歷時四年,聚合行業安全專家智慧,凝煉行業安全最佳實踐,數字時代:基于行業最佳實踐的《主責數據保護與流動安全監管框架》(以下簡稱“框架”)于2023年6月17日第三屆數字安全大會上正式發布。
該框架是在中國信息協會信息安全專業委員會指導下,由PCSA安全研究院、聯盟成員,聯合行業用戶和產業各方,深刻總結提煉十三五期間和十四五眾多行業數據安全治理、規劃、建設、運營的落地實踐,共同提出一個基于行業最佳實踐的《主責數據保護與流動安全監管框架》。
美創科技,作為數據安全專業企業,基于多年數據安全防的研究經驗,持續貢獻自身力量,旗下安全研究院以“產業研究力量”深入參與此次框架研究。
PCSA安全能力者聯盟(隸屬:中國信息協會信息安全專業委員會)是在公安部等保中心和國家信息中心指導下,于2016年10月成立,聯盟秉承聚合中國關鍵安全能力、賦能數字智能時代的理念,致力于云安全(包括平臺、租戶、數據、安全管理、移動安全等)關鍵技術及標準的研究、應用和推廣,目前已完成面向云安全、數據安全、安全管理和運營的平臺解決方案。
1、《框架》的目標定位
法律法規密集出臺,數據二十條重磅發布,國家安全監管逐項落實,各行業陸續開展數據治理及安全治理工作,大量的行業用戶急需找到一個可參考可落地的數據安全框架。
本次發布的數字時代:基于行業最佳實踐的《主責數據保護與流動安全監管框架》聚焦數據安全本身,面向各行業用戶組織,從“數據-數據安全-安全”全局視角出發,總結凝煉數據治理和安全治理的共性問題、共性頑疾,形成以主責數據為核心的數據安全治理共性經驗。圍繞主責數據保護與流動安全監管主場景開展數據安全保護,理清數據治理、安全治理和數據安全治理之間的目標區別和責任邊界,實現數據安全管理、技術、運營、監管一體化,保障數據在主責明確、流動監管過程中的安全使用,不斷激活數據價值,持續督導治理過程中的分類分級管理,形成上層監管與從業自律、法治與從業自治協同、上下統籌的數據安全治理結構。
2、《框架》聚焦的關注點
1)平衡數據開放與安全管控,做到用數不違規、不違法
數據安全已然立法,每個數字化組織都需要思考如何用數不違規、不違法。
宏觀層面,做好數字化轉型是每個組織的使命,在持續開展業務經營、生產和管理的過程中,產生大量的自有數據,即“主責數據”,來自于組織內部其他組織流轉過來的數據,使用者需要具有“同等責任”,做好“守責”工作。
2)三權分立,劃清數據管理、安全管理、監管審計責權利邊界
做好主責數據的保護,首先要明確數據管理和安全管理的責權利邊界。
通過“三環論”構建的三權分立原則,明確數據安全基礎分工和邊界,推動責權利邊界從模糊走向清晰。
首先明確定義和三權匹配的三員,即:系統管理員、安全管理員和安全審計員。
其次定義實現數據安全主責明確的三個層次閉環。
第一層次是業務閉環,充分定義系統管理員的權責,落實數據相關系統管理權限劃分、人員授權、訪問授權、API調用授權等工作。這是保障業務及數據安全的基礎。
第二層次是安全閉環,充分定義安全管理員的權責,制定安全策略、基線,配備數據流動過程中需要的安全設備、手段,形成監控、響應、預測和防御的閉環。這是保障數據安全一體化運營的基礎。
第三層次是監管閉環,充分定義安全審計員的權責,落實數據安全管理過程中的角色、流程、數據流動前、流動中、流動后的一體化審計。這是保障數字化組織做到數據安全充分合規的基礎。
3)圍繞靜態數據和動態數據,實現流動安全監管
隨著信息化、數字化進程的不斷演進,業務系統不斷建設,逐步積淀出大量結構化數據、半結構化數據和非結構化數據,它們廣泛存在于終端、數據中心、存儲設備和數據平臺上,同時配備的各類數據安全防護能力也在不斷完善。但在具體落實主責數據安全保護的指導、監督、檢查,做好主責數據安全保衛、保障、保護的執行過程中,仍會發現數據安全工作存在諸多問題,其根本原因是對數據當前的狀態定位不清,現有數據安全防護手段缺乏針對性。
從數據狀態上來看,通常分為兩大類數據:
