浅谈大数据时代背景下的数据安全治理

2021-05-07李跃忠

中国信息化 2021年4期

李跃忠

随着人工智能、大数据等新兴技术的应用和普及，数据逐渐从传统的IT环境中独立出来，变成一种新的安全保护目标实体。数据已成为国家、政府、企业、组织的战略资源，对数据及其安全的治理也成为组织正常发展的基本保障。无论是希望通过数据获得竞争优势，不断改善追加销售和交叉销售或提高客户保有率，从而实现业务增长目标的业务发展诉求，还是为了降低成本、提高业务效率或优化复杂持续并购的企业实际运营需要，甚至是来自监管部门数据相关的合规要求，这些需求都推动着企业和机构将数据治理视为工作的重点。

一、时代更迭，风险推动数据安全治理需求

近年来，互联网业务发展势头迅猛，随之而来的是大量数据泄露、数据滥用、数据盗用等安全事件的发生。虽然泄漏的是数据本身而非具有明确价格的实际资产，但是数据泄露事件产生的负面影响是巨大的、广泛的，极易演变成重大的个人隐私泄露事件、经济事件乃至政治事件，其影响难以用金钱衡量。随着互联网的发展，大量的敏感数据在各种社交网络及电子商务等平台上不断积累，如果平台对于用户信息分享和加工使用缺乏严谨细致的数据管理策略和有效的数据安全监管手段，就可能被别有用心的人与团伙非法利用，从而导致侵害个人隐私、威胁个人生命财产安全甚至国家安全的重大数据泄露事件。

数据的价值不能简单的量化，可以分为直接价值和间接价值两方面。以近些年来层出不穷的数据泄露事件作为参考，某服务公司在网络上销售涉及2亿余条数据，获利2000余万元；某酒店集团1.3亿人的个人信息及开房记录在暗网以37万元被售卖等，直接价值可在一定程度上參考非法交易价格，但间接价值无法定义，被罚50亿美元虽然是一个庞大的数字，但是与影响美国大选、Facebook市值蒸发几百亿美元的结果相比较，也就不显得突兀了。可见，数据的间接价值可能远远高于直接价值。

2020年4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》（简称《意见》），数据作为一种新型生产要素被纳入其中，与土地、劳动力、资本、技术等共同构成此次要素市场化改革的重要组成部分。由此表明，国家承认了市场机制中数据的重要性角色与价值，并推动数据在产生层面、在数据源头的进一步严格确权，逐步提升对数据的监管及防护。

二、《数据安全法（草案）》将数据安全治理提升至法律高度

2020年6月公布的《全国人大常委会2020年度立法工作计划》中，将数据安全法立法作为"健全国家安全法律制度体系，提高防范抵御风险能力"的重要任务。2020年7月，《中华人民共和国数据安全法（草案）》（以下简称《草案》）公布。《草案》规定了支持促进数据安全与发展的措施，建立健全国家数据安全管理制度，落实开展数据活动的组织、个人的主体责任等内容。其中主要内容包括：

确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度；

明确开展数据活动的组织、个人的数据安全保护义务，落实数据安全保护责任；

坚持安全与发展并重，规定支持促进数据安全与发展的措施；

建立保障政务数据安全和推动政务数据开放的制度措施。

三、构建以数据为中心的数据安全治理体系

数据安全是一个体系化建设的过程，并非单纯的产品采购与部署。数据安全建设需要建立以组织建设、制度建设、技术建设为一体的顶层架构，以数据安全治理的理念进行体系化建设。

数据安全治理的目的是为了确保数据的安全高效利用，实现企业价值，提升公共管理能力。企业和机构组织能够通过数据安全治理解决数据安全顶层设计及管理体系建设的问题，在其组织架构、管理规范、数据风险分析、数据安全策略模型等过程中生成的结果均可以作为数据安全保护建设的主要依据。见图1。

数据安全治理体系建设要求以数据安全治理框架为纲领、数据资产发现为基础、数据安全风险管控为核心构建以数据为中心的安全防护体系。一般来说，体系应该包括治理评估、组织建设、管理建设、技术建设以及审计改进等几个特定要素。

（一）治理评估

以业务部门为单位，基于业务识别、数据识别、风险识别制定数据安全治理评估过程。通过制定数据分类分级标准，梳理数据资产清单及权责、数据使用过程及生命周期，分析业务环境及脆弱性等，确定数据安全能力成熟度等级。见图2。

（二）组织建设

本着“谁主管、谁负责”的工作原则落实执行，在系统生命周期各阶段明确责任部门及安全职责。制定数据安全管理办法，并且同步完善数据安全管理制度、业务制度、技术制度等。见图3。

（三）管理建设

在全面的风险分析基础上，制定合理的安全策略，在数据的分级、分类、分布、访问权限、传输路径、操作审计、备份恢复等多个方面，规定谁、在什么时间、什么地点、对哪种数据、进行何种行为。见图4。

（四）技术建设

通过数据安全技术防护能力建设，基于数据集进行细粒度管控，明确各措施执行周期，制定技术目标和技术建设内容。见图5。

（五）数据安全审计及持续改进

安全验收后的日常运营维护中，应当保持系统处于持续安全防护水平，对整体环节加强安全审计监督，并持续跟踪数据安全治理服务。见图6。

数据安全治理提高了客户整体数据安全管控能力。根据客户业务需求特点，分析能力现状与目标差距，完善数据保密性、完整性及可用性保障措施，制定切实可行的数据安全治理方案，有效解决数据安全能力改进、建设、运维过程的管理等问题，确保数据安全能力切实落地。

