上期回顾
上一期中安威士专家团提出了“以迭代的思路,逐步完善四维数据安全方案”的方法论,设计了数据安全的“PPDE迭代模型”以及“四维数据安全模型”,用于指导数据安全体系的建设。
本期摘要
在以数据为关键要素的数字经济发展的背景下,企业建立数据安全治理体系需要数据安全服务、技术和管理全方位的能力。本期中安威士专家团以数据安全成熟度模型为框架梳理数据安全服务的范围和方向,旨在为数据安全管理机构、数据安全运营企业、以及数据安全服务提供商提供参考。
1、数据安全能力维度
数据安全服务作为数据安全软能力是数据安全能力建设中必不可少的内容。按照数据安全能力成熟度模型,安全能力维度包括组织建设、制度流程、技术工具和人员能力四个方面。
2、数安法对数据安全软能力的要求
在《数据安全法》中,与组织建设、制度流程、技术工具和人员能力四个方面相关的法律规定包括以下内容。
2.1组织建设方面的法律规定
《数据安全法》第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
2.2制度流程方面的法律规定
《数据安全法》第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门等国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
2.3技术工具方面的法律规定
《数据安全法》第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
《数据安全法》第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
2.4人员培训方面的法律规定
《数据安全法》第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
根据《数据安全法》以上条款,数据安全相关的服务范围和方向可以梳理为组织建设方面的服务、制度流程方面的服务、技术工具方面的服务和人员能力方面的服务,具体如下图所示:
3.组织建设方面的服务
3.1行为规范制定
专业机构可以在法律法规的要求下和企业业务的指导下,结合企业数据安全现状为企业设计数据安全行为规范,并制定检查表等文件来规范企业数据安全行为,规范可以包括日常数据安全行为规范、应急响应行为规范等方面。
3.2 企业安全策略体系设计
为了有效的管理其运营数据的数据安全,专业机构可以根据企业的业务和相关国家行业数据安全要求制定组织的安全策略体系。
4.制度流程方面服务
制度流程方面服务可以包括行业标准、团体标准和安全规定的制定等。根据国务院印发的《深化标准化工作改革方案》(国发【2015】13号),改革措施中指出,政府主导制定的标准由6类整合精简为4类,分别是强制性国家标准和推荐性国家标准、推荐性行业标准、推荐性地方标准;市场自主制定的标准分为团体标准和企业标准。政府主导制定的标准侧重于保基本,市场自主制定的标准侧重于提高竞争力。同时建立完善与新型标准体系配套的标准化管理体制。
4.1 行业标准
行业标准是对没有国家标准而又需要在全国某个行业范围内建立统一的技术要求所制定的标准。行业标准不得与有关国家标准相抵触。有关行业标准之间应保持协调、统一,不得重复。行业标准在相应的国家标准实施后,即行废止。行业标准由行业标准归口部门统一管理。比如,工业和信息化部办公厅2020年12月25日发布的关于印发《电信和互联网行业数据安全标准体系建设指南》的通知,计划到2021年,研制数据安全行业标准20项以上,初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求,基本满足行业数据安全保护需要,推动标准在重点领域中的应用。到2023年,研制数据安全行业标准50项以上,健全完善电信和互联网行业数据安全标准体系,标准的技术水平、应用效果和国际化程度显著提高,有力支撑行业数据安全保护能力提升。
4.2 团体标准
团体标准是由团体按照团体确立的标准制定程序自主制定发布,由社会自愿采用的标准。其中团体(association)是指具有法人资格,且具备相应专业技术能力、标准化工作能力和组织管理能力的学会、协会、商会、联合会和产业技术联盟等社会团体。团体标准将成为促进数据安全与发展的重要抓手。
4.3 安全规定
专业机构根据法律法规和相关标准的要求,结合组织自身业务特点和数据安全现状梳理其数据安全相关的安全规定、管理办法等。
5.技术工具方面的服务
专业机构利用技术工具辅助可以提供的服务包括:数据安全检测服务、数据安全认证服务、合规性评估服务、数据资产梳理服务、数据资产分类分级服务和数据安全咨询规划服务等。
5.1 数据安全检测服务
利用数据安全检测工具进行数据安全检测服务,比如数据库渗透与检测服务等。
5.2 数据安全认证服务
数据安全认证服务可以对数据安全产品或者从事数据安全的人员进行认证。由于数据安全是一个新兴的领域,目前还没有专门针对数据安全的认证服务机构。但信息安全有专业的认证机构-中国信息安全认证中心。
中国信息安全认证中心是经中央编制委员会批准成立,由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证的专门机构。中国信息安全认证中心为国家质检总局直属事业单位。中心简称为信息认证中心。英文全称:China Information Security Certification Center;英文缩写:ISCCC。
