CSO说安全 | 肖茂林:合规视角下的数据安全建设思考

admin 2023年6月5日16:30:07评论18 views字数 4808阅读16分1秒阅读模式

CSO说安全 | 肖茂林:合规视角下的数据安全建设思考

安在新媒体联合中国网络安全审查技术与认证中心(CCRC)共同举办的第三届“超级CSO研修班”,于2023年4月23日圆满结营。20位学员历时4个月,完成18节专业课程,经历名企参访、课堂作业、私董会、分享汇、酒会和歌会,更交付了20篇毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
第三届超级CSO研修班的学员们分布更加广泛,不仅有银行、证券、保险、互联网,更涵盖了汽车、地产、咨询、智能制造等多个领域。在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。
本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。



CSO说安全 | 肖茂林:合规视角下的数据安全建设思考



CSO说安全 | 肖茂林:合规视角下的数据安全建设思考


肖茂林  

红途科技副总经理


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考



一、监管现状和趋势


数据安全立法现状


数字经济时代,为了发掘和释放数据要素价值,各国持续加强数据安全立法工作,数据安全立法广泛覆盖到国家、企业和个人等不同层面和不同场景。一方面,期待通过数据的流通、共享和开发利用释放数据价值;另一方面,从行业、企业和场景出发加大监管力度。


数据安全监管路径


由于数据安全上升到国家安全高度,加之全球地缘政治局势风云变幻,各个国家在监管路径上的关注点相似度比较高。以我国为例,监管路径有以下几个特点:

关基领域成为重点关注对象。2021年《关键信息基础设施安全保护条例》正式施行,作为经济社会运行的神经中枢,关基领域是网络安全的重中之重。当然现在除了关基领域,其他领域的关注度也逐渐高了起来。

安全审查成为重要监管手段。2022年《网络安全审查办法》正式施行,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。网络安全审查对象既包括国内企业,也包括在国内开展经营的外资企业,比如此前针对美光公司在我国销售的产品实施网络安全审查。

数据出境成为重点关注场景。2022年施行的《数据出境安全评估办法》,弥补了数据出境的安全漏洞,健全了数据出境安全屏障,我国作为全球第二的数据大国,出于对国家安全、公共利益、个人或者组织合法权益角度考虑,将数据出境纳入重点关注场景。

算法智能纳入监管范畴。4月11日,国家互联网信息办公室公布《生成式人工智能服务管理办法(征求意见稿)》,拟进一步强化相关主体责任,内容涉及数据安全、个人信息保护、算法设计、内容合规等多个方面。而办法还提及了人工智能产品提供者承担内容生产者的责任,本质在于要求企业承担起技术开发应用可能造成的社会风险,以期形成负责任的人工智能。


数据安全监管趋势


2022年网络安全和数据安全领域共出台49项政策法规,33项行业规章,48项地方政策,34项技术标准。从出台密度看,整个监管要求的趋势会更严格,另外在《网络安全法》《数据安全法》和《个人信息保护法》三大上位法的基础上,针对区域和行业会出具更为细致的监管要求。

另一方面,除了强监管还会有促发展,无论是去年底出台的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》,还是今年初16部委联合印发的《关于促进数据安全产业发展的指导意见》,对产业规模、核心技术、应用场景和生态发展都给予了明确的发展目标和促进举措。



二、面临的机遇和挑战


面临的机遇



2022年,中央全面深化改革委员会第二十六次会议审议通过《关于构建数据基础制度更好发挥数据要素作用的意见》等重要文件,数据要素已成为数字经济深入发展的核心引擎。2022年广州数据交易所和数字数据交易所相继挂牌成立,当年累计交易额超过17亿元,预计今年交易额将突破50亿元。广东省即将出台《广东省数据条例》,而且正在研究推动将数据生产要素纳入国民经济核算体系。

国家发展改革委员会价格监测中心与上海数据交易所签订全面战略合作协议,数据要素价格形成和估值机制、多层次数据要素市场指标体系,以及数据交易指数等方面是合作研究重点内容。

数据作为新型生产要素,其带来的经济效益和长远发展利益都有着重要的意义。未来,数据会越来越多地被视为一项值得重视的企业资产。


面临的挑战


基于企业视角,会存在来自监管、内部、用户和合作伙伴等四个方面的挑战:

