数据安全技术落地经验浅谈和分类分级实施

从法律说起

**本人博客网站 **IT小神 www.itxiaoshen.com

数字化经济下企业做数据化转型进行数据开发利用往往是先将原来分散各部门各业务系统的数据(业务数据如互联网用户数据、企业内部数据如人力资源系统、研发生产数据如核心技术或专利等)集中到大数据仓库中,这个集中化数仓安全重要性就非常凸显了,原来如果某个部门业务系统数据发生篡改、破坏、泄露、非法获取、非法利用的安全事件影响的只是局部而现在则是整个企业数据资产层面,可见数据安全已经明确上升到国家安全、整个企业、组织或机构安全的最高层级。

随着即将到来个人信息保护法2021年11月1日开始正式执行,至此中国已集齐了《网络安全法》、《数据安全法》、《个人信息保护法》三大安全法律顶层设计并进入全方位实施阶段,三大法律并不是各自独立而是相互结合、相辅相成的,共同构成了中国数据安全的法律保障体系,成为推动我国数字经济持续健康发展的坚实“防火墙”,这也标志着数据安全法制时代正式来临;因此在数字化经济发展时代的企业、组织或机构需要改变传统的“重生产,轻安全”的思维模式,特别是经常踩着数据应用红灯线运营的企业就更加要注意了。

越来越多的律师事务所加大力度积极投身于数据安全律法,研究企业数据安全运营合规性,如果您的企业有专门的法务部门,那恭喜您了,法务部门能够深度结合法律顶层设计来逐步剖析并在合规合法的条件协助企业内部各部门进行数据开发利用;然而大多数的企业甚至是从事数据安全产品或服务的企业没有这样内部资源,国内从事数据安全方向的企业也大都是中小型企业偏多具有一定安全技术背景,不少也参与国家、地方、行业安全治理标准的构建。数据安全不是一朝一夕、一蹴而就完成的工作,而且需要长期动态长效性运营。从数据安全法第二章节也可以看出国家统筹数据安全和发展的决心,数据作为生产基本要素是必须要开发利用的,但国家也会有条不紊的推进数据安全律法的执行,当然律法初期执行阶段会有一些相对缓和的处罚,目的保障数据安全的条件下发展数据经济。

看数据安全行业布局

一般有数据安全的需求初期项目建设渠道包括数据安全咨询服务企业如四大咨询等、企业级安全大厂如奇安信等、数据安全治理和数据治理的专业企业等,但笔者认为还有不能忽视另外团体,那就是从事数据安全法律师,有监管则必有处罚,有处罚则必有轻重,这也会使从事数据安全案件的律师行业发展,因此笔者认为从事数据安全企业如能和律师行业联合是如虎添翼,即可以得到法律深层解读又可以接触更多有数据安全业务需求的客户,接下来我们基于《数据安全法》来分析探讨下几个当前从事数据安全企业的行业布局方向

