張 輝

（衡水開放大學(xué)， 河北 衡水 053000）

在數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)是企事業(yè)單位的核心資產(chǎn)。隨著網(wǎng)絡(luò)的大規(guī)模發(fā)展和各種應(yīng)用的深入使用，數(shù)據(jù)泄密事件層出不窮，根據(jù)Risk Based Security發(fā)布的數(shù)據(jù)泄露報(bào)告，與2019年同期相比，2020年數(shù)據(jù)泄露事件發(fā)生的數(shù)量和泄漏的數(shù)據(jù)量均增加了50%以上，涉及的行業(yè)包括醫(yī)療保健行業(yè)、金融保險行業(yè)、教育行業(yè)、快遞行業(yè)等諸多領(lǐng)域；另有用戶發(fā)現(xiàn)5.38億條微博用戶信息在暗網(wǎng)出售，這些泄密大都以用戶身份信息和賬戶信息為主，甚至包括人臉識別數(shù)據(jù)。由此可見，隨著網(wǎng)絡(luò)技術(shù)的不斷應(yīng)用，數(shù)據(jù)安全防護(hù)所面臨的風(fēng)險相比以前也發(fā)生了根本性的變化。[1]

為了保護(hù)和合理利用數(shù)據(jù)，各國紛紛出臺了一系列政策和措施。2018年，歐盟出臺了《通用數(shù)據(jù)保護(hù)條例》，先后給Google、Facebook等諸多企業(yè)開出了天價罰單，被稱為史上最嚴(yán)監(jiān)管條例；2021年6月10日我國正式頒布《數(shù)據(jù)安全法》，作為企業(yè)來給用戶提供更便捷的服務(wù)，在搜集大量的用戶信息后，由于各種原因?qū)е聰?shù)據(jù)泄露，不僅面臨巨大的經(jīng)濟(jì)損失，嚴(yán)重的還要承擔(dān)相應(yīng)法律責(zé)任。[2]

國家相繼出臺的法律文件和各種處罰措施，為網(wǎng)絡(luò)安全、數(shù)據(jù)安全工作的開展畫定了紅線，同時也給我們的工作提供了方向上的指引。為了保護(hù)數(shù)據(jù)安全，避免信息泄露和信息濫用帶來的損失，在企業(yè)內(nèi)部，我們有必要建立一套合法合規(guī)的數(shù)據(jù)安全管理體系。例如，在《網(wǎng)絡(luò)安全法》中要求企業(yè)明確誰來擔(dān)當(dāng)主體安全責(zé)任？誰來履行企業(yè)安全義務(wù)？哪些人對安全違規(guī)事件負(fù)責(zé)？在《數(shù)據(jù)安全法》中則明確主管部門在落實(shí)安全監(jiān)管職責(zé)時有權(quán)利對組織、個人處理數(shù)據(jù)活動中存在較大數(shù)據(jù)安全風(fēng)險的進(jìn)行約談，并要求其做出整改，對有重大數(shù)據(jù)泄露并危害國家安全的行為依法追究刑事責(zé)任。我們要探討的正是一個基于安全責(zé)任及量化考核的數(shù)據(jù)安全建設(shè)思路。

一、企業(yè)數(shù)據(jù)安全現(xiàn)狀分析

在過去的幾十年間，信息化的發(fā)展逐步把企業(yè)的業(yè)務(wù)流程系統(tǒng)化、資產(chǎn)數(shù)字化。時至今日，隨著信息化的發(fā)展，網(wǎng)絡(luò)安全問題也愈演愈烈，數(shù)據(jù)資產(chǎn)的價值越來越高，數(shù)據(jù)安全問題也隨之影響到企業(yè)的生存競爭力，影響到人們的生活甚至生命。因此，數(shù)據(jù)安全建設(shè)工作勢在必行。然而，很多企業(yè)普遍面臨著以下五方面的問題。

1.梳理企業(yè)擁有的數(shù)據(jù)資產(chǎn)

要進(jìn)行數(shù)據(jù)資產(chǎn)的梳理，至少明確以下五個問題：（1）企業(yè)擁有哪些重要數(shù)據(jù)和隱私數(shù)據(jù)？（2）這些數(shù)據(jù)到底有多重要？（3）這些數(shù)據(jù)分布在哪？（4）這些數(shù)據(jù)歸誰所有，誰在使用？誰是數(shù)據(jù)責(zé)任人？（5）與誰共享這些數(shù)據(jù)？是否應(yīng)該共享，該如何共享？

