中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》将数据与土地、资本、劳动力、技术并列为五大生产要素。
数据作为生产要素参与到社会和经济发展中已经是大势所趋。同时,随着技术的不断发展,进入数字安全时代,任何不安全的行为和机制都有可能演变成风险、事件,安全的首要目标也从“不出问题”逐渐演变为“风险可控”。
防范与治理的紧迫性
最近十年内,全球数据泄露记录达到千亿条,数据泄露事件达到数万余起,企业数据遭到破坏的事件屡屡发生,“大数据杀熟”、“窃听式营销”等侵犯隐私的乱象频发,数据安全风险的防范与治理刻不容缓。
“十四五”规划提出强化数据全生命周期安全保护与立法,数据安全成为我国数字化进程重要一环。
2021年,工信部在《数据安全风险信息报送与共享工作指引》中曾经列出数据泄露、篡改、违规传输等在内的几类风险。
2023年,全国信安标委《网络数据安全风险评估实施指引》在附录里也列出了常见的数据安全风险类型。
任何一项不安全的行为、机制都有可能衍生出数据安全风险,而风险能够演变成多种形态的安全事件,比如针对数据的泄露、破坏等,这些事件甚至可以同时或者先后作用于同一数据。
关键要素识别风险评估
风险自身的未知、动态属性要求组织对风险的识别、评估环节尽可能地前置化、常态化。
数据安全风险评估的主要目标是摸清数据种类、规模、分布、数据处理活动基本情况,从而发现例如共享、交易、委托处理、向境外提供重要数据等处理活动中可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险,促进完善数据安全保护措施,提升数据安全保护能力。
在数据安全风险的评估过程中需要充分识别构成风险的基本要素,比如需要分析数据在不同生命周期环节可能威胁数据保密性、完整性、可用性、可控性、合规性的威胁或者安全问题,以判断风险发生的可能性。或者,需要提前判断组织业务场景中的使数据资产价值受损的一些情形,例如数据质量降低、存在法规限制、时效性稀缺性受损等,以分析风险发生后的损失与影响,从而全面分析出风险发生的可能性以及影响,推动后续的风险处置,实现风险管理闭环。
数据安全治理主线
组织数字化转型加剧安全危机:数据作为新型生产要素,是实现业务价值的主要载体,它在流动中体现价值、创造价值,而流动必然伴随风险。结合云计算技术的发展,数据规模迅速增加、复杂的业务情境以及技术条件下的海量数据流转、数据存取方式演变导致数据访问管理暗藏风险、攻击手段日益多样化的现状,可以说数据的边界在哪里,业务的边界就在哪里,也决定了风险的边界在哪里。
目前大多数组织的数据安全风险治理集中在对已知风险的评估与分析阶段,主要是对已知的安全缺陷进行挖掘,整体上缺乏全局视角与调优参考,对风险评估的结果应用也不甚充分,尚未形成一条可联动、可协同的治理链条。
数据安全风险的治理作为数据安全体系建设的“另一面”,在以风险为核心,充分体现风险识别、评估、处置以及监控改进的治理思路的同时,应与现有理论相互支撑、补充,建立一条覆盖识别、评估、处置、监控的风险治理主线,考虑组织内部多方多维协同,兼顾技术与管理措施。
数据安全治理三个要点
数据安全治理工作是以数据为中心开展的。要根据具体的业务场景和数据生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。
数据安全治理需要多方共治。仅依靠安全团队或者法务团队一方力量是无法开展数据安全治理工作,必须构建多方参与的工作机制,明确各方职责,分工协同推进。
数据安全治理强调发展和安全的平衡。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全,同时也要以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。