随着数字化时代的快速发展以及数据量的爆发式增长,数据安全的重要性正在快速提升。网络世界的数据随时面临着被泄露、被篡改、被攻击的风险,而数据安全问题源于数据本质发生变化,例如业务移动化:远程办公、远程视频会议成为刚需和安全漏洞高发领域、终端多元化打破了原有的网络边界,为安全防护带来边界防护压力;能力开放化:开放带来API接口攻击、信息泄露等风险、第三方合作、应用、SDK的安全风险加剧了应用安全风险;场景多元化:业务场景复杂化,数据集中存储,数据共享导致数据泄露、数据权责分离、在快速业务交付的压力下,全面安全管控的难度加大,引发业务风险等。
随着我国齐聚的三驾马车《网络安全法》、《数据安全法》和《个人信息保护法》,安全法律顶层设计已进入到全方位的实施阶段,三大法律之间相辅相成共同构成了我国数据安全的法律保障体系,也将数据安全提升到了法律层面,进而越来越多的律师事务所也加大力度积极投身于数据安全和合规建设工作和企业数据安全合规运营中,而网宿科技做为老牌的互联网厂商,业务遍布全球,存储并处理了大量的数据资产,聚焦在数据治理和运营上已有10余年之久。
网宿认为国内的数据安全现状可以从以下几个方面进行概述:
网宿认为数据安全治理其实是需要关注数据问题本身的缘由,数据安全问题其实是源于数据本质发生变化,例如前面所提及的业务数据的移动化、数据能力的开放化、数据场景的多样化等,最终造成的影响是数据资产难看清、数据风险难监测、数据防护难有效、数据泄露难溯源的四难之境,进而导致安全保护力度不当,业务失衡,成本过高等问题。网宿认为要做好数据安全运营需要从以下几个维度进行考虑:
知名的信息技术领域的咨询和分析公司Gartner提出了DSG(Data Security Governance)框架, Gartner认为:数据安全不是简单的工具堆叠,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条,其实从平衡风险、识别数据、定义策略、协调控制到最后的管理风险,是一个全链条的数据安全治理周期。总结来看DSG框架就是平衡业务需求和风险之后进行优先级排序的标识,进而最后再定义数据安全策略,而为了支撑安全策略的落地,企业上层建议需制定使用的管理规范,而制定数据管理规范可以从以下几个维度进行考虑:
数据分类分级有助于组织更好地管理其数据,更有效地保护其数据,以及更好地满足法规要求,分级框架可以按照《中华人民共和国数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别,三个级别的定义可以参考以下描述:
一级数据(一般数据):一般数据资产,敏感程度较低,一旦泄露可使组织或个人的利益遭受一定的损害。
二级数据(重要数据):重要数据资产,敏感程度较高,一旦泄露将使组织或个人的安全和利益遭受损害。
三级数据(核心数据):核心数据资产,敏感程度最高,一旦泄露将使组织或个人的安全和利益遭受特别严重的损害。
分类框架可以按照以下几个维度做为参考(国家也颁发了相关的分级指引见下图):
a)公民个人维度:按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息。
b)公共管理维度:为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。
c)信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。
d)行业领域维度:按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等,其他行业领域可参考 GB/T 4754—2017《国民经济行业分类》。
e)组织经营维度:在遵循国家和行业数据分类分级要求的基础上,数据处理者也可按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。
基于网宿对自身数据治理工作,建议分类分级的实施路径可参考以下几个流程:
然而,最让企业头痛的是数据如何进行分级和分类的定义,分类的原则基于系统性、规范性、稳定性、扩展性和明确性;分级的原则基于依从性、可执行性、时效性、自主性、合理性和客观性。以个人信息的分类为例,个人信息分类的实例有相关标准可以参考,见下图:
分级的定义有两个方式,一个是快速定级,一个是归类定级,当无法通过“快速定级”方式判定数据安全级别时,由数据提供方根据数据内容涉及的影响对象范围、影响程度维度,进行分析定级,影响程度的相关说明可以参照下表:
数据安全治理运营是由多个独立的工作子集形成,通过建立整体性(通用性)的工作机制,将独立个体进行有效串联,从而形成整体的、持续性的、可监管性的工作过程。数据安全治理是保障业务在安全环境下稳定运行的基础。数据安全作为组织整体安全治理的一部分,具有整体性和独立性。整体性强调与整体治理工作的结合,如事前的漏洞检测,事中的安全处置,事后的复盘分析。独立性强调数据安全管理工作过程中对运维目标的针对性,如数据资产梳理(如数据流向、数据分类分级等)、数据安全防护策略、数据安全持续性评估、数据安全运营监测指标的设定等。