李雪妮 秦書鍇

(中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所，北京 100191)

0 引言

隨著數(shù)據(jù)的戰(zhàn)略性地位空前提高，數(shù)據(jù)安全風(fēng)險(xiǎn)日益成為影響產(chǎn)業(yè)發(fā)展、經(jīng)濟(jì)運(yùn)行甚至國家安全的重要因素，數(shù)據(jù)安全也成為保障數(shù)據(jù)要素市場有序發(fā)展的必要前提。

2021年我國數(shù)據(jù)立法進(jìn)展突飛猛進(jìn)，備受關(guān)注的《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個(gè)人信息保護(hù)法》分別出臺，與《中華人民共和國網(wǎng)絡(luò)安全法》共同形成了數(shù)據(jù)安全領(lǐng)域的“三駕馬車”，為我國數(shù)字經(jīng)濟(jì)的健康有序發(fā)展保駕護(hù)航。在此基礎(chǔ)上，重點(diǎn)行業(yè)及地方政府也陸續(xù)出臺相應(yīng)政策法規(guī)[1]，落實(shí)國家要求，推進(jìn)數(shù)據(jù)安全建設(shè)工作。

在強(qiáng)監(jiān)管趨勢下，如何落實(shí)監(jiān)管要求，保障業(yè)務(wù)發(fā)展的合規(guī)合法，是社會各界面臨的重要議題?！稊?shù)據(jù)安全法》中就明確指出“維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力?！辈⒐膭?lì)“數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展”。為落實(shí)國家法律法規(guī)要求，全面、準(zhǔn)確、客觀評估數(shù)據(jù)安全治理能力建設(shè)情況，推進(jìn)行業(yè)數(shù)據(jù)安全治理能力建設(shè)，本文給出針對數(shù)據(jù)安全治理能力的評估框架，并從評估項(xiàng)、評估維度、評估等級三方面進(jìn)行詳細(xì)研究分析。

1 數(shù)據(jù)安全治理能力評估現(xiàn)狀

1.1 國外數(shù)據(jù)安全評估現(xiàn)狀

隨著大數(shù)據(jù)時(shí)代的到來，數(shù)據(jù)安全成為關(guān)注焦點(diǎn)，早期聚焦于信息安全的相關(guān)評估認(rèn)證也逐漸轉(zhuǎn)移至數(shù)據(jù)安全保護(hù)。目前，美國、法國、英國等國家紛紛根據(jù)各自法律要求，針對企業(yè)的數(shù)據(jù)使用、數(shù)據(jù)存儲、數(shù)據(jù)流通和隱私保護(hù)等開展安全評估認(rèn)證，旨在保護(hù)數(shù)據(jù)安全，保障數(shù)據(jù)價(jià)值。表1對部分代表性的數(shù)據(jù)安全認(rèn)證進(jìn)行了介紹。

表1 部分代表性數(shù)據(jù)安全認(rèn)證

總體上看，部分發(fā)達(dá)國家依托市場化機(jī)制，已經(jīng)形成了較為完備的數(shù)據(jù)安全第三方評估測試體系，在助力法律法規(guī)落地，提升數(shù)據(jù)安全管理水平，推動行業(yè)健康有序發(fā)展方面發(fā)揮了重要作用。

1.2 國內(nèi)數(shù)據(jù)安全評估現(xiàn)狀

我國高度重視數(shù)據(jù)安全標(biāo)準(zhǔn)化工作，自2017年開始就發(fā)布了數(shù)據(jù)安全管理、個(gè)人信息安全管理等方面的標(biāo)準(zhǔn)，這表明我國在數(shù)據(jù)安全技術(shù)產(chǎn)品、服務(wù)能力、安全能力等方面的規(guī)范化要求逐漸增加，基于標(biāo)準(zhǔn)的評估評測市場需求也愈加旺盛?！稊?shù)據(jù)安全法》中明確提出支持專業(yè)機(jī)構(gòu)開展數(shù)據(jù)安全相關(guān)評估認(rèn)證服務(wù)工作。

目前，我國第三方數(shù)據(jù)安全評估工作尚處于起步階段。2020年12月，中國信息通信研究院依據(jù)團(tuán)體標(biāo)準(zhǔn)T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》[2]推出了國內(nèi)首個(gè)數(shù)據(jù)安全治理能力評估服務(wù)，并提出數(shù)據(jù)安全治理總體視圖[3-4]，為治理實(shí)踐提供操作指南和度量準(zhǔn)則。

