(上海觀安信息技術(shù)股份有限公司�,上海 264001)
0 引言
隨著網(wǎng)絡(luò)信息技術(shù)創(chuàng)新持續(xù)進(jìn)步和發(fā)展,我國(guó)的數(shù)據(jù)規(guī)模不斷擴(kuò)大�����。在以數(shù)據(jù)為關(guān)鍵生產(chǎn)要素的數(shù)字經(jīng)濟(jì)發(fā)展歷程中����,數(shù)據(jù)要素憑借邊際成本低�����、規(guī)模效應(yīng)大����、流動(dòng)性高、可復(fù)用性強(qiáng)等區(qū)別于傳統(tