專家對話數(shù)據(jù)安全 —— 產(chǎn)業(yè)指導(dǎo)意見編制工作啟動 新形勢下亟需數(shù)據(jù)安全“復(fù)合治理”

責(zé)任編輯:zhaoxiaoqin

2021-12-21 19:08:24

2021年12月16日,由國家信息中心《信息安全研究》雜志社主辦的“2021網(wǎng)絡(luò)安全創(chuàng)新發(fā)展高峰論壇”在北京順利召開,來自部委、央企、大型企事業(yè)單位、網(wǎng)絡(luò)安全企業(yè)的相關(guān)專家出席了本次會議。結(jié)合2021年網(wǎng)絡(luò)空間安全領(lǐng)域熱點議題,本次會議開設(shè)了“數(shù)據(jù)安全”“關(guān)基保護(hù)”“零信任”三個分論壇,與會專家進(jìn)行

2021年12月16日,由國家信息中心《信息安全研究》雜志社主辦的“2021網(wǎng)絡(luò)安全創(chuàng)新發(fā)展高峰論壇”在北京順利召開,來自部委、央企、大型企事業(yè)單位、網(wǎng)絡(luò)安全企業(yè)的相關(guān)專家出席了本次會議。結(jié)合2021年網(wǎng)絡(luò)空間安全領(lǐng)域熱點議題,本次會議開設(shè)了“數(shù)據(jù)安全”“關(guān)基保護(hù)”“零信任”三個分論壇,與會專家進(jìn)行了技術(shù)分享和交流,采取了線上線下相結(jié)合的會議模式,取得了良好效果。

會議現(xiàn)場
 
       在論壇舉行期間,舉行了“《數(shù)據(jù)安全復(fù)合治理白皮書》發(fā)布儀式”,國家信息中心首席工程師李新友、中國信息安全研究院副院長左曉棟、中國軟件評測中心網(wǎng)安中心部門副主任白利芳以及螞蟻集團(tuán)螞蟻集團(tuán)天塹實驗室負(fù)責(zé)人劉焱總監(jiān)出席儀式并接受采訪,就數(shù)據(jù)安全相關(guān)的政策法規(guī)、技術(shù)應(yīng)用以及由螞蟻集團(tuán)提出的數(shù)據(jù)安全復(fù)合治理模式等話題展開交流。


《數(shù)據(jù)安全復(fù)合治理白皮書》發(fā)布儀式

重要數(shù)據(jù)的標(biāo)準(zhǔn)定義將于12月底之前正式征求社會意見
 
       中國信息安全研究院副院長左曉棟在接受采訪時表示,《數(shù)據(jù)安全法》(以下簡稱“數(shù)安法”)明確了我國要建立數(shù)據(jù)分類分級保護(hù)制度,但是具體到怎么分這一問題,數(shù)安法并沒有明確的,而在由他參與起草的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》 (意見反饋截止時間為2021年12月13日)中,則正式明確了數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù),與此同時,數(shù)據(jù)安全也成為該條例中的專設(shè)一章。這意味著我國的關(guān)于重要數(shù)據(jù)的安全管理制度已然成形。
 
        隨著數(shù)安法的實施以及網(wǎng)絡(luò)數(shù)據(jù)安全管理條例的制定進(jìn)程不斷推進(jìn),左曉棟進(jìn)一步表示,對重要數(shù)據(jù)識別的工作就成為當(dāng)務(wù)之急且非常重要的工作,確定到底何為重要數(shù)據(jù)以及誰為監(jiān)管對象就成為當(dāng)務(wù)之急,畢竟在監(jiān)管之下,一旦出了問題,對于重要數(shù)據(jù)和非重要數(shù)據(jù)而言,所涉及的法律義務(wù)是不同的,所涉及的法律責(zé)任也是不同的,其最終的結(jié)果也是完全不一樣。
 
        據(jù)他透露,針對重要數(shù)據(jù)的標(biāo)準(zhǔn)定義這一問題,目前已同全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處進(jìn)行了深入溝通,力爭在12月底之前正式征求社會意見。
 
網(wǎng)絡(luò)數(shù)據(jù)安全管理條例呼之欲出
生物識別技術(shù)濫用等問題有望被徹底遏制
 
        關(guān)于近兩年頻繁被報道的生物特征識別技術(shù)濫用問題,左曉棟表示,網(wǎng)絡(luò)數(shù)據(jù)安全管理條例中也專門針對這一情況做了清晰的規(guī)范,主要體現(xiàn)在兩點:
 
      1、在應(yīng)用生物特征識別技術(shù)之前,必須要進(jìn)行安全性以及必要性的評估。
      2、不能將生物特征識別作為唯一的身份認(rèn)證方式。
 
       值得一提的是,上述兩點都是必選項,這意味著無論是物業(yè)、商場還是其他場所,要想使用人臉識別這一生物特征識別技術(shù)作為進(jìn)出憑證或其他用處,就必須要做相關(guān)評估,如自身無能力做好評估,也必須通過專業(yè)的第三方機(jī)構(gòu)來協(xié)助完成相關(guān)評估報告。
 
