2019年,黨的十九屆四中全會首次把數據列為第五大生產要素,此后,國家層面出臺了一系列政策,加快構建全國數據要素統一市場,尤其是2022年12月中共中央、國務院印發的《關于構建數據基礎制度更好發揮數據作用的意見》(簡稱“數據二十條”),為充分發揮數據要素價值提出了明確的發展方向和實施路徑。2022年,我國數字經濟規模達到50.2萬億,數字經濟占GDP比重達到41.5%,這一比重相當于第二產業占國民經濟的比重(來源:中國信息通信研究院發布的《中國數字經濟發展研究報告》(2023年))。
然而,隨著《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施保護條例》等法律法規的頒布,對數據安全保護的要求在逐年加大。如何做到對數據保護的同時利用數據促進經濟發展,做到數字經濟發展與數據安全保護平衡,是一個需要廣泛實踐和探討的課題。
基于數據分類分級的
數據安全保護現狀分析
國家在數據安全保護方面的政策中提及的比較突出的一項就是要對數據實行分類分級保護,加強對重要數據的保護,對核心數據要實行更加嚴格的管理制度。數據分類分級工作的重要性已經成為共識,各行業組織機構紛紛出臺數據分類分級工作的指導性文件。
在政務行業,貴州、上海、浙江、四川等省市都出臺了適合本地的政務數據分類分級指南,力求通過對政務數據的分類分級工作,夯實數據安全保障基礎,促進政務數據共享和開放,讓數據在安全可控的環境下進行流通,更好地服務公眾,造福人民。
在金融、醫療行業也出臺了相關的行業分類分級標準,在主管部門已有指導文件的基礎上,下級機構深入細化,制定符合本地實際的數據分類分級規范。
在電信運營商、鐵路、電力、教育、電網、人社、醫保等行業也都積極出臺指引性文件,指導本行業實施分類分級工作。
但在以數據分類分級為基礎的數據安全保護實踐過程中,依然面臨不少挑戰。最突出的一點就是以數據分類分級為基礎的數據安全體系建設滯后。數據分類分級工作與數據安全保護工作脫節,以數據分類分級為基礎的數據安全體系建設普遍滯后或不健全,沒有形成整體的數據安全體系規劃頂層設計,數據全生命周期安全管控措施缺失,缺少動態可監測的運營保障機制,沒有形成有效的閉環機制。
基于數據分類分級的
數據安全保護需要多方位探索,綜合化、體系化地構建數據防護體系。通過多行業不同類型客戶的相關實施經驗,總結得出組織在利用數據分類分級成果建立有效的數據安全體系過程中,可以從以下幾方面入手建立切實有效的數據防護體系。
數據安全防護體系建設路徑
在對數據做安全保護措施前,應該要知道目前有哪些數據,以及這些數據在使用過程中會遇到哪些安全風險,做到“知風險”與“行安全”的辯證統一。
首先,要摸清家底,對數據進行分類分級。厘清數據現狀,形成有序清晰的數據資源列表,能夠全面直觀地知道組織有哪些數據、數據在哪里、數據體量、主要負責部門/負責人、數據使用情況等內容,為數據分類分級打好基礎。
通過數據的業務屬性和安全屬性認知數據的價值和風險,對數據進行分類和定級,這是數據安全保護的前提,基于分類分級的成果,才能更準確地對不同類型、不同安全等級的數據設置不同的安全保護策略。
其次,對數據進行風險識別,精準把脈。從基礎環境風險、合規風險、數據安全現有能力評估等維度進行數據風險識別。對現有數據資產風險有了清晰的認知,才能更好地給出風險處置建議及安全保障體系建設規劃指導。
數據安全保護措施不僅體現在安全技術能力建設的硬實力上,也包括建立自上而下的管理體系這種軟實力。對數據做好分類分級工作后,要圍繞數據生命周期(采集、傳輸、存儲、處理、交換、銷毀)形成以融合型組織、制度為基礎的保障體系。
從數據管理制度、技術制度、安全檢查制度等維度出發,綜合考慮不同安全等級的數據在不同的生命周期過程中應具備的安全管理能力。如設立數據管理員或數據保護官(DPO)角色,負責數據安全的日常管理和監督;制定數據安全事件應急響應計劃,以便在發生數據泄露或其他安全事件時迅速應對。對于安全等級較低的數據,可以實施基本的數據安全管理措施,保障數據的可用性、完整性;對于安全等級較高的數據,可以實施較嚴格的管理措施,且數據只能由被授權的人員訪問,對外共享的數據需滿足相關要求。保障數據的可用性、完整性和保密性。
數據安全保障體系包含技術保障和運營保障兩方面。
在數據分類分級實施成果及“知風險”的基礎上,建立全方位的數據安全技術能力。基于數據分類分級結果,以聯動策略為牽引,建立以風險管理為導向的全域、動態的安全聯動防御機制。
以數據分類分級為基礎,基于分類分級的結果,通過與數據安全管理平臺等形成聯動策略,數據安全常態化監測和智能風險預警,全面提升數據安全防護能力,構建圍繞數據全生命周期各環節的安全技術防護體系,從而實現企業數據安全全域統管、全局可控。形成從終端域、網絡域、運維域、業務域、數據域、管理域的全域數據安全技術保障。
聯動的全域安全技術能力
同時,建立安全長效的運營體系是強化安全保護的基礎。通過數據安全運營,保障數據安全能力的持續更新,可以根據新的威脅、技術和業務需求不斷更新數據分類分級和安全保護策略。
?? 包括但不限于數據資產的常態化梳理和分類分級;數據安全風險的常態化分析預警;關注數據安全事件場景造成的風險,完善現有安全應急預案;定期對組織的數據安全管理體系和數據安全控制措施進行審計;關注數據安全領域的最新動態和技術發展,不斷優化和完善數據安全保護措施;探索新興技術(如人工智能、區塊鏈)在數據安全中的應用等。
數據安全文化建設及安全方面的培訓也是不可忽視的內容。組織要在業務發展、數據利用的過程中建立數據安全文化,鼓勵員工提高數據安全保護意識、積極參與數據保護。要對不同的崗位、不同級別的人員制定數據安全培訓計劃,定期開展數據安全培訓。從安全培訓計劃、安全培訓教材管理、安全培訓實施、安全培訓考核、安全培訓歸檔等維度建立培訓體系。
數據安全保護工作需要具有全局的視角,多方、綜合、差異化地對數據進行保護。從發現問題、制定計劃(現狀分析)→需求分析、解決問題(安全體系建設)→檢查驗證、評估效果(成效評估)→固定成績、問題總結(優化完善)的路徑形成有效的數據保護體系。在實踐的過程中,要從組織自身實際發展狀況和需求出發,逐步建立和完善安全保護體系建設,要具備可動態、敏捷調整的能力,保障安全體系的有效性。
保護并不是限制,要以保護促發展,在安全可靠的環境下推動數字經濟的發展,讓數據創造更多的經濟效益和社會效益。
本文刊登于由工信部主管的《數字經濟》雜志
作者:美創數據安全治理咨詢專家顧問 聞云霞
浙公網安備 33010502006954號 