  • 根据第一章第四条:维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力;第一章第十一条:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
    • 从以上两条可以看出不管是数据境内或者境外开发利用,国家肯定数据安全治理全局的发展方向,数据安全需要在数据全生命周期的整体上动态的治理,关注基于企业业务场景化的数据安全,包含数据安全组织架构、数据安全管理体系、数据安全技术体系、数据安全运营体系,因此从这个方向上数据安全治理企业依赖数据安全治理专业理论框架为基础,深入研究数据安全理论、DSG、外国数据安全理论及律法、标准,系统性全盘统筹数据安全,脚踏实地,包括进一步细化企业的数据安全咨询服务、数据安全实施服务、数据安全技术产品、数据安全运营服务,目前看国内有不少数据安全治理专业公司(笔者在之前文章已有提到国内数据安全治理公司名单)已经在这个方向有所深入了,当然数据安全治理是可以独立分开,没有做标准的数据治理前提下先做数据安全治理是可以的。
  • 根据第一章第六条:各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
    • 从本条可以看到不管是国家机关、组织机构、各行业企业进行数据开发利用都是有监管要求,这里着重点是监管要求,这种强制性和及时性要求促使从事数据安全企业布局方向侧重点之一是满足各行业监管的要求,根据各行业已发布或者即将发布的逐渐细化的数据安全考核评分标准或细则构建数据安全实施服务,根据每一阶段考核逐步实施,如目前政务数据数据安全试行阶段,各市、县、区政府大数据局需要接受省政府大数据局的监管要求,可能需要提供如数据安全管理制度、数据安全分类分级工作结果、数据安全自查报告等佐证材料,根据每项分数计入考核结果。目前阶段也可以看出部分行业还没有比较细的考核要求,通过试行阶段收集数据安全工作开展较好的案例用于后续数据安全建设指南,笔者相信随着顶层法律执行后,随着快速而来将会有更多地方和各行各业进一步细化的法律条款和标准,数据安全工作将从萌芽期快速进入发展期阶段,因此基于监管要求业务的数据安全企业战略方向部署得快马加鞭;部署数据安全合规性检查的流程引擎,数据安全合规性可以支持数据安全责任明确、灵活定制数据安全制度等审批流程、RABA数据权限最小粒度化、数据安全审计等功能。
  • 根据第一章第九条:国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。第二章第二十条:国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
    • 从以上两条可以看到国家在抓紧数据安全知识和意识传达,从这个基准点看可以布局于企业级数据安全培训机构方向,包含培训和数据安全管理人员专业证书认定,包含培训数据安全意识、数据安全法律、数据安全理论知识、数据安全管理总则、制度、规范流程建设指南、模板表单、数据科学、数据分析和数据挖掘、数据安全专业人员知识等。如果你的企业现在还没有数据安全的意识,那么得抓紧了,在当前信息化社会意识先行如行军打仗粮草先行的重要性,只有意识先跟上了数据安全落地实施也就不远了。
  • 根据第二章第十六条:国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
    • 从本条看国家大力提供数据安全技术研究和创新,比如目前有些数据安全技术研究企业研究零信任体系、可信计算、联邦学习隐私计算、区块链、IPFS数据安全技术应用等,不断探讨数据安全应用的技术落地的能性,数据安全治理是长期赛道,笔者也深度认为只有在数据安全有专业性、研究性、真正投入付出、掌握核心数据安全技术的企业才能屹立不倒笑到最后。
  • 根据第二章第十八条:国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
    • 从本条看国家号召专业机构建设数据安全检测评估、认证服务体系,也即是可以布局数据安全检测技术产品或服务方向以及数据安全资质认证评估机构,数据安全检测包括提供基于不同国家机关、行业的数据安全检测可视化数据安全态势感知和发现数据安全问题;数据安全资质认证评估如DSMM数据安全能力成熟度模型乃至国外能力成熟度模型等级认证,有效期后重新评估企业安全等级,特别是从事数据安全治理的企业最好能尽快资格认证,自身数据安全等级资质具备才能更好、更有信服力开展对外部企业的数据安全业务。
  • 根据第四章:第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。第四章第三十条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等
    • 从上面两条以及第三章数据安全制度中也较多强调从国家层面的数据安全风险评估、监测预警、应急处置。数据安全治理是长期性、迭代性的工作,数据流转是动态的,从这也可以看出数据安全治理运营工作必要性,基于数据安全运营服务的方向行业布局,专注于运营阶段数据安全治理,提供数据安全监督检查及评价能力、数据安全运营服务的管理体系能力、技术工具支撑能力、运营基础能力培训能力等;包括数据安全检查制度、数据安全自查报告、数据安全风险评估预测系统,数据安全问题或事件发生实时监测及预警系统、提前建立相应数据安全事件及问题应急处置流程和处理实施,基于数据安全问题或事件发生后智能化启动应急处置。
  • 第三章整篇幅都是数据安全制度,详细可查看数据安全法
    • 从整个第三篇中可以看出目前阶段行业布局数据安全咨询服务的紧迫性,绝大部分企业组织是没有数据安全治理基础理论,数据安全来临但不知道从哪里入手做到哪里。而数据安全咨询服务可以以咨询专家加教练身份进入企业,调研企业实际情况、分析企业数据安全现状给企业提供数据安全综合解决方案并协助企业将数据安全实施落地和结果反馈、迭代优化到预期的阶段性成果达成。

数据分类分级实施概述

如果你的企业、组织或机构想要做数据安全治理,不想花费昂贵的费用那可以跟着小编一起来学习、分享然后根据企业实际情况调整和实施,本篇主要探讨数据安全制度的数据分类分级基础工作