2 數(shù)據(jù)安全治理能力評估框架

數(shù)據(jù)安全治理能力的建設(shè)是一個(gè)持續(xù)性的過程，成效評估是考核組織數(shù)據(jù)安全治理能力的重要環(huán)節(jié)，其結(jié)果也是新一輪數(shù)據(jù)安全治理的改進(jìn)依據(jù)。如何評價(jià)數(shù)據(jù)安全治理成效，并實(shí)現(xiàn)治理體系的優(yōu)化改進(jìn)是組織在數(shù)據(jù)安全治理能力建設(shè)過程中面臨的重要問題。依據(jù)團(tuán)體標(biāo)準(zhǔn)T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》，本文提出如圖1所示的數(shù)據(jù)安全治理能力評估框架，主要包括評估項(xiàng)、評估維度、評估等級3部分內(nèi)容，具體如下。

圖1 數(shù)據(jù)安全治理能力評估框架圖

2.1 評估項(xiàng)

評估項(xiàng)作為數(shù)據(jù)安全治理能力的主要考察對象，包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全3部分。

2.1.1 數(shù)據(jù)安全戰(zhàn)略

在組織啟動數(shù)據(jù)安全治理工作前，必須制定相應(yīng)的戰(zhàn)略規(guī)劃，明確治理目標(biāo)和具體任務(wù)，匹配對應(yīng)的資源，使得治理工作能夠有條不紊地展開[5]。數(shù)據(jù)安全戰(zhàn)略可以從數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理兩個(gè)能力項(xiàng)入手，前者確立目標(biāo)任務(wù)，后者組建治理團(tuán)隊(duì)。

(1)數(shù)據(jù)安全規(guī)劃關(guān)注組織對當(dāng)前數(shù)據(jù)安全風(fēng)險(xiǎn)現(xiàn)狀的梳理情況，要求結(jié)合業(yè)務(wù)發(fā)展，制定組織整體的數(shù)據(jù)安全發(fā)展規(guī)劃。

(2)機(jī)構(gòu)人員管理關(guān)注組織數(shù)據(jù)安全治理的團(tuán)隊(duì)及人員，考察在人員入職、轉(zhuǎn)崗、離職等環(huán)節(jié)設(shè)置的安全控制措施，防范由人員本身帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)。

2.1.2 數(shù)據(jù)全生命周期安全

數(shù)據(jù)安全治理以數(shù)據(jù)為中心，圍繞數(shù)據(jù)全生命周期展開，以采集、傳輸、存儲、使用、共享、銷毀各個(gè)環(huán)節(jié)為切入點(diǎn)，通過對數(shù)據(jù)全流轉(zhuǎn)過程進(jìn)行規(guī)范和約束以有效降低數(shù)據(jù)安全風(fēng)險(xiǎn)。

(1)數(shù)據(jù)采集安全關(guān)注直接和間接采集過程的各項(xiàng)安全保護(hù)措施、采集原則以及采集的合規(guī)性評估等工作，要求責(zé)任部門在利用數(shù)據(jù)采集工具或系統(tǒng)完成相關(guān)工作時(shí)，應(yīng)嚴(yán)格執(zhí)行相關(guān)采集制度規(guī)定。

(2)數(shù)據(jù)傳輸安全關(guān)注數(shù)據(jù)在傳輸過程中的安全性保障，主要通過對傳輸通道兩端的身份驗(yàn)證確?？尚湃涡?、對傳輸通道及傳輸數(shù)據(jù)本身的加密確保機(jī)密性、完整性等內(nèi)容。

(3)存儲安全關(guān)注存儲介質(zhì)、存儲系統(tǒng)或平臺的安全建設(shè)內(nèi)容。存儲介質(zhì)作為數(shù)據(jù)承載工具，需要明確介質(zhì)使用的各項(xiàng)管理規(guī)定，防范不當(dāng)使用造成的數(shù)據(jù)泄露風(fēng)險(xiǎn)。存儲系統(tǒng)或平臺需要明確架構(gòu)設(shè)計(jì)、安全配置策略、認(rèn)證鑒權(quán)、訪問控制等內(nèi)容。

數(shù)據(jù)備份與恢復(fù)關(guān)注數(shù)據(jù)的可用性建設(shè)。本部分明確了對數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)的相關(guān)管理要求、操作規(guī)程及技術(shù)手段。

(4)使用安全關(guān)注數(shù)據(jù)使用方對數(shù)據(jù)相關(guān)操作的安全管理，一方面通過規(guī)定采用數(shù)據(jù)脫敏等措施實(shí)現(xiàn)敏感及隱私數(shù)據(jù)的可靠保護(hù)，另一方面通過對數(shù)據(jù)使用需求進(jìn)行審批、評估，防范使用風(fēng)險(xiǎn)。

