数据安全治理白皮书Word文档格式.docx
《数据安全治理白皮书Word文档格式.docx》由会员分享,可在线阅读,更多相关《数据安全治理白皮书Word文档格式.docx(29页珍藏版)》请在冰豆网上搜索。
历经十多年的攻克研究与创新,XX信息以人工智能(AI)、先进密码算法和大数据技术为核心,率先在国内发布“Vamtoo-DSGF数据安全治理框架体系”,围绕个人信息隐私保护、云办公趋势下的数据安全、新型DLP及数据安全治理,从终端、网络、数据库、云实现了数据发现(分类分级)、数据防泄漏、数据安全审计和态势感知,并支持国产操作系统。
已为政府、金融、运营商、能源、军工、央企等多领域客户提供数据安全服务,并助力国家
“一带一路”数据跨境安全保护建设。
XX信息积极参与中央网信办、国家互联网应急中心(CERT)、全国信息安全标准化委员会等监管单位的数据安全标准、管理办法与测评认证建设。
已参与完成多项国家数据安全标准建设,数十项国家重大数据安全课题研究,获得100多项国家专利和软件著作权。
已连续两届成功举办国内规模最大的“数据安全峰会”,发表数据安全宣言、发布首个中国数据安全险,连续多年被行业权威机构评为全国网络安全企业50强,多次获得中国信息安全领军企业等多项荣誉,得到行业和客户的广泛认可;
现担任“中国网络空间安全协会会员”“中国保密协会理事”“中国保密协会商业秘密保护专业委员会副主任”“中国计算机学会安全专业委员会常务委员”“浙江省网络空间安全协会常务理事”等社会职务。
新时代、新XX,XX信息全面迈入战略2.0时代,以“护航数字中国助力数字经济”为使命,坚持以客户为中心、开放创新、协作共赢;
以奋斗者为本、勇于挑战、共享成就的理念,成为全球领先的数据安全企业。
为建设网络强国,为国家和民族的网信事业发展,提供XX方案、贡献XX力量。
参编主要人员:
任柯,吴进波,叶俊卫,于佳辉,张鹤林
一、概述
1.1数据治理概念
信息技术、人工智能、大数据以及5G技术的发展,数据的重要性越来越得到业界广泛认可和重视。
随着数字化转型的深入发展,业务细分和数据粒度细化日益明显。
随之而来的是业务系统逐渐增加,不同业务系统产生的数据也与日俱增,数据重复、数据冗余、数据孤岛等现象开始显现,这不仅消耗大量的IT资源,而且影响节能环保,更不利于数据的高效合理使用和挖掘数据的价值。
为满足所面临的实际需求,数据中心等专职从事数据相关工作的部门在不同属性的单位中相应而生,IDC租用、数据仓库、大数据平台、数据湖等与数据高效处理和价值挖掘相关的规划建设逐步普遍。
随着对数据的处理和数据价值的需求增加,需要先做好数据治理,才有可能更好地高效处理数据、充分挖掘数据价值、保护数据安全等;
对于什么是数据治理,ISO/SC40、DAMA、
DGI、Gartner、IBM,以及国内的ITSS、GB/T25295-2017和金融等各行业相应机构分别给出侧重性定义和说明;
经过这些年的理论和实践的互相促进,业界逐步对什么是数据治理形成比较一致的共识。
XX信息认为数据治理是数据高效安全利用持续改进的一套管理机制和技术辅助工具有机结合的体系,其中包含数据管理的组织架构、数据管理模型、政策和体系,涉及数据标准要求、数据质量要求、数据影响度分析、工作流程、监督考核和辅助的技术工具等一系列体系性内容;
数据治理涉及的技术主题包括元数据的定义和管理、数据质量的标准和检验、数据集成约定、主数据定义与管理、数据资产的明确与管理、数据交换范围和规则、数据生命周期和数据安全的关联性配套等多种技术和产品组成的体系化技术措施。
通过数据治理,能够规范化业务系统中的数据,有利于充分利用和挖掘数据的价值,进一步促进业务的发展和精细化管理,实现和保障数字化转型,体现经济价值和社会价值。
1.2数据安全治理
严格来说,数据治理包含数据安全治理,数据安全属于数据治理的一项重要内容,数据
安全治理是数据治理的一个过程;
随着全球数字化迅速发展,以及国内外信息安全事件频发和数据泄漏事件的影响,数据安全的重要性逐渐被认识和接受,数据安全治理得到进一步的认可和重视,进而出现重点开展数据安全治理的业务形态;
如果说数据治理是为了更好地发挥数据的“价值”,那么数据安全治理是为更好发挥数据价值提供“保密、完整、可用”的保障。
