扫码订阅《中国信息安全》杂志
邮发代号 2-786
征订热线:010-82341063
一、从信息安全、个人信息保护到数据安全的内涵演进
早在《数据安全法》《个人信息保护法》之前,在企业信息化建设的同时,从保护企业自身的信息资产安全的角度出发,大多数企业也都开展了信息安全工作,标志性的管理实践是构建以国际标准 ISO/IEC 27001 和 27002(前身是 BS7799)/国家标准 GB/T 22080 和 22081 为基础的信息安全管理体系。此时,信息安全的内涵基本上就是国际标准 ISO/IEC 27000/ 国家标准 GB/T 29246 对信息安全的定义:对信息的保密性、完整性和可用性的保持。
图 1 数据安全内涵拓展至二层四维
表 1 数据安全内涵的演进
信息安全、个人信息保护和数据安全的内涵、保护范围、可参考的管理体系标准都有所不同(见上表)。“二层四维”在理论上使数据安全的覆盖面较广,但是在企业的实践中,很多工作并非从零开始。在具体工作中,企业需要重点关注有差异的增量部分。因此,在很多涉及数据安全的场合,企业需要更多关注新扩展出的第二层数据的合法获取和合法利用,以及对国家安全和公共利益维度的考虑。
二、从网络安全到网络(空间)安全的内涵演进
在很长一段时间,网络安全(network security)要么和信息安全并列,要么作为信息安全的基础支撑部分,例如在信息安全管理体系的控制集中的网络安全(network security)管理子集。随着互联网的广泛使用,网络也从效率工具成为数字化社会的基础设施,原有信息安全或者网络安全的概念都不足以覆盖数字化时代的需求。例如,制定 ISO27000 系列国际标准的组织 ISO/IEC JTC1 SC27 的名称从以前的信息安全(information security)分技术委员会,变更为信息安全、网络安全和隐私保护(information security,cybersecurity and privacy protection)分技术委员会,在最初信息安全的基础上增加了对网络(空间)安全和隐私保护的关注。
从国际和国家标准中网络安全、早期的网络(空间)安全概念到最新的网络(空间)安全概念的变化(详见表 2)可以看出,ISO 标准对网络(空间)安全的新定义是“保护人、社会、组织和国家免受网络风险”,这相对于以前的定义,在对保护对象和威胁来源的认知和理念上发生了巨大变化。从传统的信息安全/网络安全理念看,保护对象是信息和网络,威胁来源是物理世界(黑客、内鬼、灾害等)。从新的网络(空间)安全理念看,保护对象是物理世界(人、组织、社会和国家),威胁来源是网络空间。当然,“威胁来源是网络空间”是直接表现,其背后最终的源头还是来自物理世界,但是这一概念反映出的是网络空间对这一威胁的放大,一定程度就是网络空间独有或更严重的威胁。例如。网络诈骗的最终威胁源头还是来自物理世界的人,但是,网络诈骗和传统诈骗不同的是,基于网络空间数据泄露、利用个人信息画像等问题而引发让人更难防范的精准性、批量性。
三、从企业合规视角理解数据安全与网络安全治理
以往企业在提到信息安全时,经常指的是信息安全管理,但是在提到网络安全时,特别是从自上而下的视角,常常用“治理”而不是“管理”。在个人信息保护、数据安全、人工智能等领域,通常也指的是治理。那么,这里为什么要说治理而非管理呢?
四、从企业组织和责任视角综合性地落实网络安全与数据安全治理
在网络安全与数据安全领域,从顶层的法律法规到部门/地方政府规章、行政规范性文件、国家标准、行业标准林林总总,而且,各法规提到的法规角色、合规要求也多种多样。综合看,网络安全与数据安全问题的视角大体可以分为两类,一类是从网络运行视角出发的《网络安全法》《关键信息基础设施安全保护条例》等,另一类是从数据处理角度出发的《数据安全法》《个人信息保护法》等。这些法规标准并非独立,其间相互有关联、有支撑。网络运营和网络数据处理是网络运营者日常业务运营活动中的“一体两面”。
企业做合规工作,首先要清楚自己的业务符合哪个法规中的角色,有哪些合规要求。例如,《网络安全法》对“网络运营者”有 10 条要求,对“关键信息基础设施运营者”有 10 条增强要求;《数据安全法》对“数据处理者”有 11 条要求,对“重要数据处理者”有 4 条增强要求。对于一个运营较大规模网络、处理较大规模数据的组织来说,会同时符合多部法规中的角色,也会面临来自各法规的合规要求。这就需要企业从合规落地的视角综合考虑,系统性、有机地融合这些相关合规要求依规执行,而不能孤立地把每一部法规标准独立看待。从企业组织和责任视角,可以将需落实的这些合规要求融合总结为“123N”,即一把手责任制、二个安全机构、三个负责人、N 项管理制度和技术措施(见图 2)。
(本文刊登于《中国信息安全》杂志2022年第9期)
《中国信息安全》杂志 倾情推出
“企业成长计划”
点击下图 了解详情
原文始发于微信公众号(中国信息安全):前沿 | 企业视角看数据安全与网络安全:理解内涵演进,落实合规治理
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论