  • 首先在企业组织战略、高层次层面成立企业数据安全组织架构,成立一个自顶向下决策层-管理层-支持层和外加一个贯穿整个数据安全治理全程的监督审计监督层(有点类似企业项目管理QA智能)全方位数据安全团队,明确责任及定人定岗。很多人有疑问引入数据安全后企业操作流程繁琐工作量增大及成本明显增加,这就需要企业先权衡评数据安全投入和数据开发利用的价值对比,这就需要在合规合法前提下选择企业所关注进行投入,除了必要流程其他流程是可以适当简化的。后续有时间单独讨论咨询服务课题再详细剖析,详细参见数据安全治理白皮书。

image-20211024113133143

  • 其次建立数据安全管理体系,从数据安全总则、制度、指南、表单模板的四级文件,依据顶层数据安全总则纲要并逐层拆分和细化,如数据安全分类分级目标、数据安全分类分级制度、数据安全分类分级建设指南、数据安全分类工具表单模板等,后续有时间单独讨论咨询服务课题再详细剖析

image-20211024114040419

  • 数据分类分级

    • 数据调研

      • 与数据部门、业务部门、职能部门沟通了解数据范围、业务数据大体分布,人工收集机密数据、核心数据、重要数据、敏感数据或规则标识,是否有国家机密数据特别是针对政务公共数据。
      • 数据资产发现,可以借助行业数据资产发现工具或者人工、脚本实现都可以,形成数资产统计概况、全面盘点企业的数据资产
        • 数据资产发现工具可以发现已有数据格式的文件的结构化、半结构化、非结构化的数据
        • 有基于网络流量分析方法(网络旁路或串行都可以)和数据存储终端部署探针扫描方法(支持多操作系统如linux、mac、windows终端)
        • 形成数据资产概览和数据分布
      • 数据数据资产的发现对数据进行标准化,形成数据字典和数据资源目录
      • 明确数据范围和数据分类分级目标
    • 数据分类分级实施方案

      • 可以依据国家标准、地方标准、行业标准编制实施框架,如大数据 数据分类指南、行业数据分级指南,比如

      image-20211024130038338

      image-20211024130106281

      • 根据企业关注点和业务场景需求明确分类分级原则、选择分类视角、分类分级维度、分类分级方法
      • 制定数据分类分级初步结果评估、定期评估、审核、批准、变更维护工作流程或方法
    • 数据分类分级实施

      • 数据预处理工具

        • 将元数据等信息导入mysql数仓,如果数据量大可以到hive表大数据数仓中,对于数据需要做一些处理和加工、分析挖掘可以借助Python语言数据分析低成本和方便性,安装anaconda环境、使用pycharm IDE或者jupyter notebook编辑器,使用单机版python数据分析numpy(数值计算、支持大量的维度数组与矩阵运算,封装数学函数库和运算)、pandas(数据分析、数据挖掘,如处理表格数据)、matplotlib(Python 2D-绘图领域)和scikit-learn单机版机器学习内置常用机器学习算法如分类、回归、聚类、降维、模型选择、预处理等,当然数据量大的可以使用分布式spark MLlib和Flink的机器学习了。后续我们再专门学习人工智能再来阐述

        image-20211024132008609

      • 数据分类分级工具或者编写脚本、程序处理

        • 基于标识匹配、正则匹配规则处理
        • 收集元数据数据字典等资源与真实数据库不能完全对比关联处理
        • 通过元数据和探查自动化填充一些的分类维度
        • 基于不同行业数据应用维度的数据属性进行机器学习、NLP分类
        • 基于不同行业数据结合国家法律进行机器学习、NLP分级
        • 结果人工二次审核,基于审核确认数据训练模型并预测新的数据
      • 数据维度处理

        • 从数据管理维度、数据应用维度、隐私保护维度、数据对象维度进一步补充数据维度,详细可以参考分类分级标准,如

          image-20211024134054610

        • 评估是否满足分类管理和分级保护预期目标

    • 数据分类分级交付清单输出

      • 数据分类分级实施报告
        • 数据分类分级收集和处理资料数据概况分析
        • 数据分类、分级依据
        • 数据分类图表示例
        • 数据分类实施过程说明
      • 数据分类清单
        • 数据表层级分类
      • 数据分级清单
        • 数据字段层级定级
        • 表字段最大级别作为数据表层级定级
posted @ 2021-10-24 14:12  itxiaoshen  阅读(785)  评论(0编辑  收藏  举报