历时四年,聚合行业安全专家智慧,凝炼行业安全最佳实践,数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》(以下简称“框架”)于2023年6月17日第三届数字安全大会上正式发布。
该框架是在中国信息协会信息安全专业委员会指导下,由PCSA安全研究院、联盟成员,联合行业用户和产业各方,深刻总结提炼十三五期间和十四五众多行业数据安全治理、规划、建设、运营的落地实践,共同提出一个基于行业最佳实践的《主责数据保护与流动安全监管框架》。
美创科技,作为数据安全专业企业,基于多年数据安全防的研究经验,持续贡献自身力量,旗下安全研究院以“产业研究力量”深入参与此次框架研究。
PCSA安全能力者联盟(隶属:中国信息协会信息安全专业委员会)是在公安部等保中心和国家信息中心指导下,于2016年10月成立,联盟秉承聚合中国关键安全能力、赋能数字智能时代的理念,致力于云安全(包括平台、租户、数据、安全管理、移动安全等)关键技术及标准的研究、应用和推广,目前已完成面向云安全、数据安全、安全管理和运营的平台解决方案。
1、《框架》的目标定位
法律法规密集出台,数据二十条重磅发布,国家安全监管逐项落实,各行业陆续开展数据治理及安全治理工作,大量的行业用户急需找到一个可参考可落地的数据安全框架。
本次发布的数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》聚焦数据安全本身,面向各行业用户组织,从“数据-数据安全-安全”全局视角出发,总结凝炼数据治理和安全治理的共性问题、共性顽疾,形成以主责数据为核心的数据安全治理共性经验。围绕主责数据保护与流动安全监管主场景开展数据安全保护,理清数据治理、安全治理和数据安全治理之间的目标区别和责任边界,实现数据安全管理、技术、运营、监管一体化,保障数据在主责明确、流动监管过程中的安全使用,不断激活数据价值,持续督导治理过程中的分类分级管理,形成上层监管与从业自律、法治与从业自治协同、上下统筹的数据安全治理结构。
2、《框架》聚焦的关注点
1)平衡数据开放与安全管控,做到用数不违规、不违法
数据安全已然立法,每个数字化组织都需要思考如何用数不违规、不违法。
宏观层面,做好数字化转型是每个组织的使命,在持续开展业务经营、生产和管理的过程中,产生大量的自有数据,即“主责数据”,来自于组织内部其他组织流转过来的数据,使用者需要具有“同等责任”,做好“守责”工作。
2)三权分立,划清数据管理、安全管理、监管审计责权利边界
做好主责数据的保护,首先要明确数据管理和安全管理的责权利边界。
通过“三环论”构建的三权分立原则,明确数据安全基础分工和边界,推动责权利边界从模糊走向清晰。
首先明确定义和三权匹配的三员,即:系统管理员、安全管理员和安全审计员。
其次定义实现数据安全主责明确的三个层次闭环。
第一层次是业务闭环,充分定义系统管理员的权责,落实数据相关系统管理权限划分、人员授权、访问授权、API调用授权等工作。这是保障业务及数据安全的基础。
第二层次是安全闭环,充分定义安全管理员的权责,制定安全策略、基线,配备数据流动过程中需要的安全设备、手段,形成监控、响应、预测和防御的闭环。这是保障数据安全一体化运营的基础。
第三层次是监管闭环,充分定义安全审计员的权责,落实数据安全管理过程中的角色、流程、数据流动前、流动中、流动后的一体化审计。这是保障数字化组织做到数据安全充分合规的基础。
3)围绕静态数据和动态数据,实现流动安全监管
随着信息化、数字化进程的不断演进,业务系统不断建设,逐步积淀出大量结构化数据、半结构化数据和非结构化数据,它们广泛存在于终端、数据中心、存储设备和数据平台上,同时配备的各类数据安全防护能力也在不断完善。但在具体落实主责数据安全保护的指导、监督、检查,做好主责数据安全保卫、保障、保护的执行过程中,仍会发现数据安全工作存在诸多问题,其根本原因是对数据当前的状态定位不清,现有数据安全防护手段缺乏针对性。
