前沿 | 企业视角看数据安全与网络安全：理解内涵演进，落实合规治理

早在《数据安全法》《个人信息保护法》之前，在企业信息化建设的同时，从保护企业自身的信息资产安全的角度出发，大多数企业也都开展了信息安全工作，标志性的管理实践是构建以国际标准 ISO/IEC 27001 和 27002（前身是 BS7799）/国家标准 GB/T 22080 和 22081 为基础的信息安全管理体系。此时，信息安全的内涵基本上就是国际标准 ISO/IEC 27000/ 国家标准 GB/T 29246 对信息安全的定义：对信息的保密性、完整性和可用性的保持。

图 1 数据安全内涵拓展至二层四维

表 1 数据安全内涵的演进

信息安全、个人信息保护和数据安全的内涵、保护范围、可参考的管理体系标准都有所不同（见上表）。“二层四维”在理论上使数据安全的覆盖面较广，但是在企业的实践中，很多工作并非从零开始。在具体工作中，企业需要重点关注有差异的增量部分。因此，在很多涉及数据安全的场合，企业需要更多关注新扩展出的第二层数据的合法获取和合法利用，以及对国家安全和公共利益维度的考虑。

在很长一段时间，网络安全（network security）要么和信息安全并列，要么作为信息安全的基础支撑部分，例如在信息安全管理体系的控制集中的网络安全（network security）管理子集。随着互联网的广泛使用，网络也从效率工具成为数字化社会的基础设施，原有信息安全或者网络安全的概念都不足以覆盖数字化时代的需求。例如，制定 ISO27000 系列国际标准的组织 ISO/IEC JTC1 SC27 的名称从以前的信息安全（information security）分技术委员会，变更为信息安全、网络安全和隐私保护（information security，cybersecurity and privacy protection）分技术委员会，在最初信息安全的基础上增加了对网络（空间）安全和隐私保护的关注。

从国际和国家标准中网络安全、早期的网络（空间）安全概念到最新的网络（空间）安全概念的变化（详见表 2）可以看出，ISO 标准对网络（空间）安全的新定义是“保护人、社会、组织和国家免受网络风险”，这相对于以前的定义，在对保护对象和威胁来源的认知和理念上发生了巨大变化。从传统的信息安全/网络安全理念看，保护对象是信息和网络，威胁来源是物理世界（黑客、内鬼、灾害等）。从新的网络（空间）安全理念看，保护对象是物理世界（人、组织、社会和国家），威胁来源是网络空间。当然，“威胁来源是网络空间”是直接表现，其背后最终的源头还是来自物理世界，但是这一概念反映出的是网络空间对这一威胁的放大，一定程度就是网络空间独有或更严重的威胁。例如。网络诈骗的最终威胁源头还是来自物理世界的人，但是，网络诈骗和传统诈骗不同的是，基于网络空间数据泄露、利用个人信息画像等问题而引发让人更难防范的精准性、批量性。

以往企业在提到信息安全时，经常指的是信息安全管理，但是在提到网络安全时，特别是从自上而下的视角，常常用“治理”而不是“管理”。在个人信息保护、数据安全、人工智能等领域，通常也指的是治理。那么，这里为什么要说治理而非管理呢？

在网络安全与数据安全领域，从顶层的法律法规到部门/地方政府规章、行政规范性文件、国家标准、行业标准林林总总，而且，各法规提到的法规角色、合规要求也多种多样。综合看，网络安全与数据安全问题的视角大体可以分为两类，一类是从网络运行视角出发的《网络安全法》《关键信息基础设施安全保护条例》等，另一类是从数据处理角度出发的《数据安全法》《个人信息保护法》等。这些法规标准并非独立，其间相互有关联、有支撑。网络运营和网络数据处理是网络运营者日常业务运营活动中的“一体两面”。

企业做合规工作，首先要清楚自己的业务符合哪个法规中的角色，有哪些合规要求。例如，《网络安全法》对“网络运营者”有 10 条要求，对“关键信息基础设施运营者”有 10 条增强要求；《数据安全法》对“数据处理者”有 11 条要求，对“重要数据处理者”有 4 条增强要求。对于一个运营较大规模网络、处理较大规模数据的组织来说，会同时符合多部法规中的角色，也会面临来自各法规的合规要求。这就需要企业从合规落地的视角综合考虑，系统性、有机地融合这些相关合规要求依规执行，而不能孤立地把每一部法规标准独立看待。从企业组织和责任视角，可以将需落实的这些合规要求融合总结为“123N”，即一把手责任制、二个安全机构、三个负责人、N 项管理制度和技术措施（见图 2）。

（本文刊登于《中国信息安全》杂志2022年第9期）

《中国信息安全》杂志 倾情推出

“企业成长计划”