2.確定數(shù)據(jù)安全建設(shè)的目標(biāo)

數(shù)據(jù)安全工作的目標(biāo)由誰來確定？如何確定？在這里，有以下四點(diǎn)建議：（1）數(shù)據(jù)安全整體目標(biāo)應(yīng)該與公司戰(zhàn)略目標(biāo)一致；（2）除了在組織層面建立總體目標(biāo)以外，還要在相關(guān)的職能和各個層次上都要建立數(shù)據(jù)安全目標(biāo)；（3）盡可能地去量化這個目標(biāo)，以便后期進(jìn)行測量和評價；（4）最終目標(biāo)應(yīng)形成文件化資料，并定期評審。

3.把握數(shù)據(jù)安全建設(shè)工作的方向

數(shù)據(jù)安全建設(shè)首先要滿足國家政策、法律法規(guī)以及行業(yè)合規(guī)監(jiān)管的要求，這便是數(shù)據(jù)安全建設(shè)的外部驅(qū)動力；同時，應(yīng)著眼于企業(yè)內(nèi)部高管層、業(yè)務(wù)層的視角，想之所想，思其所思，確保數(shù)據(jù)安全建設(shè)的工作方向與管理層的意志一致，與業(yè)務(wù)層的需求相融合，這便是數(shù)據(jù)安全建設(shè)的內(nèi)部驅(qū)動力。

4.掌控?cái)?shù)據(jù)安全政策推進(jìn)的深度

對于企業(yè)內(nèi)部多樣化的業(yè)務(wù)環(huán)境、業(yè)務(wù)需求，數(shù)據(jù)安全策略能否一概而論？能否一刀切？顯然不能，因?yàn)樗姆种C(jī)構(gòu)、分公司、子公司，有參股、控股也有全資的，這種“親子”關(guān)系的差異就決定了集團(tuán)的數(shù)據(jù)安全策略在每一個分、子公司落地時產(chǎn)生差異是必然的，一刀切的后果就是要么策略要求太高，在分、子公司推動時“水土不服”，阻力太大無法落地；要么就是策略要求過于寬松，被各分、子公司欣然接收，但是達(dá)不到應(yīng)有的數(shù)據(jù)安全保護(hù)級別。所以，對于業(yè)務(wù)類型多樣化、業(yè)務(wù)模式復(fù)雜化的大企業(yè)來說，就需要制定一個針對各分、子公司的差異化的、分等級的數(shù)據(jù)安全策略。

5.任命數(shù)據(jù)安全官

對于大多數(shù)企業(yè)來說，領(lǐng)導(dǎo)層仍然沒有把數(shù)據(jù)安全當(dāng)作他們的首要任務(wù)。密碼仍未加密存儲，敏感文件仍未加密發(fā)送，敏感數(shù)據(jù)仍然存儲在公共服務(wù)器上。除非公司董事會成員定期討論數(shù)據(jù)安全問題，否則就不夠重視它。因此，每個大型公司都應(yīng)該聘請一位專門負(fù)責(zé)數(shù)據(jù)安全的C級高管暨首席數(shù)據(jù)安全官(CSO)，不僅負(fù)責(zé)公司整體的數(shù)據(jù)安全分析，還負(fù)責(zé)與數(shù)據(jù)相關(guān)的任何事情。[3]

CSO在公司領(lǐng)導(dǎo)層中扮演一個重要的角色，他會時刻考慮如何應(yīng)對持續(xù)的威脅，如何減少公司IT系統(tǒng)遭受（大規(guī)模）網(wǎng)絡(luò)攻擊的風(fēng)險，他的工作重心在于預(yù)防、發(fā)現(xiàn)和應(yīng)對數(shù)據(jù)泄露，這需要所有部門的參與。從2021年開始CSO的人數(shù)正在上升，近三分之二的大公司開始著手聘請CSO，雖然這有粉飾門面的可能，但是CSO將在未來的公司發(fā)展中起到至關(guān)重要的作用。