第一類為靜態數據,即存儲狀態中的數據,往往會存在盲數據、僵尸數據和死數據的問題,且大多底賬不清、權屬不清、權責不清,無法清晰定義哪些是數據資源、哪些是數據資產、誰在使用、誰在訪問,存在數據泄露的風險。
另一類為動態數據,即流動狀態中的數據,存在流動前、流動中和流動后價值屬性的區別,無論是數據流動前未取得授權;還是流動中的過程看不見、管不到、非法使用、濫用發現不了;還是流動后數據過程狀態不可審查、數據權益不可控,都存在很大的數據泄露和濫用風險。
對于數據所有者來說,靜態數據能否做到清晰可見,動態數據能否做到流動管控,已逐漸成為數據安全落地成功的關鍵因素。
4)數據全生命周期過程涉及諸多角色
數據角色決定數據流動監管的權限需求。通過對數據流動過程中不同角色的權限與職能進行解析,定義數據流動角色,實現不同數據角色對數據流動安全監管過程中的不同權限與職能的落地提供有效支撐。
數據所有者:掌握數據所有權的數據產權所有方;
數據使用者:對數據擁有使用和交換需求的數據需求方;
數據提供者:對數據進行獲取、處理與提供的數據提供方;
數據運營者:對數據運營過程的計劃、組織、實施和控制,是與數據生產和服務創造密切相關的各項管理工作的承擔方;
數據安全監管者:在數據不同價值階段,制定數據流動安全策略.對不同數據角色的操作等進行檢查審核。
這些數據角色的充分定義和明晰是保障數據內部流動跨部門、跨應用、跨層級,外部流通跨行業、跨監管單位或跨境等機制制定的基礎。
5)數據在組織內部、跨組織、行業、區域及跨境之間的流動
數據流動主要涉及不同行業領域間的跨行業流動;國家、省、市、縣(區)等各級部門間的跨層級流動;同級部門/組織間的跨區域流動;行業內部多個組織間或組織內部多個部門間的跨部門流動;組織內部多個應用系統間的跨應用流動;以及組織內部生產環境和測試環境之間的跨環境流動。
3、《框架》的核心思想:“1-3-6-N”架構
數字時代:基于行業最佳實踐的《主責數據保護與流動安全監管框架》的核心思想可總結為“1-3-6-N”架構。
“1”個主要場景
即主責數據保護與流動安全監管場景。要求責任主體,明紅線、守底線,做到事前、事中和事后監管。
“3”個方面
即數據治理、數據安全治理、安全治理。以數據安全治理為主體,協同好數據治理和安全治理,明晰邊界與責權。
“6”個層次
即治理層、監管層、管理層、運營層、技術層和數據層。統籌六個層次目標的關鍵場景和關鍵任務,共同構建數據安全治理體系。
“N”個關聯角色
即數據安全治理過程中涉及的多個角色。包括:數據所有者、數據監管者、數據提供者、數據使用者、數據運營者、安全審計員、安全管理員、系統管理員等。
4、《框架》“1-3-6-N”架構解析
1)“1”個主場景:主責數據保護與流動安全監管場景
主責數據保護與流動安全監管主場景綜合考慮數據治理、安全治理和數據安全治理的目標區別和職責邊界,聚焦數據安全治理領域,清晰定義數據安全相關角色和流動場景,重點解決靜態數據保護、動態數據流動監管的問題,做到明紅線、守底線,實現事前、事中、事后監管。
數據安全法、數據二十條都明確數字化組織在數據處理過程中對數據安全負有主體責任,需要在明確紅線、守住安全底線的前提下,進行數據開發利用、開放共享。
做好數據流動事前督導、事中監管、事后審計,幫助數字化組織確認清楚在組織和組織內部數據流動過程中的主體責任,解決數據治理、安全治理的責權不清、動態監管等影響數據合法有序使用的關鍵問題。
2)“3”個方面:數據治理、數據安全治理、安全治理
數據治理、安全治理和數據安全治理三個方面目標不同、邊界權責交叉,本框架主要聚焦數據安全治理,需要協同好數據治理和安全治理,明晰邊界與責權。
參考數據治理自身特點以及國內最新發布的數據二十條相關內容,發現,數據治理需要圍繞數源可信、權屬清晰、激活數據的目標,開展數據治理基礎建設、數據治理能力建設、數據治理運營建設以及數據價值賦能。
由于數據治理不是本次討論的重點,有關該部分的詳細內容可查閱國際、國內相關數據管理、數據治理的流程、過程、標準和內容。