Gartner认为,数据安全治理不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从制度到工具支撑,自上而下贯穿整个组织架构的完整链条;
组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确定合理和适当的措施,以最有效的方式保护数据资源。
Gartner关于数据安全治理的描述理论程度较高,概括性较强,XX信息认为,在切实解决需求单位的数据安全治理时,需要考虑客户所关注数据范围,这些数据从产生到销毁过程可能涉及的应用系统场景和节点,每个节点对应用数据的访问角色和权限,以及期间可能产生泄漏风险点等,通过对数据应用的实际情况了解,结合数据生命周期的流动环境和节点,评估数据类型的重要性和节点基本的角色和权限,以及可能的泄漏风险点,分别从组织保障、技术工具、管理制度等方面开展立体化规划与分步骤有侧重实施,按照PDCA的逻辑实现可持续性动态开展数据安全治理,这样可能更有利于帮助单位实现数据安全。
1.3XX数据安全治理
数据安全不纯粹是一个技术问题,它是一个集国家政策、法律法规、组织政策和技术要素相结合的系统工程,需要多方协同,将管理和技术充分结合;
XX数据安全治理,就是把组织管理和数据安全相关技术进行结合,对数据安全进行系统化建设,确保数据全方位、无死角安全管理,以减轻由数据安全威胁、数据驻留和合规问题引起的业务风险。
传统IT采购方式都是大包大揽,从硬件,网络到中间件,软件都需要采购或者采购一套解决方案,同时需要招人或外包进行后续的运维,这对于非IT企业来说投入太大;
XX数据安全治理,共包括“四个层面和七个步骤”,是以“业务数据安全和合规数据安全”为目标的数据安全建设体系方法论,以相对独立又有一定逻辑关系的步骤进行划分,可以独立建设,减少投资,又可以从整体上进行系统性综合性治理,做到在安全与效率、投资和收益中保持平衡演进,核心内容如下:
●四个层面的数据安全管理组织框架,包括数据安全治理需求,数据安全组织机构,
数据安全治理规划和数据安全治理工具;
●七个步骤的数据安全治理建设流程,包括价值数据分析,数据分类分级,数据发现分布,数据安全风险评估,数据安全策略,数据安全防护以及数据安全运维。
四个层面和七个步骤分别在第三章和第四章进行详细介绍。
二、全球数据安全标准化情况
2.1数据安全标准化总体情况
2013年“棱镜门”事件,促使世界各国对信息安全的危害更加重视,大部分国家都进一步加强信息安全的要求,进一步保护网络安全,突出数据安全。
我国从国家到行业监管部门陆续加快信息安全建设,特别是数据安全的标准化工作,从法律、法规、行业监管、产业等多方面开展信息安全的深化和细化工作。
随着各国对数据安全重要性认识的不断加深,包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都出台了数据安全相关的法律法规和政策来推动数据利用和安全保护,重点强调政府数据开放、数据跨境流通和个人信息保护等方向的安全防护标准化。
2.2国内数据安全标准化概述
我国在积极推动数字化转型过程中,非常关注数据安全问题,近几年发布了一系列数据产业发展和安全保护相关的法律法规和政策。
2012年12月,针对数据应用过程中的个人信息保护问题,第十一届全国人民代表大会常务委员会通过了《全国人大常委会关于加强网络信息保护的决定》,该决定要求,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,网络服务提供者和其它企事业单位应当采取技术措施和其它必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、损毁、丢失;
在发生或者可能发生信息泄露、损毁、丢失的情况时,应当立即采取补救措施。
2013年7月,工业和信息化部公布了《电信和互联网用户个人信息保护规定》,该规定是对全国人大常委会《关于加强网络信息保护的决定》的贯彻落实,进一步明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施要求。
