能力成熟度模型》
国家标准GB/T 37988-2019《数据安全能力成熟度模型》Data security capability maturity model(以下简称DSMM),是属于检测评估类标准,2020年3月1日正式实施,围绕数据的采集、传输存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力4个能力维度,按照1-5级成熟度,评判组织的数据安全能力。
DSMM给出了一个全方位评估企业或组织机构的数据安全能力成熟度的三维立体模型。该模型将数据安全的能力成熟度由弱到强依次为非正式执行、计划跟踪、充分定义、量化控制、持续优化,进一步细分的三十个过程域达到的数据安全能力成熟度等级进行评估。
DSMM 适合用来作为评估组织数据安全能力的方法和标准,在组织开展数据安全能力建设的过程中被用作参考目标和依据。基于该标准的数据安全能力评估结果,可以鼓励数据在同等安全能力水平的组织间安全有序流动,或者流向能力水平更高的组织,避免数据流向低安全能力的组织。
数据安全治理和 DSMM 之间是相辅相成、互助互补的关系。一方面,DSMM 能够为数据安全治理在事前提供开展工作的目标和方向,在事后提供对治理效果的评估方法;另一方面,数据安全治理又为追求 DSMM 描述的高级数据安全能力目标和弥补 DSMM 发现的数据安全短板提供了一套切实、可操作且行之有效的方法论。
04 DSOP(数据安全运营平台)标准应用
DSOP作为综合性的数据安全运营管控平台,具备全场景、全流程的数据安全运营、管控能力。在产品架构的设计上,充分参考数据安全系列国家标准的要求和思路,将管理体系和运营体系的建设,提升至与安全技术能力建设同等重要的高度。
GB/T 35274的标准应用
在管理体系的功能设计中,充分参考GB/T 35274从大数据服务过程中数据服务风险管理的角度对资产管理和组织管理能力的要求,通过资产的核实、认领、评估、稽核,形成与组织匹配的数据资产管理体系。在运营体系的建设中,以分类分级为核心,通过对数据访问流转的备案和风险监测,以日常运营工作台帮助组织逐步形成体系化、流程化的数据安全防护能力。在技术能力的构建上,围绕数据安全生命周期,提供IPDRR等多种场景的安全能力。
GB/T 27973的标准应用
在具体的监测和防护场景设计中,DSOP遵循GB/T 27973的相关要求,以数据分类分级为基础,划定不同等级、类别数据的安全活动范围,支持在具体的安全规则和策略配置中,为不同分类分级的数据提供差异化的防护措施,在实现大数据价值发挥的同时,确保数据安全。
05 DSMP(数据安全监测平台)标准应用
DSMP数据安全监测平台是以“合规、高效”为目标,通过对数据资产的梳理、评估和数据流转的监测、分析,实现对数据全生命周期的合规监测与稽核,为数据安全治理提供坚实的针对性的方向指引。
GB/T 37988的标准应用
数据安全监测是数据安全建设的基石工作,只有清晰了解数据在生命周期中的风险和脆弱点才能有针对性地进行防护加固。DSMP在衍化过程中,以GB/T 37988为主要参考,对数据采集、传输、存储、处理、交换、销毁等各环节的安全状况和风险进行全面的监测和评估,结合数据成熟度等级定义,为组织提供具有实操建议的安全能力提升措施。
DSMP同时还以标准规范落地为目标,提供了一套涵盖标准规范的拆解、解读、策略关联、合规稽核的标准规范管理模块,并内置了DSMM帮助组织快速的落地标准规范要求,提升数据安全管理防护能力。
总结
数据安全治理是以“让数据使用自由而安全”为愿景,旨在安全有序推动数据流动,平衡数据发展与数据安全,在我国易于落地的数据安全建设的体系化方法论。
核心内容包括:
满足数据安全保护(Protection)、合规性(Compliance)、敏感数据管理(Sensitive management)三个需求目标;
以数据为中心的分类分级安全治理内容包括:分类分级(Classifying)、角色授权(Privilege)、风险评估(Assessment)、场景化安全(Scene);
数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;
核心安全框架为数据安全人员组织(Person)、数据安全使用的策略和流程(Policy&Process)、数据安全技术支撑(Technology)三大部分。
随着国家标准体系的逐步完善,企业或组织在全流程的数据安全治理过程中,要更多地参照国标要求,应对数据安全挑战,形成一套包括组织、制度、技术和运营四个方面,贯穿整个组织架构的数据安全规划和平台建设。
参考资料
(本文作者:北京安华金和科技有限公司 谭峻楠 刘圆)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。