数据安全治理实践探索

胡国华

(杭州数梦工场科技有限公司 杭州 310024)

业内期待已久的《中华人民共和国数据安全法》[1](以下简称《数据安全法》)在2021年6月10日正式公布，数据产业发展迎来有法可依的法治发展时代.《数据安全法》中明确提出应“建立健全数据安全治理体系，提高数据安全保障能力”，数据安全治理也已经获得业内广泛的关注.

1 业务背景

数据安全治理从治理范围来看可以分为国家数据安全治理和组织数据安全治理.中国信息通信研究院发布的《数据安全治理实践指南(1.0)》[2]针对数据安全治理概念提出了广义和狭义2个定义，广义是针对国家战略层面落实数据开发利用和数据安全统筹发展的策略，狭义则是基于数据生命周期建立涵盖组织保障、制度规范、安全技术和人才建设等多重维度的策略.

本文聚焦在组织层面的数据安全治理探索，即在某个组织内部，或者多个有数据关联的组织之间的数据安全治理工作.一个典型的业务场景就是当前数字政府建设过程中所力推的政务数据共享.如省级政务数据共享一般都是以省大数据局或省大数据中心作为省级政务数据共享平台建设和运营方，来拉通省内各政府部门及地市单位的数据共享，以及与国家数据平台的数据共享等.在这个场景下，政务数据的治理业务范围就涉及省级政务数据共享平台，以及参与政务数据共享的各个政府部门及地市单位的数据业务系统，也包括省级政务数据共享平台与国家平台之间的数据共享接口的安全等.

目前数据安全治理业内并没有达成一个统一共识，本文尝试从数据安全治理实现目标与方法等方面探索一种行之有效的数据安全治理实践方案.

2 数据安全治理现状

2.1 业内数据安全治理研究及实践情况

2019年发布的GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》国家标准(简称“DSMM”)[3]对于推动数据安全治理发展起到了非常积极的作用.DSMM标准提炼了一套数据安全能力成熟度评估体系，该体系涵盖了数据安全能力、数据安全过程和能力成熟度等级的3个维度，和1～5共5个成熟度等级，以及覆盖采集、传输、存储、处理、交换、销毁等数据生存周期的30个数据安全过程域等相关内容.阿里巴巴等单位也针对性地发布了《数据安全能力建设实施指南V1.0(征求意见稿)》[4]用于指导各单位基于DSMM标准进行数据安全相关能力的建设.

《基于精准治理的大数据安全治理体系创新》[5]提出了一种大数据安全治理运行框架，该框架包括基于主体精准化的多元共治体系、基于流程精准化的科学预判体系、基于手段精准化的分类处置体系和基于保障精准化的动态保障体系等方面，涵盖了组织、流程、手段和制度等大数据安全治理的主要方面.

《数据安全治理实践指南(1.0)》提出了一套涵盖规划、建设、运营、评估等系统建设的各个过程，并基于数据全生命周期的数据安全治理实践总体视图，覆盖了基础安全、数据全生命周期安全和数据安全战略的数据安全治理参考框架，同时指南还给出了目前业内多家单位的典型实践方案.另外《数据安全法》中对开展数据安全保护及治理工作给出的具体要求包括：建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全.国家网信办2019年发布的《数据安全管理办法(征求意见稿)》[6]进一步明确了建立数据安全管理责任和评价考核制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训.总之，当前业内对于数据安全治理应该涵盖组织机构、管理制度、安全技术及专业人员几个方面是具有统一认识的.

中国互联网协会发布的团体标准T/ISC-0011—2021《数据安全治理能力评估方法》[7]给出了一套数据安全治理能力评估框架，框架涵盖了数据安全战略、数据生命周期安全和基础安全3个层面的共18个数据安全能力项，并对于每个能力项又细分为基础、优秀和先进3个等级.

Gartner曾提出了一个DCAP(以数据为中心的审核和保护)的数据安全治理理念，基于该理念业内提出过很多的以数据为中心的数据安全解决方案，这些解决方案的一个共性就是对数据进行发现和标识化(数据分类分级)，并基于这些数据标识进行相应的安全策略控制.

