张 辉
(衡水开放大学, 河北 衡水 053000)
在数字经济时代,数据是企事业单位的核心资产。随着网络的大规模发展和各种应用的深入使用,数据泄密事件层出不穷,根据Risk Based Security发布的数据泄露报告,与2019年同期相比,2020年数据泄露事件发生的数量和泄漏的数据量均增加了50%以上,涉及的行业包括医疗保健行业、金融保险行业、教育行业、快递行业等诸多领域;
另有用户发现5.38亿条微博用户信息在暗网出售,这些泄密大都以用户身份信息和账户信息为主,甚至包括人脸识别数据。由此可见,随着网络技术的不断应用,数据安全防护所面临的风险相比以前也发生了根本性的变化。[1]
为了保护和合理利用数据,各国纷纷出台了一系列政策和措施。2018年,欧盟出台了《通用数据保护条例》,先后给Google、Facebook等诸多企业开出了天价罚单,被称为史上最严监管条例;
2021年6月10日我国正式颁布《数据安全法》,作为企业来给用户提供更便捷的服务,在搜集大量的用户信息后,由于各种原因导致数据泄露,不仅面临巨大的经济损失,严重的还要承担相应法律责任。[2]
国家相继出台的法律文件和各种处罚措施,为网络安全、数据安全工作的开展画定了红线,同时也给我们的工作提供了方向上的指引。为了保护数据安全,避免信息泄露和信息滥用带来的损失,在企业内部,我们有必要建立一套合法合规的数据安全管理体系。例如,在《网络安全法》中要求企业明确谁来担当主体安全责任?谁来履行企业安全义务?哪些人对安全违规事件负责?在《数据安全法》中则明确主管部门在落实安全监管职责时有权利对组织、个人处理数据活动中存在较大数据安全风险的进行约谈,并要求其做出整改,对有重大数据泄露并危害国家安全的行为依法追究刑事责任。我们要探讨的正是一个基于安全责任及量化考核的数据安全建设思路。
在过去的几十年间,信息化的发展逐步把企业的业务流程系统化、资产数字化。时至今日,随着信息化的发展,网络安全问题也愈演愈烈,数据资产的价值越来越高,数据安全问题也随之影响到企业的生存竞争力,影响到人们的生活甚至生命。因此,数据安全建设工作势在必行。然而,很多企业普遍面临着以下五方面的问题。
1.梳理企业拥有的数据资产
要进行数据资产的梳理,至少明确以下五个问题:(1)企业拥有哪些重要数据和隐私数据?(2)这些数据到底有多重要?(3)这些数据分布在哪?(4)这些数据归谁所有,谁在使用?谁是数据责任人?(5)与谁共享这些数据?是否应该共享,该如何共享?
2.确定数据安全建设的目标
数据安全工作的目标由谁来确定?如何确定?在这里,有以下四点建议:(1)数据安全整体目标应该与公司战略目标一致;
(2)除了在组织层面建立总体目标以外,还要在相关的职能和各个层次上都要建立数据安全目标;
(3)尽可能地去量化这个目标,以便后期进行测量和评价;
(4)最终目标应形成文件化资料,并定期评审。
3.把握数据安全建设工作的方向
数据安全建设首先要满足国家政策、法律法规以及行业合规监管的要求,这便是数据安全建设的外部驱动力;
同时,应着眼于企业内部高管层、业务层的视角,想之所想,思其所思,确保数据安全建设的工作方向与管理层的意志一致,与业务层的需求相融合,这便是数据安全建设的内部驱动力。
4.掌控数据安全政策推进的深度
对于企业内部多样化的业务环境、业务需求,数据安全策略能否一概而论?能否一刀切?显然不能,因为它的分支机构、分公司、子公司,有参股、控股也有全资的,这种“亲子”关系的差异就决定了集团的数据安全策略在每一个分、子公司落地时产生差异是必然的,一刀切的后果就是要么策略要求太高,在分、子公司推动时“水土不服”,阻力太大无法落地;
要么就是策略要求过于宽松,被各分、子公司欣然接收,但是达不到应有的数据安全保护级别。所以,对于业务类型多样化、业务模式复杂化的大企业来说,就需要制定一个针对各分、子公司的差异化的、分等级的数据安全策略。
5.任命数据安全官
对于大多数企业来说,领导层仍然没有把数据安全当作他们的首要任务。密码仍未加密存储,敏感文件仍未加密发送,敏感数据仍然存储在公共服务器上。除非公司董事会成员定期讨论数据安全问题,否则就不够重视它。因此,每个大型公司都应该聘请一位专门负责数据安全的C级高管暨首席数据安全官(CSO),不仅负责公司整体的数据安全分析,还负责与数据相关的任何事情。[3]
