《数据安全实践指南》- 通用安全实践-数据安全策略规划

数据安全策略规划

• 数据安全本身不可能脱离安全体系而独立存在，因此数据安全的建设将会借助大量通用安全技术的辅助。
• 数据安全建设与传统网络安全建设类似，两者均不能仅依赖于安全技术手段，以及相关人员都需要意识到数据安全与数据保护并不只是某个安全或科技部门的事，而是组织机构管理层及所有部门的事。

建立负责数据安全策略规划的职能部门

• 数据安全策略往往会与数据安全生命周期强耦合，绝大部分数据安全策略实际上已经包含在了数据安全生命周期的各项制度流程中，因此数据安全策略岗位的专职人员其工作重点是对整体流程进行管控，以确保数据安全生命周期各阶段的制度流程符合组织整体的预期目标，遵循组织数据战略规划的数据安全总体策略，明确组织数据安全方针、目标和原则。数据安全策略岗位的工作人员既可以是独立的专职管理人员，也可以是上述其他环节流程的制度负责人，通过相应的制度声明来承担该专职工作，一般而言，由制度负责人对该环节进行把控将更有益于工作的开展。

明确数据安全策略规划岗位的能力要求

• 数据安全策略岗位的执业人员，需要具备以下3项能力：
  • 了解组织的业务，能够将组织的商业目标和业务技术发展方向等整合起来，并基于自身经验深入理解组织数据安全策略规划，并在此基础上定制与组织目标深度结合的数据安全总体策略和对应的中长期策略规划，以及更具针对性和可执行性的数据安全策略规划。
  • 具有一定的安全管理背景和制度撰写能力，能够针对数据安全策略规划，将数据安全总体策略和对应的中长期战略战术与组织目标有机结合，并基于管理视角确定其可行性和持续性，因此数据安全策略岗位的执业人员需要具备一定的安全管理专业知识，诸如ISACA的CRISC和CISA等相关认证所介绍的方法论就对此类安全管理和规划输出具备一定的借鉴参考作用。同时，数据安全策略岗位的执业人员还需要具备一定的文档输出和制度撰写能力，以便制度文件可以无偏差、无歧义地落实和执行。
  • 了解各部门员工的工作重点，具备较强的沟通表达能力，能够根据制度宣贯受众差异，有针对性地进行制度解读，能够根据各受众的日常工作职责和关注重点，以易于其理解且便于实施的方式宣贯制度流程，能够通过培训等形式以较强的沟通表达能力，完成制度策略的宣传和贯彻执行。

数据安全策略规划岗位的建设及人员能力的评估方法

• 1.调研访谈
• 对数据安全策略规划部门管理人员的访谈内容：
• 确认其是否了解组织的业务发展目标，是否能够将数据安全工作的目标和业务发展的目标进行有机结合，是否具备足够的能力胜任该职业，确认公司是否能够为其工作提供足够的资源支持，确认其所制定的数据安全策略和方案是否能够有效地落实与执行。
• 对数据安全策略规划部门业务人员的访谈内容：
• 确认其在真实的业务场景下是否能够定制出更有针对性和可执行性的数据安全策略规划，以及该策略是否能够得到切实有效地执行。
• 2.问卷调查
• 数据安全策略规划阶段的问卷调查通常是以纸面问卷的形式，调研数据安全策略规划部门管理人员在制定数据安全策略规划业务上的合理性，是否能够以员工和利益相关方易于理解的方式，有效传达数据安全管理的方针、策略和制度等相关内容。
• 3.流程观察
• 以中立的视角观察公司数据安全策略规划团队人员的工作执行情况，包括为公司制定的各类数据安全策略，各业务部门在实际运作中是否能够真正贯彻和使用，是否存在跳过或规避流程等问题，从而了解数据安全策略规划人员实际的工作效果。
• 4.技术检测
• 数据安全策略规划阶段的技术检测，需要使用技术工具确认实际业务数据的处理是否符合制度规范的要求，是否存在数据错误或伪造等情况，制度规范的实际执行覆盖范围是否全面，是否存在因业务人员自行更改规范而导致其失效的情况等。