       相比之下,第2點更為值得關(guān)注,這意味著即便是經(jīng)過了安全性和必要性的評估,也必須要提供其他方式,比如物業(yè)不能僅單一設(shè)置人臉識別的方式作為業(yè)主出入小區(qū)的方式,至少還需提供諸如刷卡等其他方式。對于部分管理者故意設(shè)置門檻間接強(qiáng)迫用戶選擇使用生物特征識別技術(shù)相關(guān)產(chǎn)品功能的狀況,也有望在該條例執(zhí)行后得到徹底扭轉(zhuǎn),左曉棟在這里強(qiáng)調(diào)道,如果這一條目在條例發(fā)布時得以設(shè)立,那么意味著管理者將不能靠各種手段‍‍去強(qiáng)迫用戶接受單一生物特征識別這一方式,也不能故意在其他替代方式上增加使用難度及復(fù)雜度去間接強(qiáng)迫用戶必須選用生物特征識別方式。
 
安全新形勢下,亟需數(shù)據(jù)安全“復(fù)合”治理新模式
螞蟻集團(tuán)聯(lián)合多個專業(yè)機(jī)構(gòu)編寫發(fā)布《數(shù)據(jù)安全復(fù)合治理與實踐白皮書》
 
        本次2021年網(wǎng)絡(luò)安全創(chuàng)新發(fā)展高峰論壇中,由中國軟件評測中心、國家信息中心《信息安全研究》與螞蟻集團(tuán)共同編寫的《數(shù)據(jù)安全復(fù)合治理與實踐白皮書》(以下簡稱“白皮書”)正式發(fā)布。那么數(shù)據(jù)安全復(fù)合治理是一種什么樣的模式?它所關(guān)注解決的數(shù)據(jù)安全問題集中在哪些方面呢?針對這一問題,我們也向螞蟻集團(tuán)天塹實驗室負(fù)責(zé)人劉焱總監(jiān)進(jìn)行了了解。
 
        數(shù)據(jù)安全復(fù)合治理,強(qiáng)調(diào)“復(fù)合”二字,該模式是經(jīng)過螞蟻集團(tuán)結(jié)合過往的實踐所總結(jié)出的一套方法論,從引導(dǎo)企業(yè)建設(shè)與升級數(shù)據(jù)安全治理體系的視角出發(fā),以”戰(zhàn)略要位、實戰(zhàn)牽引、全員參與、技術(shù)破局“為指導(dǎo) ,強(qiáng)調(diào)系統(tǒng)性、落地性,主要分為三大部分,分別是數(shù)據(jù)安全的戰(zhàn)略、數(shù)據(jù)安全的運營管理以及數(shù)據(jù)安全治理科技。其主要亮點有:
 
        多視角安全度量。企業(yè)在開展數(shù)據(jù)安全治理工作時,安全治理效果的量化評估是一個長期的痛點。由于安全治理是個體系化的風(fēng)險管理工程,安全度量需要從多個評價視角入手才能全面衡量治理效果。一方面要對員工安全意識教育、防護(hù)建設(shè)覆蓋等治理過程需要準(zhǔn)確度量以體現(xiàn)安全工作進(jìn)展與成果,另一方面從風(fēng)險主體視角,以安全規(guī)范、安全基線等合規(guī)要求為輸入,來衡量各類風(fēng)險主體的風(fēng)險濃度與嚴(yán)重性,并圍繞風(fēng)險分?jǐn)?shù)開展場景化應(yīng)用和通曬排名等運營模式,以提高主體的風(fēng)險重視度。最終,還需要從攻防視角組織紅藍(lán)演練,對于治理體系的薄弱環(huán)節(jié)進(jìn)行驗證、對風(fēng)險盲區(qū)進(jìn)行發(fā)現(xiàn),以真實客觀評價安全治理體系的實戰(zhàn)有效性,達(dá)到以攻促防、攻防相長的效果??傮w上,在多視角安全度量體系的驅(qū)動下,企業(yè)得以看清當(dāng)前安全水位,落實安全風(fēng)險的精細(xì)化管理,持續(xù)提升安全水位,并保證自身體系的健壯性。
 
         全員參與。數(shù)據(jù)與業(yè)務(wù)緊密交織,正式基于這一特點,螞蟻集團(tuán)在數(shù)據(jù)安全的風(fēng)險管理上一直秉承一個理念:“數(shù)據(jù)安全不僅是安全團(tuán)隊的事情,而是每個公司員工都需要高度重視的事情”。因此,如何構(gòu)建一個全員參與的風(fēng)險治理體系就顯得格外重要。螞蟻集團(tuán)通過“啄木鳥”行動等豐富、活潑的心智運營活動設(shè)計,充分調(diào)動全員主動參與積極性,有效實現(xiàn)不同特點人群的精確觸達(dá)。
 