安全治理圍繞合規閉環、實戰驗證、風險可控的目標,開展合規基礎保護建設、實戰強化保護建設、指揮協同保護建設,構建網絡安全管理體系、安全技術體系、安全運營體系,實現看管監控一體化、平戰結合一體化。
該部分內容主要來源于PCSA安全能力者聯盟2022年發布的《基于行業最佳實踐的安全保護框架》,更為詳細的解讀可查閱2022年研究成果《基于行業最佳實踐的安全保護框架》。
數據安全治理圍繞主責明確、流動監管、共享共用的目標,協同數據治理和安全治理,在做好數源可信、權屬清晰、激活數據、合規閉環、實戰驗證、風險可控的前提下,聚焦主責數據保護和流動安全監管主場景,充分定義數據安全相關角色和流動場景,通過自上而下的從數據安全治理層、數據安全監管層、數據安全管理層、數據安全運營層、數據安全技術層、數據層等六個層次,逐層壓實數字化組織在數據共享共用過程中的主體安全責任,提升數據的可用、可信、可流通、可追溯水平,加強內部安全自律意識,幫助數字化組織走好數據安全的“最后一公里”。
數據治理和安全治理中都有數據安全的部分,伴隨著數據由資源向資產的演進,一方面數據治理要求實現數據的開放共享使用,另一方面安全治理又要求嚴格管控守好安全底線,那么如何在安全管控的情況下做到數據共享利用、用數不違法的平衡,這就需要數據安全治理來協同好數據治理和安全治理,明晰邊界與責權。
數據治理將持續為數據安全治理提供可信的數據底賬、動態完整的分類分級結果,以支撐數據安全治理工作的開展;而安全治理將根據不同數據等級為數據安全治理提供完整、持續的數據安全基線。同時,在運營層面,數據安全治理的運營還需要協同數據治理運營和安全治理運營,共同實現看管監控一體化的運營目標,持續雙向反饋各自運營成果。至此,數據安全治理才從真正意義上打通了數據治理、安全治理各自的鴻溝,在數字化組織全局視角上達成拉齊數據風險管控和價值激活的雙重目的。
3)“6”個層次
聚焦在數據安全治理領域,研究現有落地實踐,將數據安全治理劃分為數據安全治理層、數據安全監管層、數據安全管理層、數據安全運營層、數據安全技術層和數據層,不同層次的數據安全場景和重點任務存在差異,其關注點也存在區別。
數據安全治理層從內部剛需和外部監管出發,圍繞數據資源、數據資產、數據流通和數據交易的不同階段,根據本行業、本組織特點開展戰略制定、現狀評估、藍圖規劃和實施路徑規劃等工作,主要解決數據治理和安全治理目標不統一的共性問題,與數據治理和安全治理的目標達成統一。
戰略制定:根據數字化組織發展所處的不同階段、不同需求,制定數據安全總體戰略、數據安全總體目標和數據安全總體策略。
現狀評估:根據數字化組織發展所處的不同階段、不同需求,開展數據現狀評估、安全現狀評估、數據安全能力現狀評估,為數據安全治理體系的規劃設計提供基礎數據支撐。
藍圖規劃:根據現狀評估的結果,開展差距分析、需求分析及規劃設計工作,明確規劃目標,并提供充足的保障機制。
實施路徑:依托藍圖規劃,制定詳細的實施演進路線,進一步明確行動計劃和關鍵任務。
數據安全監管層主要解決事前督導、事中監管、事后審計的監督落實問題,實現全程可視、狀態可察、權限可審、流動追溯、權益清晰、監審一體的目標。
事前督導:對數據底賬梳理、數據分級分類、數據權屬定義、數據授權規則制定、數據角色定義、數據安全基線制定、數據交易、數據出境專項等工作,進行事前監督、指導。
事中監管:對數據底賬狀態、數據歸類定級、數據權屬主體、數據操作行為、數據角色授權、數據流動全程、數據交易專項、數據出境專項等工作,進行事中監督、管理。
事后審計:對數據底賬變更、數據分級分類、數據權屬變更、數據違規操作、數據授權變更、數據流動追溯、數據交易專項、數據出境專項等工作,進行事后審計。
數據安全管理層主要圍繞數據安全戰略、數據安全目標和數據安全策略,通過機制定義、組織定義、職責定義等方面為數據安全治理提供充足的機制保障。