二、業(yè)務(wù)系統(tǒng)流程分析

1.勾畫實(shí)際運(yùn)轉(zhuǎn)的業(yè)務(wù)系統(tǒng)流程圖

對數(shù)據(jù)實(shí)施全生命周期的保護(hù)離不開業(yè)務(wù)流程的梳理，建議從如下四項(xiàng)工作梳理業(yè)務(wù)系統(tǒng)關(guān)系：（1）在業(yè)務(wù)流程圖中劃分安全域；（2）能聯(lián)合將流程細(xì)節(jié)講透徹的人在哪；（3）業(yè)務(wù)流程中利益相關(guān)人有哪些；（4）業(yè)務(wù)流程中出過的事故、事件細(xì)節(jié)如何。

2.明晰的業(yè)務(wù)系統(tǒng)流程分析

當(dāng)前形勢是，數(shù)據(jù)責(zé)任人不明確，數(shù)據(jù)使用要求和保護(hù)需求不清晰；需要對數(shù)據(jù)實(shí)施全生命周期的保護(hù)，但隨著我們業(yè)務(wù)流程的復(fù)雜化、分工精細(xì)化，想找一個人把整個業(yè)務(wù)流程說清楚很困難；公司的數(shù)據(jù)資產(chǎn)價值越來越高，卻不知如何對它進(jìn)行妥當(dāng)?shù)谋Ｗo(hù)。因此，首先要了解需要保護(hù)的數(shù)據(jù)資產(chǎn)是什么，數(shù)據(jù)分布在什么環(huán)節(jié)，這些數(shù)據(jù)歸誰所有，誰在使用等。梳理清楚這些問題，我們才能進(jìn)行有效的數(shù)據(jù)安全治理和監(jiān)控。

3.對數(shù)據(jù)流風(fēng)險點(diǎn)進(jìn)行分析

CSO要充分發(fā)揮角色功能，全面把握風(fēng)險點(diǎn)的存在。（1）是否把握實(shí)際運(yùn)轉(zhuǎn)的網(wǎng)絡(luò)流程圖細(xì)節(jié)；（2）是否把握實(shí)際運(yùn)轉(zhuǎn)的數(shù)據(jù)流程圖細(xì)節(jié)；（3）數(shù)據(jù)流程圖中的風(fēng)險點(diǎn)有哪些；（4）風(fēng)險點(diǎn)控制能施加多少種措施；（5）風(fēng)險點(diǎn)控制已經(jīng)施加了多少種措施。另外，企業(yè)數(shù)據(jù)業(yè)務(wù)流程出過什么樣的事故，取決于對流程圖中每個環(huán)節(jié)風(fēng)險點(diǎn)的把握和風(fēng)險控制措施。比如，某車險將到期，一個多月前就有保險公司打電話轟炸，可是等某一天續(xù)保后馬上就沒有銷售電話了，這足以表明數(shù)據(jù)泄露之快，車險數(shù)據(jù)的保密性得不到保證。

4.對數(shù)據(jù)分類、分級、分權(quán)操作

（1）業(yè)務(wù)系統(tǒng)中有哪些種類的數(shù)據(jù)；（2）業(yè)務(wù)系統(tǒng)總數(shù)據(jù)所有者分別是誰；（3）每種數(shù)據(jù)的生命周期節(jié)點(diǎn)是否缺少安全控制；（4）業(yè)務(wù)系統(tǒng)數(shù)據(jù)分別屬于哪個安全級別。

5.業(yè)務(wù)系統(tǒng)數(shù)據(jù)中賬戶擁有的具體權(quán)限分析

數(shù)據(jù)有哪些類別，分類、分級、分權(quán)，保護(hù)到什么程度，就權(quán)限而言，每個人應(yīng)當(dāng)如何進(jìn)行職責(zé)分離，如何把權(quán)限劃分開，如何把管理人員調(diào)離崗位后的權(quán)限收回，針對這些問題就要對數(shù)據(jù)進(jìn)行全面定義，由數(shù)據(jù)所有者來完成此項(xiàng)操作。

6.對數(shù)據(jù)異常規(guī)則進(jìn)行分析

（1）業(yè)務(wù)中都有哪些違規(guī)違法或者異常事件；（2）業(yè)務(wù)安全事件發(fā)生時有什么樣的特征；（3）根據(jù)安全事件提煉的異常規(guī)則有哪些；（4）具體崗位如何進(jìn)行異常規(guī)則的監(jiān)控落地；（5）應(yīng)用系統(tǒng)如何設(shè)置埋點(diǎn)監(jiān)控異常。比如高校畢業(yè)證的數(shù)據(jù)信息，如果黑客對數(shù)據(jù)庫中兩條相鄰記錄操作造成非關(guān)鍵字段相同，通過數(shù)據(jù)異常規(guī)則分析，就能將判斷數(shù)據(jù)出現(xiàn)安全問題的概率大大提高。