數(shù)據(jù)處理環(huán)境安全關(guān)注不同處理場景、不同處理平臺的身份鑒別、訪問控制、監(jiān)控審計(jì)、日志記錄等安全策略的實(shí)施。

(5)數(shù)據(jù)內(nèi)部共享安全關(guān)注組織內(nèi)部數(shù)據(jù)流通的安全保障建設(shè)。一方面對共享過程的加密、審核、評估、監(jiān)控等進(jìn)行要求，另一方面對共享平臺或接口的管理進(jìn)行考察，以保障內(nèi)部共享過程的規(guī)范性和安全性。

數(shù)據(jù)外部共享安全關(guān)注不同組織主體之間的數(shù)據(jù)流通安全建設(shè)。要求明確共享雙方的安全責(zé)任，對共享接收方的安全能力進(jìn)行評估，明確合作方駐場人員的安全管理策略，明確共享平臺或接口的安全管理規(guī)范，并實(shí)現(xiàn)對共享過程的審核、評估、監(jiān)控、溯源等。

(6)數(shù)據(jù)銷毀安全關(guān)注數(shù)據(jù)及介質(zhì)的銷毀管理?？疾旖M織在銷毀工作機(jī)制、流程、方式、場景、工具等方面的管控內(nèi)容，并實(shí)現(xiàn)銷毀過程的監(jiān)督和銷毀結(jié)果的驗(yàn)證。

2.1.3 基礎(chǔ)安全

基礎(chǔ)安全能力作為數(shù)據(jù)全生命周期安全能力建設(shè)的基本支撐，可以在多個(gè)生命周期環(huán)節(jié)內(nèi)復(fù)用，是整個(gè)數(shù)據(jù)安全治理體系建設(shè)的通用要求，能夠?qū)崿F(xiàn)建設(shè)資源的有效整合。

(1)數(shù)據(jù)分類分級關(guān)注分類分級的原則、方法、結(jié)果清單，以及不同的安全保護(hù)策略等內(nèi)容。通過分類分級的精細(xì)化管控方式，可以實(shí)現(xiàn)數(shù)據(jù)資源的定制化管理，保證數(shù)據(jù)應(yīng)用與數(shù)據(jù)保護(hù)的有效平衡。

(2)合規(guī)管理關(guān)注組織數(shù)據(jù)安全建設(shè)是否符合國家法律法規(guī)、行業(yè)監(jiān)管指引等的要求。通過合規(guī)評估、合規(guī)檢查、合規(guī)監(jiān)控等方式實(shí)現(xiàn)數(shù)據(jù)安全的合規(guī)保障。

(3)合作方管理關(guān)注組織對合作伙伴、合作駐場人員的各項(xiàng)安全管理要求。明確規(guī)定了合作方及合作方駐場人員的接入、審批、權(quán)限管控等管理要求。

(4)監(jiān)控審計(jì)一方面關(guān)注數(shù)據(jù)全生命周期的流動行為，另一方面關(guān)注人員對數(shù)據(jù)的操作行為。通過建立監(jiān)控審計(jì)平臺實(shí)現(xiàn)各類異常數(shù)據(jù)操作、人員違規(guī)操作等的風(fēng)險(xiǎn)控制。

(5)鑒別與訪問關(guān)注組織人員的賬號管理、訪問權(quán)限控制的建設(shè)情況。規(guī)定了全生命周期中用戶、數(shù)據(jù)、權(quán)限三者之間的安全管理規(guī)范，保障數(shù)據(jù)安全。

(6)風(fēng)險(xiǎn)和需求分析關(guān)注組織發(fā)展過程中面臨的數(shù)據(jù)安全需求分析及風(fēng)險(xiǎn)控制問題。要求組織根據(jù)業(yè)務(wù)場景，適時(shí)開展需求分析和風(fēng)險(xiǎn)評估工作。

(7)安全事件應(yīng)急關(guān)注數(shù)據(jù)安全事件的定義、分級、響應(yīng)處置、上報(bào)等工作的開展。要求組織建立相應(yīng)應(yīng)急預(yù)案，定期開展應(yīng)急演練，形成應(yīng)急知識庫。

2.2 評估維度

評估項(xiàng)實(shí)際建設(shè)情況考察，主要從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個(gè)維度開展。

(1)組織建設(shè)是數(shù)據(jù)安全工作開展首要環(huán)節(jié)，也是數(shù)據(jù)安全治理持續(xù)運(yùn)轉(zhuǎn)的首要保障，完善的組織架構(gòu)有助于數(shù)據(jù)安全工作的協(xié)同執(zhí)行。該維度關(guān)注數(shù)據(jù)安全治理組織的設(shè)立、職責(zé)分配及溝通協(xié)作程度[5]。