从数据状态上来看,通常分为两大类数据:
第一类为静态数据,即存储状态中的数据,往往会存在盲数据、僵尸数据和死数据的问题,且大多底账不清、权属不清、权责不清,无法清晰定义哪些是数据资源、哪些是数据资产、谁在使用、谁在访问,存在数据泄露的风险。
另一类为动态数据,即流动状态中的数据,存在流动前、流动中和流动后价值属性的区别,无论是数据流动前未取得授权;还是流动中的过程看不见、管不到、非法使用、滥用发现不了;还是流动后数据过程状态不可审查、数据权益不可控,都存在很大的数据泄露和滥用风险。
对于数据所有者来说,静态数据能否做到清晰可见,动态数据能否做到流动管控,已逐渐成为数据安全落地成功的关键因素。
4)数据全生命周期过程涉及诸多角色
数据角色决定数据流动监管的权限需求。通过对数据流动过程中不同角色的权限与职能进行解析,定义数据流动角色,实现不同数据角色对数据流动安全监管过程中的不同权限与职能的落地提供有效支撑。
数据所有者:掌握数据所有权的数据产权所有方;
数据使用者:对数据拥有使用和交换需求的数据需求方;
数据提供者:对数据进行获取、处理与提供的数据提供方;
数据运营者:对数据运营过程的计划、组织、实施和控制,是与数据生产和服务创造密切相关的各项管理工作的承担方;
数据安全监管者:在数据不同价值阶段,制定数据流动安全策略.对不同数据角色的操作等进行检查审核。
这些数据角色的充分定义和明晰是保障数据内部流动跨部门、跨应用、跨层级,外部流通跨行业、跨监管单位或跨境等机制制定的基础。
5)数据在组织内部、跨组织、行业、区域及跨境之间的流动
数据流动主要涉及不同行业领域间的跨行业流动;国家、省、市、县(区)等各级部门间的跨层级流动;同级部门/组织间的跨区域流动;行业内部多个组织间或组织内部多个部门间的跨部门流动;组织内部多个应用系统间的跨应用流动;以及组织内部生产环境和测试环境之间的跨环境流动。
3、《框架》的核心思想:“1-3-6-N”架构
数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》的核心思想可总结为“1-3-6-N”架构。
“1”个主要场景
即主责数据保护与流动安全监管场景。要求责任主体,明红线、守底线,做到事前、事中和事后监管。
“3”个方面
即数据治理、数据安全治理、安全治理。以数据安全治理为主体,协同好数据治理和安全治理,明晰边界与责权。
“6”个层次
即治理层、监管层、管理层、运营层、技术层和数据层。统筹六个层次目标的关键场景和关键任务,共同构建数据安全治理体系。
“N”个关联角色
即数据安全治理过程中涉及的多个角色。包括:数据所有者、数据监管者、数据提供者、数据使用者、数据运营者、安全审计员、安全管理员、系统管理员等。
4、《框架》“1-3-6-N”架构解析
1)“1”个主场景:主责数据保护与流动安全监管场景
主责数据保护与流动安全监管主场景综合考虑数据治理、安全治理和数据安全治理的目标区别和职责边界,聚焦数据安全治理领域,清晰定义数据安全相关角色和流动场景,重点解决静态数据保护、动态数据流动监管的问题,做到明红线、守底线,实现事前、事中、事后监管。
数据安全法、数据二十条都明确数字化组织在数据处理过程中对数据安全负有主体责任,需要在明确红线、守住安全底线的前提下,进行数据开发利用、开放共享。
做好数据流动事前督导、事中监管、事后审计,帮助数字化组织确认清楚在组织和组织内部数据流动过程中的主体责任,解决数据治理、安全治理的责权不清、动态监管等影响数据合法有序使用的关键问题。
2)“3”个方面:数据治理、数据安全治理、安全治理
数据治理、安全治理和数据安全治理三个方面目标不同、边界权责交叉,本框架主要聚焦数据安全治理,需要协同好数据治理和安全治理,明晰边界与责权。
参考数据治理自身特点以及国内最新发布的数据二十条相关内容,发现,数据治理需要围绕数源可信、权属清晰、激活数据的目标,开展数据治理基础建设、数据治理能力建设、数据治理运营建设以及数据价值赋能。