明确数据安全策略规划的目的

• 基于业务发展的需要，组织机构应对当前所面临的数据安全风险现状进行梳理，并制定整体的业务发展规划，各部门的高管均应参与讨论和制定。如前所述，数据安全工作并不只是某个业务或部门单方面的事情，而是需要整个组织机构内所有的部门都参与进来，要平衡数据安全工作与业务发展的冲突，自上而下地推动，才能保证安全工作落到实处并产生效果。

制定数据安全方针政策与管理目标

• 数据安全方针政策，是对组织级数据安全进行管理的基本原则和实施方法，可以结合数据安全总纲从目标、原则、监管合规、数据安全生命周期、数据资产和分类分级定义，以及相关违规处罚等方面进行描述。
• 数据安全管理策略是顶层的策略，需要从组织级层面通盘考虑，所以需要各部门高管参与进来共同制定。因为策略的制定既不能对当前业务的发展产生严重影响，也要考虑到业务长远发展的需要，所以需要组织高层共同讨论商定以达到合理的平衡性。

确立数据安全的基本原则

• 数据安全应遵循下面8大基本原则。

原则1：职责明确原则。
1）基于数据的规模、重要性和组织的规模等方面的因素，组织机构应成立安全管理团队，负责组织数据的使用安全。
2）组织机构应明确组织内部不同角色的数据安全管理职责。
3）组织机构应明确大数据安全生命周期各阶段活动的实施主体及安全责任。
原则2：意图合规原则。
对数据的收集和使用需要基于法律依据来进行。组织机构应制定相关的流程，以确保数据的收集和使用方式没有违反任何具有法律意义的规定，包括法律法规、合同条款等。组织机构应确保履行需要承担的内部和外部责任，包括但不限于如下要求。
1）确保所有数据集和数据流的安全。
2）能够正确处理个人信息和重要信息。
3）实施了合理的跨组织数据保留的策略和实践。
4）理解数据相关的法律义务，并确保组织履行了这些义务。
原则3：质量保障原则。
为保障数据的质量，组织机构应满足如下要求。
1）实施适当的措施，以确保数据的准确性、相关性、完整性和时效性。
2）建立控制机制，定期检查收集和存储的数据的质量。
原则4：数据最小化原则。
组织应采取适当的措施，使大数据安全生命周期内各活动所涉及的数据遵循“最小够用”原则。
原则5：责任不随数据转移原则。
1）当前控制数据的组织应对数据负责，当数据需要转移给其他组织时，责任不能随数据转移而转移。
2）组织在进行数据转移之前，需要对数据进行风险评估，只有在确保能够承受数据转移带来的风险后，才可以转移数据，并对数据转移给其他组织所造成的数据安全事件承担安全责任。
3）组织在进行数据转移之前，需要确保通过合同或其他诸如强制的内部策略等法律手段来明确界定接收方接收的数据范围和数据保护要求，确保接受方能够提供同等或更高的数据保护能力。
原则6：最小授权原则。
1）在保证业务功能完整实现的基础上，组织机构应赋予数据活动中各角色最小的操作权限，确保将非法用户或异常操作所造成的损失降到最小。
2）所有角色只能使用所授权范围内的数据，非授权范围内的数据使用必须通过授权审批。
原则7：数据保护原则。
1）组织机构需要对数据进行分类分级操作，对不同安全级别的数据应实施合理的安全保护措施。
2）组织机构应确保大数据处理平台及应用的安全控制措施和策略有效，保护数据的完整性、保密性和可用性，确保数据在整个生命周期里，免遭诸如未授权访问、破坏、篡改、泄露或丢失等风险的威胁。
3）组织机构应解决风险评估和安全检查中所发现的风险和脆弱性问题，并对数据安全防护措施不当所造成的安全事件承担责任。
原则8：可审计原则
对数据进行修改、查询、导出、删除等操作时，组织机构需要记录相应的操作，记录应保证可追溯、可审查。
 