(2)制度流程是有效約束和規(guī)范相關(guān)人員日常工作行為，保障數(shù)據(jù)安全治理工作有據(jù)、可行、可控的重要措施。該維度關(guān)注數(shù)據(jù)安全領(lǐng)域制度規(guī)范的制定及流程執(zhí)行情況。

(3)技術(shù)工具是推動數(shù)據(jù)安全工作建設(shè)的能力底座，是落實(shí)制度要求和管控策略的有效手段。該維度關(guān)注數(shù)據(jù)安全技術(shù)的應(yīng)用情況及對制度流程的固化執(zhí)行能力。

(4)人員能力是數(shù)據(jù)安全工作落實(shí)的關(guān)鍵環(huán)節(jié)，對相關(guān)人員數(shù)據(jù)安全意識的培養(yǎng)、能力的提升及考核是該維度的關(guān)注重點(diǎn)。

2.3 評估等級

數(shù)據(jù)安全治理能力評估等級將從組織建設(shè)完備程度、制度流程覆蓋面、技術(shù)工具支撐力度、人員能力培養(yǎng)4個(gè)維度劃分為三級，分別是基礎(chǔ)級、優(yōu)秀級、先進(jìn)級。每一個(gè)等級都對應(yīng)著該階段組織機(jī)構(gòu)須具備的能力要求，每個(gè)后一級的要求均是在前一級基礎(chǔ)上的加強(qiáng)(見表2)。

表2 數(shù)據(jù)安全治理能力評估等級

(1)第一級：基礎(chǔ)級

基礎(chǔ)級數(shù)據(jù)安全治理能力主要體現(xiàn)在離散的項(xiàng)目中，由各業(yè)務(wù)團(tuán)隊(duì)負(fù)責(zé)數(shù)據(jù)安全日常工作的開展及管理，僅根據(jù)日常業(yè)務(wù)工作需求建立相應(yīng)的管理流程和技術(shù)工具。這一級別的數(shù)據(jù)安全治理能力雖然在不同業(yè)務(wù)、不同項(xiàng)目中暫未形成統(tǒng)一的管理規(guī)范，但也為組織層面的規(guī)范化統(tǒng)一治理奠定了基礎(chǔ)。

(2)第二級：優(yōu)秀級

優(yōu)秀級數(shù)據(jù)安全治理能力體現(xiàn)在組織層面，由專門的數(shù)據(jù)安全管理部門負(fù)責(zé)不同業(yè)務(wù)團(tuán)隊(duì)及項(xiàng)目以規(guī)范化、標(biāo)準(zhǔn)化的方式落地?cái)?shù)據(jù)安全工作的各項(xiàng)要求，實(shí)現(xiàn)對組織數(shù)據(jù)安全治理能力的進(jìn)一步集成，達(dá)到體系化運(yùn)行的程度?？梢哉f，該級別已形成一個(gè)相對合理、科學(xué)、規(guī)范的管理模式。

(3)第三級：先進(jìn)級

先進(jìn)級數(shù)據(jù)安全治理能力體現(xiàn)在擁有完善的數(shù)據(jù)安全治理能力量化評估體系和持續(xù)優(yōu)化策略，一方面能夠準(zhǔn)確評價(jià)治理效果，實(shí)現(xiàn)優(yōu)化調(diào)整，另一方面能夠確保對新技術(shù)、新風(fēng)險(xiǎn)、新要求的及時(shí)應(yīng)對。

3 結(jié)束語

數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時(shí)代的核心生產(chǎn)要素，已成為經(jīng)濟(jì)社會發(fā)展的新動能。發(fā)展數(shù)字經(jīng)濟(jì)、加快培育發(fā)展數(shù)據(jù)要素市場，必須把保障數(shù)據(jù)安全放在突出位置，要著力解決數(shù)據(jù)安全領(lǐng)域的突出問題，有效提升數(shù)據(jù)安全治理能力。針對數(shù)據(jù)安全治理能力的建設(shè)成效評價(jià)問題，本文從評估項(xiàng)、評估維度、評估等級出發(fā)構(gòu)建評估框架，通過準(zhǔn)確度量數(shù)據(jù)安全治理能力現(xiàn)狀，提煉關(guān)鍵問題，分析當(dāng)前差距，規(guī)劃后續(xù)改進(jìn)方向，以推動行業(yè)數(shù)據(jù)安全治理能力水平的提升。