三、數(shù)據(jù)安全治理與監(jiān)控

1.責(zé)任矩陣梳理確認(rèn)

（1）法律法規(guī)與客戶要求導(dǎo)出的企業(yè)責(zé)任有哪些；（2）外部責(zé)任引發(fā)的法律義務(wù)和經(jīng)濟(jì)處罰有哪些；（3）外部源動力是否能百分之百傳導(dǎo)至企業(yè)內(nèi)部各個節(jié)點(diǎn)；（4）高層的鍋如何變中層的碗，中層的碗又變員工的杯；（5）是否建立了部門級與崗位級責(zé)任矩陣。

2.數(shù)據(jù)法律責(zé)任簽署

（1）是否明確數(shù)據(jù)安全責(zé)任界面劃分；（2）是否根據(jù)業(yè)務(wù)現(xiàn)狀分析了數(shù)據(jù)安全法律責(zé)任；（3）是否結(jié)合法律法規(guī)明確了部門和崗位的法律責(zé)任；（4）是否進(jìn)行法律責(zé)任宣貫并簽署個人的法律責(zé)任書；（5）是否將法律責(zé)任書細(xì)化到工作流程中。

崗位意識和責(zé)任是業(yè)績的一部分，要做到量化考核，有必要建立一套合適的管理方法。按照某一標(biāo)準(zhǔn)針對不同的單位和部門進(jìn)行考核的一刀切的管理方式是不可取的，應(yīng)該按照不同級別和不同需求，要求各部門主動申報(bào)屬于哪個安全級別，比如一、二、三、四級，然后按照級別進(jìn)行檢查；如果該部門對自己報(bào)送的安全級別過低，檢查時就會暴露問題，相應(yīng)地就會縮減部門的預(yù)算或者相關(guān)績效的發(fā)放，那各部門就會爭先恐后的提高自己的安全級別，這就變成了數(shù)據(jù)安全工作源動力。

3.數(shù)據(jù)預(yù)警指標(biāo)體系

（1）哪些指標(biāo)能夠反映數(shù)據(jù)安全態(tài)勢；（2）是否將重要指標(biāo)設(shè)置監(jiān)控措施并實(shí)現(xiàn)預(yù)警；（3）是否實(shí)現(xiàn)預(yù)警指標(biāo)根據(jù)安全事件映射了對應(yīng)關(guān)系；（4）是否建立了預(yù)警指標(biāo)體系對應(yīng)的應(yīng)急預(yù)案；（5）是否對預(yù)警指標(biāo)體系應(yīng)急預(yù)案進(jìn)行了演練。

數(shù)據(jù)預(yù)警指標(biāo)體系，前面我們提到知曉了風(fēng)險點(diǎn)在哪里，明晰了異常規(guī)則是什么，就可以借力埋點(diǎn)進(jìn)行數(shù)據(jù)異常預(yù)警；很多預(yù)警都是借助外部的安全設(shè)備，比如防火墻、行為監(jiān)控等各種安全設(shè)備，但還是沒有徹底解決問題，于是我們要做內(nèi)嵌式網(wǎng)絡(luò)安全，把安全做在應(yīng)用系統(tǒng)里面，設(shè)置一些埋點(diǎn)；比如QQ異地登錄，這便是埋點(diǎn)，很多應(yīng)用程序都可以設(shè)置埋點(diǎn)，一旦發(fā)現(xiàn)埋點(diǎn)被觸發(fā)，我們就知道數(shù)據(jù)出問題了。因此我們需要建立數(shù)據(jù)預(yù)警體系，多個埋點(diǎn)就形成了監(jiān)控指標(biāo)，這些指標(biāo)的變化就能幫助我們監(jiān)控?cái)?shù)據(jù)安全。

4.分級分權(quán)量化考核

（1）是否建立了自上而下的安全管理機(jī)制；（2）是否在企業(yè)內(nèi)部建立自主定級按需保護(hù)體系；（3）各部門各分支機(jī)構(gòu)是否按需申報(bào)安全建設(shè)等級；（4）是否周期性按申報(bào)級別開展各部門審查；（5）在業(yè)績匯報(bào)會上是否實(shí)現(xiàn)安全業(yè)績與業(yè)務(wù)業(yè)績掛鉤。