2014年3月,我国新的《消费者权益保护法》正式实施,该法明确了消费者享有个人信息依法得到保护的权利,同时要求经营者采取技术措施和其他必要措施,确保个人信息安全,防止消费者个人信息泄露、丢失。
2015年8月,国务院印发《促进大数据发展行动纲要》(以下简称“行动纲要”),提出加快建设数据强国和释放数据红利,并加快政府数据开放共享,以提升治理能力。
2016年3月,第十二届全国人大四次会议表决通过了《关于国民经济和社会发展第十三个五年规划纲要》(以下简称“十三五规划纲要”),十三五规划纲要提出实施国家大数据战略,全面实施促进大数据发展行动,同时要强化信息安全保障。
2016年11月,全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》(以下简称“网络安全法”),网络安全法定义网络数据为通过网络收集、存储、传输、处理和产生的各种电子数据,并鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
2016年12月,国家互联网信息办公室发布《国家网络空间安全战略》,提出要实施国家大数据战略,建立大数据安全管理制度,支持大数据、云计算等新一代信息技术创新和应用,为保障国家网络安全夯实产业基础。
2019年5月28日零时,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》
(下称“征求意见稿”),由于数据监管触及多方利益,《征求意见稿》一经发布,立即引起了广泛关注,《数据安全管理办法》可能作为部门规章发布,效力和层级都会更高,能够进一步实现网络安全法保障网络安全,维护网络空间主权和国家安全的宗旨。
2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见。
草案内容共7章51条,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。
《数据安全法(草案)》将数据定义为任何以电子或者非电子形式对信息的记录;
数据安全是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
2.3国际数据安全标准化概述
(一)政府数据开放相关法规和政策
政府数据开放是指在确保国家安全条件下,政府向公众开放财政、资源、人口等公共数据信息,以增强公众参与社会管理的意愿和能力,进而提升政府治理水平;
美国将信息技术、数字战略、信息管理与开放政府治理有机结合,以数据开放作为新时期政府治理改革的突破口。
美国为推动政府数据开放,发布的法规政策主要包括:
1)美国于1966年通过《信息自由法》,规定民众在获得行政信息方面的权利和行政机关在向民众提供行政信息方面的义务,该法秉持“以公开为原则、不公开为例外”的原则,规定政府有义务对公众的信息公开请求作出回应;
2)《开放政府指令》是美国政府2009年在数据开放方面的最新行动,确立了透明、参与和协作的开放政府三原则,要求政府通过网站发布数据等方式,使公众了解更多的政府信息,促进公共对话,提升公众对政府的信任感;
3)美国在2012年5月出台了《数字政府战略》,将政府开放数据作为电子政府发展的重要支撑,它要求政府数据在默认状态处于“开放和机器可读”,从而使得公众可随时随地访问高质量的政府数据信息和服务;
欧盟通信委员会在2010年11月向欧洲议会提交了《开放数据:
创新、增长和透明治理的引擎》报告,该报告以开放数据为核心,制定了应对大数据安全挑战的战略;
2011年12
月12日,欧盟数字议程正式推进数据开放战略,将其作为实现欧盟“2020目标”的新路径与新动力。
(二)数据跨境流动相关法规和政策
当前,部分国家和地区在规范跨境转移个人数据的法律法规,以便对跨境数据接收地的法律环境提出要求,要求接收地法律能够提供与本国、本地个人数据保护法律相当的保护。
规范个人数据跨境转移的根本目的,不是禁止个人数据跨境转移,而是要根据实际情况,确保本国、本地区公民数据在境外受到合理保护。
总体上,基本立场是鼓励数据跨境自由流动。
具体与数据跨境流动相关的政策及法规包括:
欧盟在1995年《数据保护指令》中确立了数据跨境传输的基本原则,对世界其他国家和地区的信息保护、信息流动产生了深远的影响。
