继《数据安全法》、《个人信息保护法》之后,各大数据安全标准规范相继出台,数据安全成为组织热议的核心话题。数据安全如何做?是否都是网络安全部门的工作呢?
今年全国两会中,多位代表、委员就“东数西算”、“数据要素”进行热议,不禁让众多组织预测:数据产业发展的风口来了!
但随着“两法”的出台,“数据安全到底该怎么开展”成为了所有组织共同关注的问题。深信服总结了数据安全落地的几大常见误区供大家参考。
2021年,我国先后颁布并施行了《数据安全法》、《个人信息保护法》,不少人对这两部法律的理解有一个误区:两部法律的施行是为了制约数据的使用。事实上恰恰相反,这两部法律本质上是为了促进数据的开发利用和相关产业的发展。
“十四五”规划纲要将“加快数字化发展建设数字中国”单独成篇,并首次提出数字经济核心产业增加值占GDP比重这一新经济指标,明确要求我国数字经济核心产业2025年增加值占GDP的比重要由2020年的7.8%提升至10%。
今年全国两会上,一个数字被反复提及——48.6ZB,这是预计到2025年我国将产生的数据总量,占全球总量的27.8%。如此规模的“数据富矿”,其潜力极其巨大,《数据安全法》、《个人信息保护法》作为数据安全和隐私保护的法律依据,对数据合理利用,有序自由流动,促进数字经济发展有着极其重要意义。
借助相关要求,组织对数据要更加“以共享为前提、不共享为例外”、“敢开发、敢利用”、“让数据多跑路,产生更大的业务价值”。
过去,承接网络安全工作的往往是网络安全团队。碰到复杂的问题时,也只需网络安全部门与相关部门联动便可实现问题的闭环处理。
而数据安全与之最大的区别,在于数据散落在组织各处,企业很多部门都是数据处理活动的参与者,所以这些参与者都需要承担一定的数据安全职责。
以某大型企业为例,其拥有销售部门、采购部门、财务部门、信息化运行维护部门和应用开发部门等多个业务单元,每个业务单元都独立运转并管理或参与管理着大量的部门数据,这些数据在组织内有序流转,并产生多样的交汇与共享,其中业务部门是数据的所有者,IT部门只有在和业务部门高效协同的背景下,才能真正保障好数据安全。
所以要做好数据安全工作,就需要组织内多个部门共同参与,网络安全部门是组织内承担基础设施及公共安全能力建设的主要部门,但其缺乏对各个业务部门数据的深入理解,另一方面也难于直接参与到数据资源管理和应用开发建设的过程中,所以在数据安全上能发挥的作用相对有限。
因此,数据安全绝不仅是信息化组织或网络安全部门的独立工作任务,而是一项由组织决策层到执行层,自上而下覆盖组织整体架构的完整任务。网络安全部门在数据安全上的工作更多应集中在数据安全风险监测与公共能力建设上。
什么是自上而下,统筹开展?就是要把组织作为一个整体进行数据安全工作布局,而非依靠某个人或某个部门的力量来独立处理数据安全问题。
从法律的角度来说,拥有或使用数据的组织才是承担数据安全责任的主体。所以,数据安全工作需要统筹各个部门参与,保障数据在特定组织内全生命周期的安全。不论数据在这个组织中的生命周期涉及多少产品业务或人员,最终衡量数据是否安全,都需要把组织作为整体来考虑。
前面提到,数据安全与每个部门都息息相关,那是不是所有部门、所有人都该对组织的数据安全负责呢?为了厘清责任主体,数据安全保护工作需要建立牵头+认责体系,由一个组织单元牵头负责,再由数据的其他相关角色(生产者、使用者等)共同认责。
核心牵头者的职能是推进数据安全治理工作,完善数据标准化管理,实施常态化指导监督等。认责则是基于“谁生产、谁拥有、谁负责”的数据认责原则,确定数据安全保护工作的相关各方的角色、责任和关系,典型如数据安全保护过程中的决策、执行、解释、汇报、协调等角色和职责。
2021年8月,深圳发布的《深圳市推行首席数据官制度试点实施方案》(以下简称《方案》),就是牵头+认责体系的一个范例。
图片来源:深圳市政务服务数据管理局官方网站
根据《方案》,首席数据官有六个方面的主要职责,分别为推进智慧城市和数字政府建设、完善数据标准化管理、推进数据融合创新应用、实施常态化指导监督、加强人才队伍建设和开展特色数据应用探索等。
有了政府部门的率先尝试,企业数据首席官制度是不是也可以做一些试验呢?
数据安全保护工作不是一劳永逸的事,需要结合业务需求和技术发展不断夯实、加固、完善数据安全的保护能力。
以数据分类分级为例——数据分类分级并非一次性工作,只要有新数据的产生,分类分级工作就需要不断重复进行,数据分类分级越细,需要投入的资源就越多。
在IT时代,企业的信息化建设是以系统和网络为中心的,对应的安全防护也是以系统和网络边界的防护为重心,更多关注边界处的数据泄露和外部攻击,只要拦住了,就没事了。
但现在,数据的种类极其丰富,数据存储、流转及使用已构成一个复杂的数据生态。数据安全的风险更多在内部积聚,内部敏感数据的存储、扩散风险到了失控的状态时,边界的防护压力就会增大,防护效果显著降低。而且,敏感数据违规滥用本身就不是发生在边界处,大部分产品对于这种风险既无检测感知能力,也没有响应保护能力。
因此,增加数据安全运营视角为解决数据安全问题提供了一个新的解题思路。既然安全风险产生于数据运营的各个环节,那防护就不应该再盯着各个系统和网络,而是回到问题的本质,以数据为核心,围绕数据的全流程来展开安全的防护和运营工作。
数据安全也有和网络安全相似的一面,需要持续的风险监测与运营改进,通过不断发现、分析、研判可疑的数据安全事件,并积极响应、快速处置,推动数据安全的保护工作不断进行改进。
持续监测、不断响应是数据安全工作永恒不变的主题。
那有了这些大方向,各组织单位开展数据安全工作该从哪里开始,具体步骤又分别是什么呢?
关注深信服科技官方微信公众号,不同行业如何开展数据安全工作,后续#数据安全#内容版块为您一一解答。
深信服数据安全解决方案基于《数据安全法》和《个人信息保护法》等法律法规的要求和实际的数据安全风险场景,通过人工智能和机器学习等先进技术,为政府、教育、医疗等各个行业用户提供面向数据全生命周期的数据安全建设体系,让数据使用变得更加合规、安全。
雷峰网(公众号:雷峰网)