CSO在公司领导层中扮演一个重要的角色,他会时刻考虑如何应对持续的威胁,如何减少公司IT系统遭受(大规模)网络攻击的风险,他的工作重心在于预防、发现和应对数据泄露,这需要所有部门的参与。从2021年开始CSO的人数正在上升,近三分之二的大公司开始着手聘请CSO,虽然这有粉饰门面的可能,但是CSO将在未来的公司发展中起到至关重要的作用。
1.勾画实际运转的业务系统流程图
对数据实施全生命周期的保护离不开业务流程的梳理,建议从如下四项工作梳理业务系统关系:(1)在业务流程图中划分安全域;
(2)能联合将流程细节讲透彻的人在哪;
(3)业务流程中利益相关人有哪些;
(4)业务流程中出过的事故、事件细节如何。
2.明晰的业务系统流程分析
当前形势是,数据责任人不明确,数据使用要求和保护需求不清晰;
需要对数据实施全生命周期的保护,但随着我们业务流程的复杂化、分工精细化,想找一个人把整个业务流程说清楚很困难;
公司的数据资产价值越来越高,却不知如何对它进行妥当的保护。因此,首先要了解需要保护的数据资产是什么,数据分布在什么环节,这些数据归谁所有,谁在使用等。梳理清楚这些问题,我们才能进行有效的数据安全治理和监控。
3.对数据流风险点进行分析
CSO要充分发挥角色功能,全面把握风险点的存在。(1)是否把握实际运转的网络流程图细节;
(2)是否把握实际运转的数据流程图细节;
(3)数据流程图中的风险点有哪些;
(4)风险点控制能施加多少种措施;
(5)风险点控制已经施加了多少种措施。另外,企业数据业务流程出过什么样的事故,取决于对流程图中每个环节风险点的把握和风险控制措施。比如,某车险将到期,一个多月前就有保险公司打电话轰炸,可是等某一天续保后马上就没有销售电话了,这足以表明数据泄露之快,车险数据的保密性得不到保证。
4.对数据分类、分级、分权操作
(1)业务系统中有哪些种类的数据;
(2)业务系统总数据所有者分别是谁;
(3)每种数据的生命周期节点是否缺少安全控制;
(4)业务系统数据分别属于哪个安全级别。
5.业务系统数据中账户拥有的具体权限分析
数据有哪些类别,分类、分级、分权,保护到什么程度,就权限而言,每个人应当如何进行职责分离,如何把权限划分开,如何把管理人员调离岗位后的权限收回,针对这些问题就要对数据进行全面定义,由数据所有者来完成此项操作。
6.对数据异常规则进行分析
(1)业务中都有哪些违规违法或者异常事件;
(2)业务安全事件发生时有什么样的特征;
(3)根据安全事件提炼的异常规则有哪些;
(4)具体岗位如何进行异常规则的监控落地;
(5)应用系统如何设置埋点监控异常。比如高校毕业证的数据信息,如果黑客对数据库中两条相邻记录操作造成非关键字段相同,通过数据异常规则分析,就能将判断数据出现安全问题的概率大大提高。
1.责任矩阵梳理确认
(1)法律法规与客户要求导出的企业责任有哪些;
(2)外部责任引发的法律义务和经济处罚有哪些;
(3)外部源动力是否能百分之百传导至企业内部各个节点;
(4)高层的锅如何变中层的碗,中层的碗又变员工的杯;
(5)是否建立了部门级与岗位级责任矩阵。
2.数据法律责任签署
(1)是否明确数据安全责任界面划分;
(2)是否根据业务现状分析了数据安全法律责任;
(3)是否结合法律法规明确了部门和岗位的法律责任;
(4)是否进行法律责任宣贯并签署个人的法律责任书;
(5)是否将法律责任书细化到工作流程中。
岗位意识和责任是业绩的一部分,要做到量化考核,有必要建立一套合适的管理方法。按照某一标准针对不同的单位和部门进行考核的一刀切的管理方式是不可取的,应该按照不同级别和不同需求,要求各部门主动申报属于哪个安全级别,比如一、二、三、四级,然后按照级别进行检查;
如果该部门对自己报送的安全级别过低,检查时就会暴露问题,相应地就会缩减部门的预算或者相关绩效的发放,那各部门就会争先恐后的提高自己的安全级别,这就变成了数据安全工作源动力。
3.数据预警指标体系
(1)哪些指标能够反映数据安全态势;
(2)是否将重要指标设置监控措施并实现预警;
(3)是否实现预警指标根据安全事件映射了对应关系;