 

监管合规：数据源合规

• 针对数据源合规方面的要求，组织机构应注意以下几个方面的问题：
  • 1）识别企业数据的来源渠道，判断数据的来源属于以下哪种情况：主动收集，用户主动提供，第三方采购，或者通过数据爬虫技术抓取等方式从公开渠道获取等。
  • 2）识别数据类型，判断其中是否包括个人信息，重要数据及其他受监管的特定行业数据。
  • 3）根据不同的数据来源渠道与数据类型识别合规风险，调整相应的业务模式及授权条款，以保障数据来源的合法性，从而降低合规风险。
• 需要直接收集个人信息的情况，应当在收集之前明示个人信息收集使用的具体规则、获取个人信息主体的授权同意、按照法律法规及与用户之间的约定收集和存储个人信息，涉及个人信息的数据，应当落实安全评估及申报工作等。
• 从第三方采购数据的情况，应审核引入的数据类型及数据量的必要性，在数据采购协议中要求数据供应商作出数据来源合法合规的承诺与保证，同时在企业内部落实《供应商数据保护合规管理制度》。坚守不得非法获取公民个人信息的法律红线。
• 通过爬虫技术收集数据的情况，应遵守网站的Robots协议及适用的技术协议，遵守“用户授权平台+平台授权采集方+用户授权采集方”的“三重授权原则”。同时建议明确数据爬取前的内部审核机制及爬取后的数据处理机制，避免侵犯公民个人信息或非法获取计算机信息系统数据，或者侵犯第三方权益或构成不正当竞争等问题。

监管合规：数据使用合规

• 针对数据使用合规方面的要求，组织机构应注意以下几个方面的问题：
  • 应当对数据采取合理的分类分级管理制度，并根据相应的管理制度留存数据处理记录。
  • 遵循合法、正当、必要的原则，使用个人信息的目的、方式和范围不得超出个人信息主体授权同意的范围。
  • 对于需要进行数据融合的需求，融合后的使用目的不应超出原有授权范围，否则应重新获得用户或数据上游合作企业的授权同意，以避免被认定为超授权范围违法使用个人信息，或者引发潜在的违约责任。
  • 对于要将个人信息用于个性推送或精准营销的情况，应获得接收方的明示同意，避免采取“一揽子授权”的概括授权获取方式，同时提供退订渠道。
  • 对照《信息安全技术　个人信息安全规范》等行业规范完善各产品线的个人信息使用规则，涉及使用和处理儿童个人信息的，还应当遵循《儿童个人信息网络保护规定》《教育部等八部门关于引导规范教育移动互联网应用有序健康发展的意见》等相关法律法规对应落实特定类别的数据合规策略。

监管合规：数据共享合规

• 大数据时代，可谓是“得数据者得天下”，因而数据共享合规成为了组织监管合规的一项重点要素。针对数据共享合规方面的要求，组织机构应注意以下几个方面的问题。
  • 对于共享个人信息的业务场景，未经个人信息主体同意，原则上不得向他人提供用户个人信息，经处理无法识别特定个人信息且不能复原的除外。
  • 对照《信息安全技术　个人信息安全规范》等行业规范，在共享个人信息之前事先开展个人信息安全影响评估；向个人信息主体告知共享个人信息的目的、数据接收方的类型，并征得个人信息主体的授权同意；准确记录和保存个人信息的共享情况；帮助个人信息主体了解数据接收方对个人信息的保存和使用等情况，以及个人信息主体的权利。
  • 共享除个人信息之外的其他类型数据时，应当同时识别该共享行为所产生的风险，同时对于数据下游合作企业的数据安全能力采取一定的审核和管控措施。
  • 对于数据融合的场景，应审核拟融合数据源的合法合规性，明确授权使用的范围，并评估融合的必要性及关联性。同时，企业还应当明确其在数据融合过程中的控制者或处理者角色，通过明确具体的合同条款、安全风险评估及定期审计等方式降低合规的风险。