2015年通过的欧盟《通用数据保护条例》
(GDPR)提出了更为苛刻的数据保护规定。
GDPR的适用范围相比《数据保护指令》有所扩展,对于那些即使成立地在欧盟以外的机构来说,只要其在提供产品或者服务的过程中涉及欧盟境内个体的个人数据,将同样适用。
在跨境数据流动方面,GDPR增加了新的制度安排,包括认证机制和行为准则等。
澳大利亚《隐私保护原则》第8条规定,数据主体获得明确告知后同意的,可以将个人数据传输至境外数据接收者。
告知必须解释跨境传输带来的数据主体应当知道的后果或风险,包括:
1)海外接收者可能不承担类似澳大利亚《隐私保护原则》规定的隐私保护义务;
2)数据主体可能无法在海外司法管辖区获得救济;
3)海外数据接收者可能会根据法律将个人信息披露给第三方,比如外国政府机构。
巴西司法部于2015年公布的《个人数据保护法》(草案)也借鉴了欧盟有关充分性数据保护的规定,要求跨境数据传输时,数据接收国的个人数据保护必须达到充分性保护的水平。
韩国2011年发布的《个人信息保护法》规定,如果个人信息的国际数据传输涉及第三方,那么必须取得用户的明确同意;
2012年发布的《促进信息技术网络利用和信息保护法》要求则更为明确:
如果用户的个人信息被转移到境外实体,在线服务提供商必须告知并获得用户的明示同意。
日本2015年修订的《个人信息保护法》规定,个人信息可以“传输到为日本个人信息保护委员会(PIPC)所认可的、与日本国内个人信息保护水平相当的国家或地区”。
亚太经合组织(APEC)于2003年发布了《APEC隐私保护框架》,它采取使用企业自律性隐私政策来保护跨境数据流动中数据(隐私)权利的做法,在《APEC隐私保护框架》下建立跨境隐私保护规则体系。
(三)个人数据保护相关法规和政策
1)欧盟《通用数据保护条例》
欧盟颁布的《通用数据保护条例》(GDPR)为一个数据隐私权标准法规,它旨在取代
1995年发布的《数据保护指令》;
GDPR主要为了保护欧盟公民个人数据的隐私权,并对数据保护规则进行了改革和更新,如GDPR引入了新型的数据主体权利,包括“数据可携带权”和“被遗忘权”,为个人有效行使权利提供了坚实的法律保障;
GDPR要点包括个人拥有管理自己个人数据的权利、数据泄露获得通知的权利以及“被遗忘权”,GDPR由两部分组成:
通用数据保护条例,这“将让人们更好地控制其个人数据”;
数据保护指令,对于警察和刑事司法领域,这“可确保数据受害人、证人和犯罪嫌疑人在刑事调查或执法行动中受到应有的保护”;
这些明确的法规特别适合数字时代,能提供强有力的保护,同时在欧洲数字单一市场创造机会和鼓励创新,将让公民和企业都受益。
2)美国健康保险携带和责任法案
1996年,美国总统签署适用于提供健康保健的医疗组织和其它符合健康计划组织的健康保险携带和责任法案(HIPAA),HIPAA目标是确保健康信息的安全性和隐私性,其主要内容包括隐私条例和安全条例,隐私条例保护所有由适用实体保存的可识别个体的受保护健康信息(PHI);
根据美国卫生和福利部的规定,PHI包括以下数据信息:
与个人以往、目前或将来的身体(或精神)健康或状况有关的数据;
个人接受健康保健服务的相关数据;
个人以往、目前或将来接受健康保健服务的费用支付相关的数据。
3)美国家庭教育权和隐私权法案
1974年,美国联邦法案家庭教育权和隐私权法案(FERPA)出台,用以保护学生的个人可识别信息(PII)的安全,适用于教育行业;
FERPA规定,未满18岁的学生或符合条件的学生家长可以查看并申请修正学生的教育记录;
该法案还规定,学校必须取得学生家长或符合条件的学生的书面许可才能披露学生的个人信息。
三、XX数据安全治理组织框架
3.1数据安全治理组织框架概述
数据安全治理的目的是根据国家法律法规要求,结合行业数据管理要求,实现数据全生命周期的保密性、完整性、可用性、可控性和不可否认性的安全保障。
XX数据安全治理从实际需求或问题出发,围绕客户业务数据安全和合规数据安全,建立健全数据安全管理体系,提高数据安全保障能力;
XX数据安全治理组织框架主要从组织管理的角度,以业务目标,资源配置和进度计划三大核心要素为中心,提供数据安全相关的策略,人员,流程以及安全工具的组织和选定的方式和方法,或判断标准和建议,明确三大要素,进而建立完整的数据安全管理保障体系;
