政策解读:我国“数据安全保护”驶入快车道
时间:2019-07-12
2019年7月1日工业和信息化部发布的《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《行动方案》)是自2013年7月16日工业和信息化部第24号令《电信和互联网用户个人信息保护规定》以来,对数据安全保护要求的进一步强化和落地。
《行动方案》的工作目标之一是督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,在2019年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。工作目标之二是建立行业网络数据安全保障体系,行业网络数据安全管理和技术支撑平台基本建成,遴选网络数据安全技术能力创新示范项目,基础电信企业和重点互联网企业网络数据安全管理体系的有效建立。
《行动方案》制定了为期一年、明确可执行的详细计划:不同于标准、规范,更强调具体任务的推动。方案分为四个阶段,将每阶段的责任方、工作任务进行了具体化,同时也调了对典型经验做法进行推广,巩固相关工作成效的要求。这使得《行动方案》形成了一个执行力强并不断迭代升级的长期计划。
五大亮点引人关注
《行动方案》的亮点主要体现在以下五个方面。
一是《行动方案》要求加快完善网络数据安全制度标准:基于《网络安全法》、《电信和互联网用户个人信息保护规定》等法律法规要求的驱动,电信运营商从合规角度出发对数据安全保护的重要性有足够重视,但安全制度标准的不充分影响了这项工作的开展,例如对同一项敏感数据的分类分级和控制措施,在不同企业不同部门之间并不统一,极易发生因合作双方控制能力不同而导致敏感数据泄露的事件。制度标准的完善能够大幅促进数据安全保护的效果,有利于正常数据业务的健康发展,帮助各个企业步调一致、统一行动。
二是《行动方案》将开展合规性评估和专项治理工作:其中包括网络数据安全风险评估、App违法违规专项治理、强化网络数据安全监督执法。这些举措划出了数据安全违规行为的红线,并以行政处罚、软件下架、企业纳入不良名单和失信名单等方式“迫使“各企业必须重视数据安全保护。这些手段足以让违反数据安全的经营模式无法生存,让忽略数据安全的企业付出代价。
三是《行动方案》将强化对行业网络数据的安全管理,并提出了四项具体意见:
首先,提出了数据资产“清单式”管理的要求。电信和互联网企业在实体资产、IT资产管理方面都有着丰富的经验,但并没有对数据资产进行严格管理,若无法形成数据清单,也就无法对针对数据的行为进行有效的监控。数据资产管理的主要难点是技术难度,以及缺乏明确的标准和制度。
其次,《行动方案》明确了企业网络数据安全职能部门的设置,根据以往经验,某项工作开展困难的主要原因之一是企业对其重视不足而导致该职能科室权力小、人数少、话语权低。因此设立专门的网络数据安全职能部门是数据安全保护工作健康发展的必要步骤。
再次,《行动方案》提出了强化网络数据对外合作安全管理的要求,自从瑞智华胜、数据堂的案件发生以来,电信运营商对于数据合作业务从积极转向谨慎,但网络数据安全保护的本意是促进业务的健康发展,数据合作业务应该在安全、合规的情况下有序进行。
最后,《行动方案》提出了行业网络数据安全应急管理的要求,提出了网络数据安全事件发生事前、事中、事后的不同阶段要求,对恶性事件形成预案,不打无准备之仗。
四是《行动方案》在能力建设方面提出了要有手段建设、技术创新、专业化支撑队伍的要求。此项要求有利于数据安全产业的甲乙方共同发展,首先为企业开展数据安全类采购和研发指明了方向,也为高水平数据安全公司发挥其水平和能力提供了绝佳机会。目前国内的数据安全类产品大多沿用国外产品的思路,视角和技术并不适合电信和互联网企业这种地域覆盖大、组织结构复杂、业务众多、发展迅速的经营模式,使得网络数据安全类产品严重碎片化、孤岛化,实际应用中难以起到防护效果,客户采购的意愿逐步降低。
五是《行动方案》强调了社会监督和宣传交流。目前网络数据安全在电信和互联网企业中仍是少部分人的任务,而本质上数据安全与企业的经营模式、业务模式紧密相关,这方面区别于其它安全技术。网络数据安全必须得到企业决策者的充分重视,必须得到企业文化的认可,从业者也须高度自律,具有全面的监督处罚机制。
企业需构建数据安全保护体系
数据安全保护关系到企业的切身利益,我们应认真对标《网络安全法》等相关行政命令的要求,形成企业自身的数据安全保护体系,从策略(规章制度及差距分析)、组织(部门与人)、技术(生产平台和数据安全保护技术)、运营(运转保障)等方面进行全面建设和不断提升。
我们需要正确面对现有业务模式和技术平台存在的安全风险、侵犯隐私等数据安全问题,例如“短信保管箱“类业务已经全部下线,目前运营商普遍会在业务环节中增加二次认证和信息脱敏措施,都是在数据安全方面的进步表现。企业还应该对存量业务进行评估、建立起新业务评估的“三同步”机制(即数据安全能力与业务功能同步规划、同步建设、同步运行)、对人员管理及合作伙伴管理等机制的优化,避免新的数据安全事件发生。
另外,还要加强对设立数据安全专职部门的重视,提升话语权,保持合理的人员配备,将敏感数据进行资产化管理,建立分类分级制度,采用自动化识别跟踪技术形成敏感数据清单,将敏感数据的异常分布与流动作为安全事件处置,对于敏感数据的访问行为增加强身份认证和敏感行为审计。
同时加强对合作伙伴的管理,我们建议采用数据安全能力评级和考核制度,降低数据扩散的风险,以合作合同条款的方式明确在数据安全方面的违约条款与责任。
最后还要建设立体的数据安全防护体系。例如在数据泄露案例中,将数据泄露到外网存在着多种途径,并且涉及数据不同环节的风险,仅靠单一技术手段无法覆盖所有主要途径,我们建议基于不同途径选择各领域最优技术搭建数据安全的立体防御体系,以基于实战总结的经验作为数据保护技术手段的有效性评估标准。
来源:奇安信集团
在线咨询
在线咨询
0371-63319761