面向监管。监管态势趋严,监管要求密集出台,如何有效解读、掌握监管的裁量尺度;另外面对监管审查时,如何实现快速有效的应对,是企业面临的第一个挑战。

面向内部。如何构建一个积极、健壮、可运营的数据安全管理组织,协同业务、合规、IT等部门,通过管理和技术相结合的方式,控制数据安全风险,落地合规要求,保障企业正常生产经营工作,是企业面临的第二个挑战。

面向用户。一方面消费者的隐私权益意识开始增强,另一方面国家也不断强化相关的监管要求,对于企业而言,如何行之有效地开展用户个人隐私保护工作,是企业面临的第三个挑战。

面向合作伙伴。供应链的安全隐患愈发突出,主要原因是上下游企业的安全水平参差不齐,而数据在供应链体系中的交换或流转又是普遍现象。面向合作伙伴如何提升数据安全管控能力,是企业面临的第四个挑战。



三、应具备的意识


合规的意识



安全不代表合规但是可以支撑合规,同时合规可以指引安全。来自安永的《2022全球数据合规与隐私科技发展报告》显示,2022年有更多的被调查企业(98%)具备了数据合规和隐私保护职能,29% 被调查企业的数据合规与隐私保护工作向首席信息官 /IT 总监进行汇报,22% 被调查企业的数据合规与隐私保护职能直接向企业高级管理层(董事会或企业法人)汇报,汇报层级表现出越来高的趋势。


视角的转换


以往企业进行安全建设时,大多基于风险视角,通过边界式层层管控提升防护水平。数字经济时代,数据体量急剧增加,数据类型不断扩展,数据流转愈发频繁,数据呈无边界的状态,边界式管控手段会变得捉襟见肘。因此企业需要转变为数据流转的视角,围绕数据开展相关防护工作。

考虑数据在每个系统中流转时的性能,每份数据适用范围和群体,每个系统的特点、每个节点可能产生的风险,系统运行的便捷性等等,需要做好数据流转过程中的方方面面。如果有一个环节没有做好,根据木桶原理就可以知道整个系统的安全依然得不到有效保障。


更贴近业务


由于本质上的差异,相比网络安全,数据安全会更加贴近业务。如果离业务太远,不仅难以发挥应有的价值,还会影响业务的易用性和可用性。下面我举几个常见的例子:

分类分级。很多企业都在开展的数据分类分级工作,如何制定分类分级规范,既要参考国家或行业的监管要求,同时也要结合企业的实际业务进行调整。

数据共享。哪些数据可以共享、如何共享、共享多少、如何监测,这个场景也和业务强相关,安全部门既要参与业务需求评估,又要参与制定管控手段,同时开展实时动态监测。

透明解密。很多企业推行透明加密时常常遇到业务方较大的阻力,一方面担忧系统不稳定,造成业务不可用;另一方面担忧业务习惯受影响,造成能效下降。在这种情况下,安全部门推行的解决方案要实现安全和业务的适度平衡。



四、落地思路


规划阶段


每个企业都会面临不同的现状,有可能是从0到1,也有可能是从1到100中的任何一个位置,这个时候需要因地制宜,可以自行选择合适的框架,参考业内标杆企业或者引入外部顾问服务。这个阶段的主要目的是厘清建设的思路,梳理相应的技术措施,然后持续深度运营。

比如我们可以选择Gartner的数据安全治理框架(DSG),DSG 以数据安全治理为目标,制订分层级、分步骤的流程化思想,强调安全和风险管理。在这个基础上,可以采取Gartner CARTA模型,开展预防、检测、响应和预测的持续优化技术管控措施。最后结合DSMM数据安全成熟度,对数据安全能力进行持续度量和改进优化。


筑底阶段


既然是数据安全,所以筑底阶段主要是围绕数据开展工作,包括全面梳理企业拥有哪些数据,对数据进行标识分类分级。这个阶段有几个注意事项:

融合监管。部分行业已有明确的分类分级规范要求,比如证券基金、寄递物流等等,那么企业在开展数据分类分级工作时,既要参考监管要求也要结合企业自身业务情况,形成相应的数据分类分级规范。