XX数据安全治理组织框架包括四个层面,用于指导客户实施数据安全管理体系,这四个层面包括:
数据安全治理需求,数据安全组织机构,数据安全治理规划以及数据安全治理工具;
这四个层面不是孤立的,上一环节是下一环节的重要输入,同时下一环节又会对上一环节的进一步明确和细化,达到可管理可实施可量化的数据安全治理框架。
XX数据安全治理组织框架整体如下:
3.2数据安全治理需求
数据安全治理需求是从宏观上进行规划和定义企业组织实施数据安全治理的需求,包括数据安全治理任务目标、可能风险以及相关的内外部的数据安全需求,最后形成整体的治理策略;
治理需求主要从三个维度进行分析和总结,包括战略规划,业务风险和业务需求,最后形成可执行的治理决策流程,管理策略,治理执行需求,以及执行监控及优化;
3.2.1数据安全战略规划
数据安全战略规划,是定义和规划数据安全相关的基本政策和方针,对数据安全治理统筹规划,需要定义数据安全治理三大核心要素:
目标业务,资源配置和进度计划;
本阶段三大核心要素定义可以不用太准确,可以是经验值,也可以是预估值,在后续的治理框架的规划过程中渐进明晰额,逐步明确,形成数据安全治理任务基线;
1)目标业务,主要包括数据安全治理业务系统对象,涉及的人员和组织,以及相关的数据类型和数据业务安全要求等;
业务目标的设置必须来源于企业组织的权威需求,并需要获得组织机构的最高授权;
权威需求可以是同类型或自身企业组织的数据安全威胁的事实,上级单位要求或法律法规,行规要求等;
2)资源配置,也可以定义为成本需求,包括要完成业务目标所需要的内外部人力需求,采购产品或设备需求,以及与企业现有的组织相关性,对企业现有系统的改动需求等等;
3)进度计划,分为两个步骤:
安全治理计划和治理执行计划;
XX数据安全治理把整
体工作分为两个阶段,安全治理和治理执行,前者主要工作包括任务目标,组织框架定义,数据的摸底以及数据相关的安全属性等数据安全管理工作,后者主要是基于第一步发现的数据安全相关的薄弱环节进行安全建设和实施,该进度计划针对这两阶段工作进行编制,并指导后续工作。
3.2.2数据安全业务风险
数据安全业务风险,针对业务目标定义的系统对象和数据类型及数据业务,从安全角度进行风险管理,包括四个步骤:
识别业务数据风险,业务数据风险定义,评估数据风险影响,应对数据风险的措施;
数据安全业务风险管理,重点就是识别业务数据风险,从数据全生命周期和业务场景进行全面分析,理清业务数据价值和特征,梳理出核心数据资产,并给出分类分级方式方法,理清核心数据资产使用的状况,识别出核心数据资产面临的威胁和使用风险;
风险定义,风险影响评估及应对措施,根据风险识别进行定义和处理,并进行文档化,供下一步输入。
3.2.3数据安全治理需求
数据安全治理需求,从四个方面挖掘需求:
法律法规,行业监管,数据防护现状,业务安全需求;
首先从需要遵循的法律法规,行业监管等要求,分析梳理出与数据安全管理相关的内容,作为外部需求;
随着《数据安全法(草案)》立法,数据安全从合规性要求会越来越多,对企业组织和数据安全从业者的要求也会越来越高,对数据安全治理的需求分析和理解需要依赖的知识也越来越广;
再次,结合选择业务对象,风险识别信息分析组织内数据防护现状,进一步进行业务安全需求分析,汇总为数据安全治理需求;
XX推荐的数据防护现状分析主要从数据生命周期分析业务对象的生态现状,以及基于各生命周期活动进行数据安全防护的界定,提炼出业务对象在数据安全防护薄弱点,并提出防护需求。
最后,从内部业务需求开始,对法律法规要求进行结合,提炼出符合企业组织自身的数据安全需求,达到内部安全需求与监管需求同时满足,避免需求疏漏或需求扩大,这是数据安全投资与收益保持平衡的基础。
数据安全相关的法律法规和行业监管要求参考:
分类
列表
法律法规
1·
《中华人民共和国网络安全法》
2·
《中华人民共和国密码法》
3·
《个人信息保护法》
4·
《互联网信息服务管理办法》
5·
《计算机信息网络国际联网安全保护管理办法》
数据安全
《数据安全法(草案)》
《数据安全管理办法(征求意见稿)》
《数据安全管理认证规范》
《数据安全分类分级实施指南》
云|大数据安全
《信息安全技术数
升级会员 