由于数据治理不是本次讨论的重点,有关该部分的详细内容可查阅国际、国内相关数据管理、数据治理的流程、过程、标准和内容。
安全治理围绕合规闭环、实战验证、风险可控的目标,开展合规基础保护建设、实战强化保护建设、指挥协同保护建设,构建网络安全管理体系、安全技术体系、安全运营体系,实现看管监控一体化、平战结合一体化。
该部分内容主要来源于PCSA安全能力者联盟2022年发布的《基于行业最佳实践的安全保护框架》,更为详细的解读可查阅2022年研究成果《基于行业最佳实践的安全保护框架》。
数据安全治理围绕主责明确、流动监管、共享共用的目标,协同数据治理和安全治理,在做好数源可信、权属清晰、激活数据、合规闭环、实战验证、风险可控的前提下,聚焦主责数据保护和流动安全监管主场景,充分定义数据安全相关角色和流动场景,通过自上而下的从数据安全治理层、数据安全监管层、数据安全管理层、数据安全运营层、数据安全技术层、数据层等六个层次,逐层压实数字化组织在数据共享共用过程中的主体安全责任,提升数据的可用、可信、可流通、可追溯水平,加强内部安全自律意识,帮助数字化组织走好数据安全的“最后一公里”。
数据治理和安全治理中都有数据安全的部分,伴随着数据由资源向资产的演进,一方面数据治理要求实现数据的开放共享使用,另一方面安全治理又要求严格管控守好安全底线,那么如何在安全管控的情况下做到数据共享利用、用数不违法的平衡,这就需要数据安全治理来协同好数据治理和安全治理,明晰边界与责权。
数据治理将持续为数据安全治理提供可信的数据底账、动态完整的分类分级结果,以支撑数据安全治理工作的开展;而安全治理将根据不同数据等级为数据安全治理提供完整、持续的数据安全基线。同时,在运营层面,数据安全治理的运营还需要协同数据治理运营和安全治理运营,共同实现看管监控一体化的运营目标,持续双向反馈各自运营成果。至此,数据安全治理才从真正意义上打通了数据治理、安全治理各自的鸿沟,在数字化组织全局视角上达成拉齐数据风险管控和价值激活的双重目的。
3)“6”个层次
聚焦在数据安全治理领域,研究现有落地实践,将数据安全治理划分为数据安全治理层、数据安全监管层、数据安全管理层、数据安全运营层、数据安全技术层和数据层,不同层次的数据安全场景和重点任务存在差异,其关注点也存在区别。
数据安全治理层从内部刚需和外部监管出发,围绕数据资源、数据资产、数据流通和数据交易的不同阶段,根据本行业、本组织特点开展战略制定、现状评估、蓝图规划和实施路径规划等工作,主要解决数据治理和安全治理目标不统一的共性问题,与数据治理和安全治理的目标达成统一。
战略制定:根据数字化组织发展所处的不同阶段、不同需求,制定数据安全总体战略、数据安全总体目标和数据安全总体策略。
现状评估:根据数字化组织发展所处的不同阶段、不同需求,开展数据现状评估、安全现状评估、数据安全能力现状评估,为数据安全治理体系的规划设计提供基础数据支撑。
蓝图规划:根据现状评估的结果,开展差距分析、需求分析及规划设计工作,明确规划目标,并提供充足的保障机制。
实施路径:依托蓝图规划,制定详细的实施演进路线,进一步明确行动计划和关键任务。
数据安全监管层主要解决事前督导、事中监管、事后审计的监督落实问题,实现全程可视、状态可察、权限可审、流动追溯、权益清晰、监审一体的目标。
事前督导:对数据底账梳理、数据分级分类、数据权属定义、数据授权规则制定、数据角色定义、数据安全基线制定、数据交易、数据出境专项等工作,进行事前监督、指导。
事中监管:对数据底账状态、数据归类定级、数据权属主体、数据操作行为、数据角色授权、数据流动全程、数据交易专项、数据出境专项等工作,进行事中监督、管理。
事后审计:对数据底账变更、数据分级分类、数据权属变更、数据违规操作、数据授权变更、数据流动追溯、数据交易专项、数据出境专项等工作,进行事后审计。
数据安全管理层主要围绕数据安全战略、数据安全目标和数据安全策略,通过机制定义、组织定义、职责定义等方面为数据安全治理提供充足的机制保障。