以業(yè)績?yōu)閷?dǎo)向，通過劃分組織、量化分權(quán)、權(quán)力下沉，建立科學(xué)、規(guī)范的分級分權(quán)量化考核體系，充分挖掘和發(fā)揮各層級對數(shù)據(jù)安全體系的認(rèn)知水平和管理機(jī)制，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)安全管理方面的突破和精進(jìn)。

5.安全水平螺旋上升

（1）是否將安全水平的變化趨勢匯報(bào)給高層；（2）是否建立優(yōu)秀的安全貢獻(xiàn)者獎勵計(jì)劃；（3）針對違規(guī)者是否采用適合本地文化的懲罰；（4）是否建立可全面推廣的安全流程最佳實(shí)踐；（5）是否建立詳細(xì)的安全事件檔案庫。

從早期的水平管理、上下級管理，發(fā)展到如今倡導(dǎo)的斜向管理，企業(yè)的發(fā)展也要求數(shù)據(jù)安全形成一條柵格形狀和周期性審查機(jī)制，這樣就能實(shí)現(xiàn)與業(yè)績掛鉤，因此，數(shù)據(jù)安全建設(shè)一定是螺旋式上升的。[4]

另外，企業(yè)需要培養(yǎng)優(yōu)秀的數(shù)據(jù)安全工作者，以及本地化的企業(yè)文化，逐步建立起數(shù)據(jù)安全事件庫。數(shù)據(jù)安全事件庫反映著各個部門、業(yè)務(wù)、人員相關(guān)聯(lián)的特點(diǎn)，而實(shí)際上，很多企業(yè)沒有將數(shù)據(jù)安全事件統(tǒng)計(jì)出來形成數(shù)據(jù)庫并存放。假設(shè)某專職數(shù)據(jù)安全員，經(jīng)過一段時間處理針對性的安全事件后，提升了自身能力水平，跳槽到別家公司，先期沒有對安全事件做統(tǒng)計(jì)整理，那么該崗位的繼任者將繼續(xù)面對類似的安全事件發(fā)生，若公司有數(shù)據(jù)安全事件庫建立的流程并得到真正落實(shí)，那以后的安全事故就會越來越少，這樣就形成了內(nèi)部管理、外部監(jiān)控的良性局面。

四、結(jié)語

2021年我國頒布的《數(shù)據(jù)安全法》明確了國家數(shù)據(jù)安全管理機(jī)制和三個層級構(gòu)成，對實(shí)現(xiàn)規(guī)范數(shù)據(jù)管理活動、保障數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)開發(fā)利用等起到了指導(dǎo)性作用，建立健全數(shù)據(jù)安全制度、建立數(shù)據(jù)分級分類保護(hù)制度和數(shù)據(jù)安全審查制度，形成數(shù)據(jù)安全風(fēng)險評估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制，建立數(shù)據(jù)安全應(yīng)急處置機(jī)制；對企業(yè)提出明確要求，增強(qiáng)企業(yè)內(nèi)外數(shù)據(jù)管理，針對數(shù)據(jù)的重要程度、敏感程度對數(shù)據(jù)進(jìn)行分級分類，并采取不同級別不同程度的保護(hù)措施，加強(qiáng)數(shù)據(jù)安全應(yīng)急處置，消除安全隱患，否則將可能同時面臨較大經(jīng)濟(jì)賠償和嚴(yán)重的行政處罰；我國電子商務(wù)發(fā)展迅速，新時代大型電商企業(yè)在運(yùn)營過程中，更要注重?cái)?shù)據(jù)安全的建設(shè)，保護(hù)好網(wǎng)絡(luò)數(shù)據(jù)，防范個人數(shù)據(jù)和個人隱私的泄露，否則將會面臨生死存亡的危機(jī)。

由此可見，我國數(shù)據(jù)安全領(lǐng)域仍舊任重道遠(yuǎn)，只有通過有效的技術(shù)手段和相關(guān)政策法規(guī)的完美結(jié)合，才能從根本上解決數(shù)據(jù)安全與數(shù)據(jù)泄露的保護(hù)問題。當(dāng)然，安全也不是絕對的，在進(jìn)攻和防守永不停歇的安全領(lǐng)域，只有不斷地進(jìn)行管理提升和技術(shù)創(chuàng)新，才能有效保障數(shù)據(jù)的安全。