第三方委托处理合规

• 在组织数据的流动过程中，第三方委托处理一直是数据安全的一大隐患。当组织数据在共享或业务流动过程中流向第三方委托处理时，往往意味着数据管控力的减弱，因而就会出现各类第三方数据滥用所导致的数据安全问题，如Facebook与第三方分析公司剑桥分析之间轰轰烈烈的“脸书数据门”事件就是一个比较典型的第三方委托处理违规事件。
• 为避免因第三方委托处理而导致的违规行为，组织机构在第三方委托处理合规方面，应注意以下内容。
  • 委托第三方进行个人信息处理的，应遵守《中华人民共和国网络安全法》第四十一条规定的基本原则，确保第三方委托处理行为未超过个人信息主体授权同意的范围。
  • 对照《信息安全技术　个人信息安全规范》开展个人信息安全影响评估，确保处理者具备足够的数据安全处理能力。
  • 与处理者订立数据处理协议，以厘清双方在数据保护及合规处理方面的责任和义务。
  • 针对企业重点业务，对第三方采取一定的管控措施，落实合作前的数据安全能力调研和安全风险评估工作，合作中进行定期核查，合作终妥善处理数据删除或匿名化等后续工作。
  • 除上述要求之外，组织机构还应持续关注我国数据安全保护领域的立法动向和标准制定情况，例如，《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律法规的制定，以及《信息安全技术　个人信息告知同意指南》等国家标准的制定。
  • 业务涉及数据跨境传输或跨境处理的，组织机构还应关注适用境外法律的合规情形，例如，欧盟的《通用数据保护条例》（General Data Protection Regulation，“GDPR”）、英国的《数据保护法案》（Data Protection Act）、美国的《儿童在线隐私保护法》（Children's Online Privacy Protection Act，“COPPA”）《加州消费者隐私法案》（“CCPA”）的合规要求。组织机构应持续关注国内外立法与执法动向，并合理评估及管理日益加强的数据合规监管对业务产生的影响。

数据资产管理

• 对于数据资产的定义，目前普遍接受的概念是指由企业拥有或控制的，未来能够为组织带来经济利益的，以物理或电子的方式记录的数据资源，如文件资料和电子数据等。在组织中，并非所有的数据都能构成数据资产，数据资产是指能够为企业产生价值的数据资源。数据安全制度流程中应明确划分数据资产的范畴，并根据该范畴规划数据资产的管理。
• 从技术的角度分析数据资产的管理，具体如下步骤：
  • 数据资产发现：根据数据资产的定义，组织机构首先需要对数据进行归类，识别出其中经济价值符合数字资产概念的相关数据资料，并将其归类为数据资产。
  • 数据资产分类分级：根据已识别的数据资产，依据组织数据分类分级标准，对数据资产进行分类分级划分。
  • 数据资产的分类管理和保护：依据相关数据资产被定义的等级和分类，根据数据生命周期各环节的对应要求，对相关的数据资产按级别和分类进行相关的保护和管理。
• 从制度的角度分析数据资产的管理，需要注意的事项如下：
  • 组织机构应按照数据安全生命周期制定整体的数据资产管理规章制度，并提供相关的审计和考核能力支持，以确认制度流程的实际执行情况。
  • 完善数据安全治理相关的制度要求，明确数据资产的定义及管理细则，确保组织内有明确的可参照规定，可以用于指导数据资产的管理。

数据分类分级和数据安全违规处分

• 组织机构内部应根据数据分类分级结果及上述制度政策，针对员工访问设置分级授权规则，同时还应当设置相应的员工奖惩制度，通过奖惩制度落实行为遵从，确保员工能够很好地遵从数据安全的制度和政策。

使用技术工具

• 数据安全策略规划相关技术工具的主要目标是向组织机构内全体员工发布策略规划的解读材料，以支持策略规划的落实和推进。基于该需求，目前常用的宣传渠道包含OA系统、企业内部门户、企业邮箱、企业内部群组等。