CISP注册信息安全专业人员(Certified Information Security Professional),简称CISP,经中国信息安全测评中心实施注册。CISP是国家对信息安全人员资质的最高认可,具备保障信息系统安全的专业资质。根据实际岗位工作需要分为四类,分别是
1)注册信息安全工程师(CISE);
2)注册信息安全管理人员(CISO);
3)注册信息安全审核员(CISA);
4)注册信息安全开发人员(CISD)。
CISAW信息安全保障人员认证(Certified Information Security Assurance Worker,简称“CISAW”)是中国网络安全审查技术与认证中心针对信息安全保障领域不同专业技术方向、应用方向和保障岗位,依据国际标准ISO/IEC 17024《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系,主要针对与信息安全工作直接密切相关的中高级管理人员、专业技术人员等从业人员推出的人员资格认证和专业水平认证。
5.3 合规性评估服务
合规性评估服务是根据国家标准、规范文件或检查要求,内置检查矩阵和检查点,涵盖检查内容、检查依据、判定标准。利用工具进行合规性评估服务,工具通常具备检查底稿填写、检查项自动评分、结果汇总统计和报告生成能力。
5.4数据资产梳理服务
数据资产梳理是数据安全治理的基础。数据资产梳理可以有效地解决企业对资产安全状况摸底及资产管理工作。改善以往传统方式下企业资产管理和梳理的工作模式,提高工作效率,保证了数据资产梳理工作的质量。合规合理的数据资产梳理方案,能做到对风险预估和异常行为评测,很大程度上避免了核心数据遭破坏或泄露的安全事件。数据资产梳理形成数据资产清单,并定期对数字资产清单进行更新。让数据资产看得见、说得清、管得住。
5.5 数据资产分类分级服务
专业机构可以帮助组织按照行业标准和相关规范要求,制定数据资产分类分级的定义,并按照分类分级的定义进行数据资产分类分级服务。
1)对数据先分类再分级,不同类别的数据应差异化管控;
2)数据根据敏感程度的不同由高到低分为极敏感级、敏感级、较敏感级和低敏感级等四级;
3)各单位应定期梳理数据资产的相关平台系统数据分类分级情况,形成组织的数据资产清单。
5.6 数据安全咨询规划服务
数据安全咨询规划服务就是依据数据安全法等法律法规,站在数据发展和数据安全并重的角度,为客户整体规划数据安全体系,以“发展、安全、合规三位一体”为最终目标,构建覆盖数据生命周期全业务场景的实时预警、即时处置的综合防控体系,确保数据业务和数据安全持续快速发展。
数据安全咨询规划服务的内容和流程如下:
1)数据梳理
通过数据资产发现和分类分级,形成数据安全分类分级制度和规范。通过数据扫描等方式对数据资产进行梳理,形成数据资产清单和重要数据清单,为建立体系化、差异性、细粒度防控体系奠定坚实基础。
2)建立以数据生命周期为核心的安全防护体系
在数据采集、传输、存储、处理、交换、销毁的所有阶段,综合利用数据审计、数据加密、数据访问控制、数据脱敏、数据溯源、数据防泄漏、数据销毁、应急响应、安全评估等技术,进行安全风险全覆盖。
3) 建立数据安全态势感知系统
利用人工智能推动数据溯源、数据流动分析和用户实体行为分析等,建立实时、精准的数据安全态势感知能力,及时进行风险预警并高效处置安全事件,确保数据业务发展和数据安全风险平衡战略的落地和实现。
6.人员能力方面的服务
组织在建设自身数据安全能力时,离不开数据安全专业人员能力建设。组织数据安全人员能力不等同于传统网络系统安全人员的能力。过去几年,对很多组织数据安全能力的测评或咨询结果显示,缺乏数据安全专业人员是组织数据安全能力不足的关键短板之一。因此,数据安全人员的能力普遍缺失是一个需要引起足够重视的问题。参考数据安全能力成熟度模型(DSMM)标准的描述,组织内的数据安全相关岗位大概涉及数据管理岗、开发岗、信息安全岗、合规岗、运维岗及其他数据安全岗位。对不同数据安全岗位的人需要进行对应的专业数据安全能力的教育和培训服务。
“注册数据安全治理专业人员”,简称 CISP-DSG,是中国信息安全测评中心推出的针对数据安全人才的培养认证,获得认证的专业人员具有数据安全治理过程管理、数据安全技术体系设计、数据安全管理体系设计的基本知识和能力。CISP-DSG知识体系结构中,除了信息安全基础知识,还包括数据安全基础知识、数据安全技术体系、数据安全管理体系共四个知识类,每个知识类又划分为多个知识体和知识域,具有很高的系统化和专业水平,企业和个人可以选择相关内容进行学习、考试和认证。
总结
本篇按照数据安全能力成熟度模型,从组织建设、制度流程、技术工具和人员能力四个方面探讨了数据安全能力建设中涉及到的服务范围和具体服务方向,包括企业数据安全行为规范制定、企业安全策略体系设计、制度流程方面的行业标准制定、团体标准制定和安全规定梳理服务、技术工具相关的数据安全检测服务、数据安全认证服务、合规性评估服务、数据资产梳理服务、数据资产分类分级服务以及与人员相关的专业的数据安全能力教育培训服务。
参考资料
1.《数据安全法》
2.《网络安全法》
3.《数据安全治理能力评估方法》团体标准
4.工信部,工业和信息化部办公厅关于印发《电信和互联网行业数据安全标准体系建设指南》的通知
5.《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)
6.京报网,数据安全团体标准出炉,数据库市场迈向700亿
7. 杜跃进,组织机构的数据安全人员能力要求
下期预告:
中安威士专家团数据安全法解读系列之五《企业数据安全技术能力范围以及具体方向》,敬请期待。