(4)是否建立了预警指标体系对应的应急预案;
(5)是否对预警指标体系应急预案进行了演练。
数据预警指标体系,前面我们提到知晓了风险点在哪里,明晰了异常规则是什么,就可以借力埋点进行数据异常预警;
很多预警都是借助外部的安全设备,比如防火墙、行为监控等各种安全设备,但还是没有彻底解决问题,于是我们要做内嵌式网络安全,把安全做在应用系统里面,设置一些埋点;
比如QQ异地登录,这便是埋点,很多应用程序都可以设置埋点,一旦发现埋点被触发,我们就知道数据出问题了。因此我们需要建立数据预警体系,多个埋点就形成了监控指标,这些指标的变化就能帮助我们监控数据安全。
4.分级分权量化考核
(1)是否建立了自上而下的安全管理机制;
(2)是否在企业内部建立自主定级按需保护体系;
(3)各部门各分支机构是否按需申报安全建设等级;
(4)是否周期性按申报级别开展各部门审查;
(5)在业绩汇报会上是否实现安全业绩与业务业绩挂钩。
以业绩为导向,通过划分组织、量化分权、权力下沉,建立科学、规范的分级分权量化考核体系,充分挖掘和发挥各层级对数据安全体系的认知水平和管理机制,进而实现数据安全管理方面的突破和精进。
5.安全水平螺旋上升
(1)是否将安全水平的变化趋势汇报给高层;
(2)是否建立优秀的安全贡献者奖励计划;
(3)针对违规者是否采用适合本地文化的惩罚;
(4)是否建立可全面推广的安全流程最佳实践;
(5)是否建立详细的安全事件档案库。
从早期的水平管理、上下级管理,发展到如今倡导的斜向管理,企业的发展也要求数据安全形成一条栅格形状和周期性审查机制,这样就能实现与业绩挂钩,因此,数据安全建设一定是螺旋式上升的。[4]
另外,企业需要培养优秀的数据安全工作者,以及本地化的企业文化,逐步建立起数据安全事件库。数据安全事件库反映着各个部门、业务、人员相关联的特点,而实际上,很多企业没有将数据安全事件统计出来形成数据库并存放。假设某专职数据安全员,经过一段时间处理针对性的安全事件后,提升了自身能力水平,跳槽到别家公司,先期没有对安全事件做统计整理,那么该岗位的继任者将继续面对类似的安全事件发生,若公司有数据安全事件库建立的流程并得到真正落实,那以后的安全事故就会越来越少,这样就形成了内部管理、外部监控的良性局面。
2021年我国颁布的《数据安全法》明确了国家数据安全管理机制和三个层级构成,对实现规范数据管理活动、保障数据安全、促进数据开发利用等起到了指导性作用,建立健全数据安全制度、建立数据分级分类保护制度和数据安全审查制度,形成数据安全风险评估、报告、信息共享、监测预警机制,建立数据安全应急处置机制;
对企业提出明确要求,增强企业内外数据管理,针对数据的重要程度、敏感程度对数据进行分级分类,并采取不同级别不同程度的保护措施,加强数据安全应急处置,消除安全隐患,否则将可能同时面临较大经济赔偿和严重的行政处罚;
我国电子商务发展迅速,新时代大型电商企业在运营过程中,更要注重数据安全的建设,保护好网络数据,防范个人数据和个人隐私的泄露,否则将会面临生死存亡的危机。
由此可见,我国数据安全领域仍旧任重道远,只有通过有效的技术手段和相关政策法规的完美结合,才能从根本上解决数据安全与数据泄露的保护问题。当然,安全也不是绝对的,在进攻和防守永不停歇的安全领域,只有不断地进行管理提升和技术创新,才能有效保障数据的安全。
猜你喜欢 安全事件数据安全企业 企业当代水产(2022年5期)2022-06-05企业当代水产(2022年3期)2022-04-26企业当代水产(2022年2期)2022-04-262020年度区块链领域安全事件达555起中国计算机报(2021年9期)2021-04-26敢为人先的企业——超惠投不动产云南画报(2020年9期)2020-10-27部署推进2020年电信和互联网 行业网络数据安全管理工作中国计算机报(2020年25期)2020-07-18建立激励相容机制保护数据安全当代贵州(2018年21期)2018-08-29数据安全政策与相关标准分享中国计算机报(2018年46期)2018-02-24优质护理干预对精神科护理安全事件发生率的影响探析现代养生·下半月(2015年1期)2015-05-26