办公自动化系统（OA）

• 办公自动化（OA）系统是企业用来处理与管理除了生产控制之外一切信息集合的系统。办公自动化系统会对不同的使用对象提供不同的功能，具体说明如下。对于企业高层领导来说，办公自动化系统是决策支持系统（DSS），它能够运用科学的数学模型，结合企业内部或外部的信息，为企业领导的决策提供参考和依据；对于企业中层管理者来说，办公自动化系统是信息管理系统（IMS），它能够利用业务各环节提供的基础“数据”，提炼出有用的管理“信息”，把握业务进程，降低经营风险，提高经营效率；对于企业普通员工来说，办公自动化系统是事务和业务处理系统。办公自动化系统能够为企业各级人员提供良好的办公手段和环境，使之准确、高效、愉快地工作。

企业内部门户

• 业界认为企业门户就是一个连接企业内部和外部信息的网站，它可以为企业提供一个单一的访问企业各种信息资源的入口，企业的员工、客户、合作伙伴和供应商等都可以通过这个门户获得个性化的信息和服务。企业门户可以无缝地集成企业的内容、商务和社区：首先，通过企业门户，企业能够动态地发布存储在企业内部和外部的各种信息；其次，企业门户可以完成网上的交易；最后，企业门户还可以支持建立网上的虚拟社区，网站的用户可以在虚拟社区中相互讨论和交换信息。
• 门户技术是一门整合了企业信息内容、应用程序和生产力创作的协同工作场所的新兴技术。信息门户技术提供了个性化的信息集成平台和可扩展的框架，能够根据需要进行全方位的信息资源整合，使应用系统、数据内容、工作人员和业务流程实现互动。在办公自动化系统中，门户网站和门户系统是两种常见的表现形式，例如，根据企业需求建立的企业门户系统，运用不同技术建立的基于门户技术的电子办公系统，以及根据不同需要建立的门户网站等。
• 企业内部门户是专门基于企业内部信息共享、渠道互通所设计的内部门户网站或系统，其通过基于身份的访问控制技术将访问权限控制为仅企业内部员工可访问。企业内部门户可用于实现与OA系统类似的信息分发功能，可以实现向组织全体员工发布策略规划的解读材料，并保证信息传递的覆盖范围达到组织的要求。

企业邮箱

• 按照企业自有域名开通的邮箱格式为：username@企业域名。相较于个人邮箱，其功能更多，空间容量更大，能够大大提高企业邮箱的稳定性和高效性，反垃圾、反病毒的性能更强，邮件收发的速度更快。企业邮箱工具可以为组织机构内的员工设置电子邮箱，还可以根据需要设置不同的管理权限，以及支持部门成员之间或公司全体员工之间的群发功能
• 目前各组织机构为方便工作沟通与交流，统一管理集团公司的各种信息，提高信息安全度，提升企业品牌形象，往往会将企业邮箱作为统一信息宣发和实时沟通的渠道之一，因此通过企业邮箱向全体员工统一发送邮件，组织机构可以实现向全体员工发布策略规划的解读材料，并保证达到企业要求的信息传递覆盖范围。

企业内部群组

• 产业互联网大潮已至，人口红利消失，社会经济增长放缓，企业用工成本逐渐上升，在这样的大趋势背景下，传统运营管理模式已经难以跟上企业的发展步伐，数字化升级转型已成为企业的核心战略。在此背景下，钉钉、企业微信等一众企业群组应用应运而生。
• 对于中小型企业，企业群组应用所包含的第三方应用（如此类应用中的会议、报告、社区、关怀、投票、年会等），不仅加强了员工间的沟通与协同，还提升了企业文化建设、公告通知、知识管理等各方面的能力。
• 借助于企业内部群组的公告通知等功能，组织机构亦可实现对数据安全策略的全员分发学习需求，向组织机构内全体员工发布策略规划的解读材料，并保证达到所要求的信息传递覆盖范围。