2.2 数据安全治理存在的主要问题

业内对数据安全治理过程及关键路径基本都有一定共识，并进行了一些相关实践.

但是目前数据安全治理研究及实践存在一些典型问题，主要有以下几个方面.

2.2.1 数据安全合规不等同于数据安全保障

安全行业一个重要业务目标就是“合规”，即遵守国家各类安全相关法律法规的要求，在数据安全领域也是如此.

数据安全领域涉及的合规要求除了既要遵守网络安全相关的法规，还要遵守数据安全专有的法规.典型的数据安全法规包括：2021年刚发布的《数据安全法》和《个人信息保护法》[8]，另外国家网信办发布的《网络安全审查办法(修订草案征求意见稿)》[9]也专门增补了数据安全相关要求，正式发布后也将是各关键信息基础设施数据处理者所应重点遵守的法规之一.另外还有很多其他法规(如《中华人民共和国民法典》等)也涉及数据安全相关规定，同时有些部委和地方政府也会出台面向行业或区域的数据安全相关法规，比如银保监会发布的《中国银保监会监管数据安全管理办法(试行)》[10]、工信部发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》[11]、天津市发布的《天津市数据安全管理办法(暂行)》[12]等.

数据安全合规工作非常重要，合规也是从事数据处理事项的基本前提条件.但是数据安全合规不能等同于数据安全保障，即使符合各种相关的数据安全法规要求，不能认为数据安全就万无一失.我们知道，数据安全防护本质符合“木桶原理”，即数据安全防护水平取决于数据安全所涉及各个方面的安全防护水平的最低点，合规仅确保这个最低点能达到基本要求，也就是底线要求.

另外数据安全合规检查的粒度也直接决定了合规结果与安全效果是否一致，就算拿到了合规证明也很难确保系统达到数据安全防护能力要求.比如数据安全法规要求数据采集必须经过充分授权，但实际执行过程是得到明示同意还是只单纯进行公示.数据处理者对数据必须进行分类分级，但是实际执行分类分级的粒度是否涵盖了所有重要数据，是否能确保重要数据都得到有效防护.这些情况在数据安全合规评估和检测中未必能得到充分确认.同时数据安全合规评估和检测也与执行评估和检测人员自身水平及采用的评估和检测的工具能力也有很大关系.因此，数据安全合规只能作为数据安全防护的基础和底线的要求，要做好数据安全保障还需要做更多工作.

2.2.2 数据安全方案不等同于数据安全防护

数据安全治理还经常存在重视数据安全设计方案和建设方案，但却忽视数据安全防护效果的问题.

编制数据安全方案是几乎所有数据安全建设项目所必需的要求，但是很多项目都存在重建设轻运营的问题，即数据安全方案编制得比较全面，实际建设也按方案要求进行了部署和应用，但是数据安全治理效果是否能发挥出来、数据安全策略是否达到方案预期效果等数据安全运营阶段所应重点考察的指标往往被忽视.

2.2.3 数据安全运维不等同于数据安全运营

数据安全治理实践经常是重视运维，很多项目基本都会要求配置驻场运维人员，但是对数据安全运营不是非常重视，甚至有些项目还经常把运维和运营2个概念混淆不清.

数据安全运营的目的是把数据安全的价值挖掘出来，但是在平常业务中，数据安全运营与数据安全运维、数据安全管理等既有部分重叠，又各有侧重点.

数据安全运维的核心目标就是维护好数据安全相关软硬件产品，确保数据安全软硬件产品正常运转，相关故障、告警得到及时处置.通俗来讲，数据安全运维是确保产品用起来，数据安全运营则是确保产品用好.以数据库防火墙产品为例：数据安全运维确保防火墙运行状态正常，没有死机、没有故障、没有异常等；数据安全运营则是确保防火墙的安全防护规则始终有效，并及时剔除失效的策略.

另外，数据安全运维人员技能更多强调对数据安全软硬件产品的使用及维护等方面，数据安全运营人员技能则更多是侧重数据安全防护与具体业务方面.