四、数据安全从业人员能力提升

数据安全治理不能仅仅依靠模型和框架，还要采用法律、教育、行政、伦理等多种方法与手段。针对数据利用过程中的一系列安全问题与安全隐患，应该加强网络安全教育和培训，提升网络安全从业人员的专业素质，强化公众的安全意识、安全防范技能。

2016年4月，中共中央总书记习近平在北京主持召开网络安全和信息化工作座谈会并发表重要讲话，强调“网络空间的竞争，归根结底是人才竞争。”；2017年，《网络安全法》要求采取多种方式培养网络安全人才，促进网路安全人才交流。近年来，我国不断探索和践行各种网络安全人才培养模式，但网络安全人才因其技能要求高，培养周期长，如何吸引更多人员加入网络安全行业以及如何提升从业人员的能力是目前亟待解决的问题，人才资质认定正是解决这两个问题的有效途径。

人才资质认定的目标是通过短时期的系统专业认证培训，通过考试获得行业组织权威机构的技能认证，是对通过者能力的评定，为企业用人提供专业权威的参考，同时促进从业人员的专业技能提升。

（一）为从业者指明职业发展方向与目标

网络安全行业本身具有更新快、跨领域、碎片化的特点，随着目前人工智能、大数据等新技术的应用，对于人才能力的要求越来越高，如何选择职业发展方向对从业者非常重要。资质认证是对行业人才需求的高度概括。2019年9月，中国信息安全测评中心召开的人才培养年会中发布了CISP系列注册资质证书，设计17个分项领域，旨在促进对网络安全人才有强烈需求领域的人才培养力度，对进入行业的新人，资质认定可以帮助他们明确职业发展方向，促进他们积极学习专业技能。针对已经深耕专业方向的人员，资质认定是对他们能力的认可，是他们专业方向发展前景的指路灯。不管是哪个阶段的人才，资质认定都是坚定他们在网络安全行业发展的定心针。

（二）为企业选拔人才提供重要指标

2018-2019年度《中国信息安全从业人员现状调研报告》中针对职业流动的调研数据中显示：与上一年度相比，能体现出应聘者具备一定专业知识、技能和工作经验的“信息安全资质证书”取代了“相关工作经验”成为用人单位首要的关注重点，信息安全资质成为用人单位选拔人才的重要指标。

人员资质认定是有权威机构做背书的，越来越多的企业会在招聘需求中标明对求职者资质证书的要求。2019年各行各业遭受“寒冬”侵袭，各大知名企业裁员风暴不断，网络安全行业方兴未艾，人员需求保持着旺盛的增长态势。拥有网络安全行业的专业资格证书，可以使从业者在竞争中处于有利位置，为个人长远的职业发展敲开大门，提供有力保障。

随着信息安全工作的高度专业化，安全培训也必须适应时代发展，具备系统性、专业性、权威性、持续性等特点。具备上述特点的CISP认证考试已成为国内最具权威性的信息安全資质证明，得到了信息安全行业的高度认可。

1.系统性。为了适应网络空间安全保障对人才的需求，CISP的知识体系在不断地更新和发展，前基本覆盖了信息安全工作各个环节，通过学习有效地形成信息安全保障工作地体系化思路，较好地避免了信息安全中“木桶效应”地出现。

2.专业性。CISP是一系列认证考试的总称，覆盖数据安全治理、渗透测试等多种信息安全细分领域，通过后可获得CISP-DSG、CISP-PTE等专业资格证书。

3.权威性。中国信息安全测评中心是我国开展风险评估的国家专控队伍之一，拥有国内一流的信息安全漏洞分析资源和测试评估技术装备，承担党政机关等重要信息系统的安全保障任务。

4.通过CISP考试不是终点，而是起点。通过CISP考试，证书持有者可持续获得CISP组织的持续支持，及时获悉最新威胁预警，掌握应对方案，加强从业者沟通合作。

（三）注册数据安全治理专项认证

为了满足数据安全治理领域对专业人才的需求，加快我国数据安全治理人才的培养，中国信息安全测评中心推出了注册数据安全治理专项证书，英文为 Certified Information Security Professional - Data Security Governance，简称CISP-DSG。CISP-DSG旨在让注册人员增强数据安全治理能力，帮助各类组织机构解决数据安全顶层设计及管理体系建设的问题，从而提升国家企事业单位信息安全管理能力，获得证书的专业人员要求具有数据安全治理过程管理、数据安全技术体系设计、数据安全管理体系设计的基本知识和能力。

在整个注册数据安全治理专业人员（CISPDSG）的知识体系结构中，共包括信息安全保障、信息安全评估、网络安全监管、信息安全管理、数据安全基础知识、数据安全技术体系、数据安全管理体系这四个知识类。见图7。

目前，国外相关机构（ISC）2 和ISACA尚未推出数据安全治理的专项认证，中国信息安全测评中心是首个推出数据安全治理方向专项的认证培训的机构。CISP-DSG培训内容权威，实用性强，涵盖了近年来我国发布的数据安全、数据保护相关政策文件、标准规范，以及全球最新、最佳实践。