定義機制:圍繞數據安全治理層定義的數據安全治理目標,做好管理定義,建立數據安全管理機制,包括管理辦法、規范細則、流程表單以及可考核的關鍵性指標。
定義組織:配套數據安全管理機制,建立數據安全管理組織架構,明確崗位設置、角色定義和人員配備。
定義職責:基于數據安全管理機制、數據安全管理組織架構,清晰定義責任邊界、權利義務、激勵機制。
數據安全運營層通過數據安全監測、分層響應、協同研判、聯合處置等關鍵任務的開展,解決多方協同的問題,實現數據安全運營的看管監控一體化。其與網絡安全運營同樣遵循“檢測-響應-預測-防御”的Gartner自適應安全架構,區別在于數據安全運營是在網絡安全運營的基礎上,針對主責數據本身,實現細粒度、針對性的安全運營。
數據安全監測:聚焦數據本身,通過與數據防泄露、數據訪問控制、安全登錄、數據操作、數據流動、API接口等能力的對接,實現細化到數據庫、表、字段的專而深的細粒度安全監測。
分層響應:針對數據安全事件,建立分層響應機制,落實數據管理員、系統管理員、安全管理員、IT基礎設施管理員等不同角色之間的分層響應。
協同研判:協同業務部門、數據部門和安全部門等多方人員綜合分析研判數據安全事件,深度分析數據服務停止、數據篡改,誤操作/惡意行為、數據泄露、越權訪問、數據勒索、數據違規外發等的根本原因,做好數據風險預測、研判、分析、預警和通報。
聯合處置:基于協同研判分析的結果,聯合業務部門、數據部門、安全部門等開展安全策略核查、數據違規阻斷、恢復服務/系統/數據、冗余備份安全加固、最小授權等聯合處置工作,應對暴露面收斂、攻擊發現與阻斷、日常攻防演練、威脅情報處置等安全應用場景。
數據安全技術層主要建立數據安全工具能力資源池,為數據監管和運營提供可擴展的能力使用及調用。
數據全生命周期的基礎合規:在滿足個人信息保護、等級保護、關基保護、數據安全法、密碼保護、F級保護、商密保護、行業規范等法律法規、標準規范的基礎上,做到從數據采集、數據傳輸、數據存儲、數據處理、數據加工、數據共享、數據交換、數據交易、數據銷毀的全生命周期合規。
數據安全工具能力資源池:圍繞數據全生命周期建立分類分級、數據標簽、密級標識、隔離交換、加密傳輸、策略矩陣、存儲加密、訪問控制、隱私保護、數據授權、數據脫敏、零信任、行為授權、操作審計、打刻審計、數據水印、數據防泄漏、介質管控、備份恢復、數據清除、剩余信息保護等數據安全能力資源池。
數據層通過對各類數據的標識證明,使數據成為獨立管理對象,其屬性可支撐數據共享、交換及交易流通等場景。
經過多年的信息化、數字化建設,已經積累了大量的數據。從技術上來看,可以分為結構化數據、半結構化數據、非結構化數據;從敏感程度上來看,可以分為SM數據、商密數據、個人隱私數據等;從責任歸屬上來看,可以分為個人數據、企業數據、公共數據等。
標識證明通過數源標識、數據標識、權益標識,標記數據全生命周期各過程,形成數據資源目錄,使數據所有者明晰其主責數據,同時通過對具體的數據實體登記形成產權證明、權益證明和交易證明,形成實體數據底賬,使數據相關方明確各自的數據權益,最終數據資源目錄和實體數據底賬通過流通標識比對,實現對數據共享、交換及交易流通等場景應用支撐。
4)“N”個關聯角色
是指參與到數據安全治理全過程的各個組織定義的角色。包括:數據所有者、數據監管者、數據提供者、數據使用者、數據運營者、安全審計員、安全管理員、系統管理員等。
數據所有者:即數據產權所有方;
數據使用者:即數據需求方;
數據提供者:即對數據進行獲取與處理數據供給方;
數據運營者:即對數據運營過程的計劃、組織、實施和控制各項管理工作的承擔方;
數據監管者:即在數據不同價值階段,制定數據流動安全策略,對不同數據角色的操作等進行稽核審查方;
系統管理員:即系統的所有者,負責系統的管理和授權;
安全管理員:即網絡安全管理者;
安全審計員:即網絡安全和數據安全的審計者。
其他角色:即涉及到數據及網絡安全支撐的相關人員,如基礎設施保障人員等。
浙公網安備 33010502006954號 