2.2.4 数据安全技术不等同于数据安全治理

经过多年研究发展，目前已经有很多的数据安全相关技术逐步成熟，比如加密、脱敏、数字水印、数据库审计等等，这些技术也在绝大部分数据安全治理实践中得以落实.

但是还存在一些项目重视技术、轻视治理的问题，数据安全技术不等同于数据安全治理.数据安全技术的实践除了依赖数据安全技术本身的技术成熟度，同时还深度依赖数据安全技术应用的业务场景，以及数据安全技术产品运营人员的技能、熟练程度及责任心等.

3 数据安全治理体系研究

3.1 数据安全治理目标

本文研究的数据安全治理目标还是限定在1个或多个组织机构内，面向重要数据或敏感信息的数据安全管理与控制等相关措施.典型的业务场景就是数字政府中各政府部门的数据安全治理，既包括各政府部门内部数据安全治理，也包括跨部门的数据共享层面的数据安全治理.

数据安全治理主要目标包括以下方面：

1) 数据安全合规目标.必须满足国内各类数据安全法规的要求，包括国家、地方及相关行业方面的法律和法规.

2) 数据安全防护目标.必须确保数据安全治理所涵盖的业务系统的重要数据运行安全，包括数据可靠性要求、数据防泄露要求以及数据防滥用要求等.

3) 数据安全治理目标.提供涵盖技术与管理等多层次的数据安全治理体系，确保数据安全与数据业务持续同步发展.

3.2 数据安全治理体系架构

本文提出一套集管理、技术、评估和运营为一体的数据安全治理体系架构，从多个维度提出数据安全治理实践机制，具体架构如图1所示.

图1 数据安全治理实践机制

数据安全治理机制主要涵盖4个维度的数据安全治理实践机制：

1) 数据安全管理机制.主要包括数据安全治理所涉及的组织建设、人力保障和相应的规范制度等.

2) 数据安全治理技术.涉及数据安全治理所涉及的各个领域的技术及工具，主要包括数据发现、分类分级、数据安全防护策略、安全风险控制及安全运营等方面.

3) 数据安全治理评估.具体涉及评估和评价，以及针对评估和评价后的结果进行改进与提升方面的内容.

4) 数据安全运营.主要包括数据安全事件应急处置、数据安全风险隐患排查、数据安全威胁预警通报及数据安全审计等.

4 数据安全治理实践探索

4.1 数据安全治理管理机制

数据安全治理离不开组织和人力方面的投入，因此数据安全治理管理机制需要重点落实以下方面的工作.

4.1.1 组织建设

需要制定数据安全治理组织机构，明确数据安全治理所涉及业务范围的相关组织团队在数据安全治理工作中的相关职责和具体要求，建议至少应制定下面几个数据安全治理组织角色：1)数据安全决策层.由整个组织高级管理人员或数据安全官等组成，负责整个组织的数据安全目标与规划、数据安全治理全过程的资源保障及重大事件协调与决策等职责，承担整个组织数据安全最终责任.2)数据安全管理层.由整个组织内各个具体业务部门管理人员等组成，负责具体业务部门数据安全措施与决策的执行，包括但不限于制定数据安全管理规范、组织制定及落实数据安全技术方案、组织数据安全业务及技能培训等，承担具体业务部门数据安全的责任.3)数据安全执行层.由各个具体业务部门承担数据安全执行的人员组成，主要负责具体数据安全治理相关的技术及管理措施的落实，包括但不限于数据安全技术方案与数据管理管理制度执行、数据安全产品部署及运维、数据安全事件监控及处置、数据安全漏洞排查及修复、数据安全事件溯源及分析等.4)数据安全监督层.由组织内与业务部门没有隶属关系的第三方人员组成，主要负责数据安全治理过程与结果的监控和审计，确保数据安全治理组织执行的效果.

4.1.2 人力保障

数据安全治理除了需要相关的技术工具和产品，也离不开相应的人员保障，组织建设中明确的各个数据安全治理组织角色都需要明确具体人员保障，并制定相关人员的职责和考核要求，以及为了确保人员数据安全业务技能符合数据安全治理要求所应该开展的人员技能培训及职业发展规划等.