定义机制:围绕数据安全治理层定义的数据安全治理目标,做好管理定义,建立数据安全管理机制,包括管理办法、规范细则、流程表单以及可考核的关键性指标。
定义组织:配套数据安全管理机制,建立数据安全管理组织架构,明确岗位设置、角色定义和人员配备。
定义职责:基于数据安全管理机制、数据安全管理组织架构,清晰定义责任边界、权利义务、激励机制。
数据安全运营层通过数据安全监测、分层响应、协同研判、联合处置等关键任务的开展,解决多方协同的问题,实现数据安全运营的看管监控一体化。其与网络安全运营同样遵循“检测-响应-预测-防御”的Gartner自适应安全架构,区别在于数据安全运营是在网络安全运营的基础上,针对主责数据本身,实现细粒度、针对性的安全运营。
数据安全监测:聚焦数据本身,通过与数据防泄露、数据访问控制、安全登录、数据操作、数据流动、API接口等能力的对接,实现细化到数据库、表、字段的专而深的细粒度安全监测。
分层响应:针对数据安全事件,建立分层响应机制,落实数据管理员、系统管理员、安全管理员、IT基础设施管理员等不同角色之间的分层响应。
协同研判:协同业务部门、数据部门和安全部门等多方人员综合分析研判数据安全事件,深度分析数据服务停止、数据篡改,误操作/恶意行为、数据泄露、越权访问、数据勒索、数据违规外发等的根本原因,做好数据风险预测、研判、分析、预警和通报。
联合处置:基于协同研判分析的结果,联合业务部门、数据部门、安全部门等开展安全策略核查、数据违规阻断、恢复服务/系统/数据、冗余备份安全加固、最小授权等联合处置工作,应对暴露面收敛、攻击发现与阻断、日常攻防演练、威胁情报处置等安全应用场景。
数据安全技术层主要建立数据安全工具能力资源池,为数据监管和运营提供可扩展的能力使用及调用。
数据全生命周期的基础合规:在满足个人信息保护、等级保护、关基保护、数据安全法、密码保护、F级保护、商密保护、行业规范等法律法规、标准规范的基础上,做到从数据采集、数据传输、数据存储、数据处理、数据加工、数据共享、数据交换、数据交易、数据销毁的全生命周期合规。
数据安全工具能力资源池:围绕数据全生命周期建立分类分级、数据标签、密级标识、隔离交换、加密传输、策略矩阵、存储加密、访问控制、隐私保护、数据授权、数据脱敏、零信任、行为授权、操作审计、打刻审计、数据水印、数据防泄漏、介质管控、备份恢复、数据清除、剩余信息保护等数据安全能力资源池。
数据层通过对各类数据的标识证明,使数据成为独立管理对象,其属性可支撑数据共享、交换及交易流通等场景。
经过多年的信息化、数字化建设,已经积累了大量的数据。从技术上来看,可以分为结构化数据、半结构化数据、非结构化数据;从敏感程度上来看,可以分为SM数据、商密数据、个人隐私数据等;从责任归属上来看,可以分为个人数据、企业数据、公共数据等。
标识证明通过数源标识、数据标识、权益标识,标记数据全生命周期各过程,形成数据资源目录,使数据所有者明晰其主责数据,同时通过对具体的数据实体登记形成产权证明、权益证明和交易证明,形成实体数据底账,使数据相关方明确各自的数据权益,最终数据资源目录和实体数据底账通过流通标识比对,实现对数据共享、交换及交易流通等场景应用支撑。
4)“N”个关联角色
是指参与到数据安全治理全过程的各个组织定义的角色。包括:数据所有者、数据监管者、数据提供者、数据使用者、数据运营者、安全审计员、安全管理员、系统管理员等。
数据所有者:即数据产权所有方;
数据使用者:即数据需求方;
数据提供者:即对数据进行获取与处理数据供给方;
数据运营者:即对数据运营过程的计划、组织、实施和控制各项管理工作的承担方;
数据监管者:即在数据不同价值阶段,制定数据流动安全策略,对不同数据角色的操作等进行稽核审查方;
系统管理员:即系统的所有者,负责系统的管理和授权;
安全管理员:即网络安全管理者;
安全审计员:即网络安全和数据安全的审计者。
其他角色:即涉及到数据及网络安全支撑的相关人员,如基础设施保障人员等。
浙公网安备 33010502006954号 