先后有序。从数据类型来看,既有个人数据也有业务数据,从数据形态来看,既有结构化数据也有非结构化数据,有的企业还有大数据平台将数据统一存储。考虑到时间、成本和价值,企业在开展数据分类分级工作时,要有一定的先后顺序考量。

全面覆盖。除了数据,数据相关资产也同样重要,比如用户账号、服务、组件、接口、数据库/表等,因为数据的使用和流转离不开这些资产,他们可以视为数据暴露面,在数据安全工作中是不可忽视的对象。


支柱阶段


支柱阶段也可以视作建设、运营阶段,除了防护建设,也会围绕合规和安全开展双向深度运营。在这个阶段,企业主要有3项工作需要开展:

安全防护。在数据梳理的基础上,有针对性地开展数据安全防护建设工作,增强企业的数据保护能力。可以结合数据全生命周期,针对每个环节采用相应的技术措施,也可以采用矩阵的方式,将数据全生命周期和管控对象结合,然后加上紧急重要性、资源投入和价值,划分成不同的实施阶段,按照阶段开展建设工作。

风险管理。风险管理主要围绕数据暴露和数据泄露两个方面展开工作,强化用数场景的风险监测能力。既包括单个维度的风险管理,比如用户账号、接口调用等,又包括数据流转全链路的整体性风险管理;既兼顾风险监测的全面性,又提升风险监测的准确性,持续降低数据安全运营成本。

合规落地。结合监管要求和企业实际业务情况,围绕典型合规场景,实现体系化、工具化的落地。以往的合规工作往往存在零散性、线下化等情况,往往是业务有了需求,判断可能存在风险才会线下拉通评估。针对企业生产经营过程中可能面临的合规风险,需要提前布局规划,形成体系化的合规能力;同时借助工具手段,形成线上评估、合规因子导入、合规基准输出、线下实时监测的持续闭环运营能力。


管理评价阶段



通过将数据、风险及合规状态进行可视化晾晒,形成一种管理评价能力,本质上可以视为数字信任的一部分。在监管层面,是企业的数据安全能力可信任;在企业内部,是业务和管理层对于数据安全能力可信任;在用户层面,是企业的用户信息保护能力可信任;在合作伙伴层面,是企业上下游数据安全能力可信任。


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考




五、总结


全球数据量将会在2025年达到175ZB,其中我国产生的数据量预计将达48.6ZB,在全球中的比例为27.8%,届时我国的数据规模、应用将在全球处于领先位置。在这个过程中,数据安全将扮演着重要的角色,作为产业的一分子,无论是监管、甲方还是乙方,应携手共创,营造一个良性发展、相互促进的生态,激发数据要素价值,赋能数字中国建设。



第三届超级CSO研修班全貌

过程回顾


启动   导师   开营  结营


导师授课


陈建  毕马宁  谭晓生   杜跃进  张照龙  贺嘉


学员论文


王星骅  李达  刘歆轶



第二届超级CSO研修班全貌

过程回顾


开营  导师团  结营 

导师授课


谭晓生  刘新凯  欧阳梅雯  欧和  贺嘉  

吕一平  黄承  杜跃进  李吉慧  杨哲


学员论文


丛林  张福明  宋士明  冯斯恩  

王书魁  徐越  殷国祥  乔庆鹏  沈勇  

沈嗣贤  肖波 黄福胜  王平  江洁文  陈圣




首届超级CSO研修班全貌

过程回顾


首发 CSO说 报名 导师团 领航 价值 开营 揭幕 结营 

导师授课


谭晓生 黄承 马民虎 季昕华 陈建 宋琳 杜跃进 段海新 胡洪涛 
潘立亚 周斌 刘新凯 杨哲 贺嘉 

学员论文


向阳 廖位明 张永刚 郑太海 胡广跃 秦峰 黄乐 赵锐

洪岩  刘峰  


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考
END


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考
CSO说安全 | 肖茂林:合规视角下的数据安全建设思考


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考

点【在看】的人最好看


CSO说安全 | 肖茂林:合规视角下的数据安全建设思考



原文始发于微信公众号(安在):CSO说安全 | 肖茂林:合规视角下的数据安全建设思考

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月5日16:30:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CSO说安全 | 肖茂林:合规视角下的数据安全建设思考http://cn-sec.com/archives/1747864.html

发表评论

匿名网友 填写信息