4.1.3 规范制度

数据安全治理涉及多方面的规范制度，主要包括：

1) 《数据安全管理制度》明确各个业务系统所涉及的数据安全管理范围及责任人，以及相应的组织保障机制等.

2) 《数据分类分级规范》对组织内的各类业务数据，尤其是个人信息和重要数据，明确数据类别和安全级别.

3) 《数据安全管理规范》明确不同类别、不同级别数据的安全管理措施，建立涵盖数据采集、传输、存储、处理、交换、销毁等数据生存周期的安全管理规范.

4) 《数据安全运营管理规范》明确数据安全风险监控措施、数据安全风险响应和应急处置措施、数据安全漏洞排查、数据备份恢复等相应措施要求.

5) 《数据安全培训管理制度》明确数据安全人员培训等相关要求.

4.2 数据安全治理技术方案

数据安全治理技术依据DCAP“以数据为中心的安全”技术理念，围绕数据的生命周期过程，重点针对数据流转过程实现数据安全防护.

数据安全治理主要的技术包括数据发现技术、数据分类分级技术、数据安全防护策略技术、数据安全风险控制技术及数据安全运营技术等.

4.2.1 数据发现技术

数据安全治理的对象是数据，因此准确高效发现需要进行数据安全治理的核心数据尤为关键.

目前业内静态数据发现技术(如数据爬虫)已经有很多成功应用，当前对于动态数据(流转中的数据)的发现和监控以及精准识别出个人敏感信息和重要数据的相关技术还存在一些技术挑战，动态数据发现依赖于数据血缘等大数据相关技术，精准数据识别主要依赖于正则表达式等特征匹配技术，这些技术手段当前还存在如误判、漏判以及性能瓶颈等相关问题.

4.2.2 数据分类分级技术

数据安全治理的基础就是对数据进行合理的分类分级，不同类别级别数据进行不同程度的数据安全控制，有助于避免对所有数据进行无差别的安全措施，降低整体数据安全治理成本，达到对关键数据进行精准控制的目的.

数据分类分级的前提是制定数据分类分级标准，然后是对数据进行类别级别的数据打标.该技术实现的难点在于数据标签如何能在不影响正常数据业务的前提下随数据流转过程进行标签流转，并确保数据流转过程中数据标签不会被业务丢弃或篡改.

4.2.3 数据安全防护策略技术

数据安全治理的关键措施就是对不同类别级别数据执行不同的数据安全防护策略，常见的数据安全防护策略包括数据加密、数据脱敏、数字水印、数据访问控制等.

数据安全治理中的数据安全防护策略需要做到数据全生命周期的安全防护，即需要基于数据分类分级标签，基于类别和级别进行相应的数据安全防护策略控制，确保数据流转过程中各个阶段能采用完全一致的数据安全控制措施，如在数据共享过程中，部门A数据共享给部门B，部门B需要基于数据的类别与级别采取与部门A相同的安全控制措施.但是如何确保安全措施的一致性，具体实践方案可以考虑采用部署集中数据安全控制中心的方案，对整个组织内的数据安全防护策略进行统一控制和实施.

4.2.4 数据安全风险控制技术

数据安全防护策略并不能保证数据的绝对安全，尤其是对于数据滥用方面，常见的数据安全防护策略很难防范，因此基于大数据技术的数据安全风险控制技术可以进行有效补充.

数据安全风险控制技术主要通过在数据流转的各个关键环节部署数据探针等采样数据，同时结合数据业务提炼数据安全业务模型，对数据流转过程中潜在的数据泄露、数据滥用行为进行防范.数据安全风险控制技术还可以与安全威胁情报相结合，对于可能泄露到外网的关键数据进行风险分析与预警.

4.2.5 数据安全运营技术

数据安全运营是数据安全治理不可或缺的一个环节，数据安全运营环节涉及很多具体技术，其中数据安全态势分析和预警通报是最常用的技术措施之一.