         原生式安全。將數(shù)據(jù)安全的理念和要求融入到研發(fā)的過程中,保證產(chǎn)品在發(fā)布前已具備充分必要的數(shù)據(jù)保護(hù)措施,而不是出現(xiàn)數(shù)據(jù)安全問題以后,被動地修復(fù)和治理。同時可針對數(shù)據(jù)處理產(chǎn)品組件開展內(nèi)部認(rèn)證,推薦、保障研發(fā)團(tuán)隊使用安全、可靠的組件,對使用不符合內(nèi)部認(rèn)證標(biāo)準(zhǔn)的組件的產(chǎn)品和系統(tǒng),督促其及時進(jìn)行整改,以增強(qiáng)產(chǎn)品和系統(tǒng)的“天然免疫力”。
 
        數(shù)據(jù)治理科技破局。傳統(tǒng)的數(shù)據(jù)安全技術(shù)已無法應(yīng)對當(dāng)前復(fù)雜的業(yè)務(wù)場景和安全需求,因此我們需要高度重視數(shù)據(jù)安全治理科技的關(guān)鍵破局作用,不斷加強(qiáng)系統(tǒng)、算法、數(shù)據(jù)和產(chǎn)品等領(lǐng)域的科技創(chuàng)新,推動數(shù)據(jù)安全治理技術(shù)能力與體系的持續(xù)完善。
 
       從整體來看,數(shù)據(jù)安全復(fù)合治理體系具有體系化的特點,通過它的應(yīng)用可以實現(xiàn)數(shù)據(jù)安全自我優(yōu)化的一個復(fù)合治理體系,而此次白皮書的推出,對于企業(yè)如何做好數(shù)據(jù)安全治理相信會有很強(qiáng)的參考價值和指導(dǎo)意義。
 
       中國信息安全研究院副院長左曉棟對數(shù)據(jù)安全復(fù)合治理模式的實踐和創(chuàng)新給予了肯定,并表示由于數(shù)據(jù)安全與傳統(tǒng)的網(wǎng)絡(luò)安全之間在“系統(tǒng)環(huán)境、資產(chǎn)情況、行為安全、治理方式”方面存在較大差異,因此呼吁有更多的企業(yè)積極投身治理模式的創(chuàng)新、構(gòu)建,為社會輸出公共知識及產(chǎn)品,以科技創(chuàng)新及實踐經(jīng)驗助推政策落地,保護(hù)社會利益,公民權(quán)益,促進(jìn)企業(yè)良性發(fā)展。
 
 
中國評測:我國數(shù)據(jù)安全產(chǎn)業(yè)系列工作正在緊張有序推進(jìn)
 
        在采訪現(xiàn)場,我們還了解到一個重磅信息——來自中國軟件評測中心網(wǎng)安中心白利芳副主任向我們介紹到,我國數(shù)據(jù)安全產(chǎn)業(yè)系列工作正在有序推進(jìn),相關(guān)政策及配套文件正在加緊制定,預(yù)計明年會陸續(xù)推出。
 
       據(jù)透露,數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展指導(dǎo)意見(以下簡稱“指導(dǎo)意見”)由工業(yè)和信息化部主導(dǎo),中國軟件評測中心(以下簡稱“中國評測”)牽頭,在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的指導(dǎo)下聯(lián)合部屬兄弟單位、產(chǎn)業(yè)上下游企業(yè),以及相關(guān)部門的產(chǎn)業(yè)經(jīng)濟(jì)專家、數(shù)據(jù)安全領(lǐng)域?qū)<乙约皵?shù)據(jù)安全產(chǎn)業(yè)需求側(cè)及供給側(cè)的專家一同研究制定,目前已形成階段性的成果。
 
       白利芳副主任表示,目前與指導(dǎo)意見相關(guān)的配套文件也均在同步編制的過程中,如《數(shù)據(jù)安全產(chǎn)品和技術(shù)清單》、《數(shù)據(jù)安全重點技術(shù)和產(chǎn)品攻關(guān)指南》、《數(shù)據(jù)安全產(chǎn)業(yè)創(chuàng)新體系建設(shè)方案》等也在編制階段。
 
       可以看到,在《數(shù)據(jù)安全法》頒布并實施之后,數(shù)據(jù)安全產(chǎn)業(yè)作為新興數(shù)字產(chǎn)業(yè),將積極把握數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化發(fā)展機(jī)遇,為數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展、數(shù)據(jù)要素市場化配置提供關(guān)鍵保障。
 
       后續(xù)我們將看到國家層面牽頭出臺或推動的一些列制度、機(jī)制和標(biāo)準(zhǔn),體現(xiàn)出國家正在以全局性視角去看待數(shù)據(jù)安全治理,采取的是“自上而下”的數(shù)據(jù)安全治理工作路徑。而此次軟評中心聯(lián)合國家信息中心《信息安全研究》、螞蟻集團(tuán)共同編寫的白皮書所提出的數(shù)據(jù)安全“復(fù)合治理”模式,則是從企業(yè)內(nèi)部數(shù)據(jù)安全有效落地、支撐國家數(shù)據(jù)治理工作的積極實踐。數(shù)據(jù)安全治理作為一項體系化工程是夯實產(chǎn)業(yè)基礎(chǔ)的重要舉措,如何實現(xiàn)高水平的數(shù)據(jù)安全治理促進(jìn)產(chǎn)業(yè)高質(zhì)量發(fā)展是需要產(chǎn)業(yè)各方主體共同努力的方向之一。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號