数据安全态势分析主要采集数据安全防护及数据安全风险控制产品相关安全风险数据，对数据安全风险进行汇总分析，并结合安全风险对数据业务影响程度进行风险优先级排序，确保高风险的安全事件得到最优先的处置.同时数据安全态势分析还需要实现数据安全事件处置的闭环跟踪，即需要能够关联数据安全事件处置责任人，并对一些基本的安全事件进行自动紧急处置(如关闭业务等).

数据安全预警通报核心是基于数据安全漏洞排查、数据安全威胁情报等信息对组织内的数据业务系统存在的潜在数据安全威胁进行风险识别及预警通报，提前防范相关数据安全威胁.

4.3 数据安全治理评估机制

数据安全治理评估机制是检查数据安全治理效果的最有效措施，评估机制主要包括评估与评价措施和改进与提升措施2个方面.

数据安全评估措施主要包括：确定评估的目标数据及所涉及的应用系统和人员，梳理数据全生命周期过程及所涉及的数据安全技术与管理措施，分析各个数据流转环节数据安全措施的有效性，输出数据安全评估分析报告.数据安全评价措施在数据安全评估措施的基础上对数据安全治理能力和效果进行打分评价.另外DSMM标准可以作为数据安全评估和评价措施的一个重要参考材料，该标准提炼出的30个安全过程域基本涵盖了数据安全评估过程的各个环节，标准对数据安全能力成熟度模型的定级也可以作为评价结果的重要参考.

对于数据安全评估与评价发现的问题需要及时采取相应的改进与提升措施，具体工作包括：明确改进与提升的责任人，制定数据安全改进与提升方案及工作计划，对于改进与提升后的结果进行审计和总结等.

数据安全治理评估机制不是一个一次性的任务，而是需要根据数据业务发展情况定期或不定期开展.如果数据业务发展比较平稳，可以考虑1个季度开展1次评估；如果某段时间较多数据业务上线，或者某个重要数据业务出现较大变更等情况也可以及时进行数据安全评估.

4.4 数据安全治理长效运营

数据安全治理与数据业务发展紧密相关，这也导致数据安全治理不是一个短期的一蹴而就的工作，而是需要长期持续运营.

数据安全治理运营的核心工作包括应急处置、隐患排查、预警通报和安全审计等几个方面.

4.4.1 应急处置

对于数据安全治理过程中发现的各类数据安全事件和威胁隐患能够及时进行闭环处置，确保数据安全威胁得到解除，降低数据安全事件对数据业务的影响程度.数据安全应急处置具体措施需要根据数据安全事件根本原因进行针对性处理，常见措施包括修复数据业务系统安全漏洞、改进数据处理业务流程、完善数据管理措施与制度等.

4.4.2 隐患排查

数据安全隐患排查工作需要定期或基于数据安全威胁情报实时开展，主要是针对数据业务系统及数据处理流程中是否存在数据泄露、数据损毁或数据滥用等方面的漏洞进行检查，隐患排查还可以借助相关数据安全漏洞扫描等工具辅助进行.

4.4.3 预警通报

预警通告要求数据安全运营人员对未发生的各类数据安全威胁进行提前处置，具体措施可以借助数据安全运营相关技术工具进行威胁预测分析及漏洞检测.

4.4.4 安全审计

安全审计是数据安全措施合规及有效性的根本保障，数据安全审计一方面要求配置独立的安全审计人员，另一方面也要求保障审计工作的规范性和专业性.数据安全审计规范性要求主要体现在审计过程的严谨性和审计材料的可靠性(不会被随意篡改或损毁)等方面，数据安全审计专业性则要求审计人员具备专业的数据安全业务知识，能够对数据安全管理、技术等处置措施的规范性及结果有效性进行准确研判.

5 结束语

近年来数据已经成为国家重要的新型生产要素[13]，数据要素的数据安全治理还处于初期研究阶段，同时针对人工智能等新型技术领域的数据安全治理研究也在持续深入[14]，一些相关的技术(如隐私安全计算、数据安全溯源等)还处于发展和成熟过程中，数据安全治理相关的行业及国家标准还没有展开.相信随着数据要素市场化的深入推进以及国家对数据安全领域的重视持续加强，数据安全治理将在实践中逐步成熟.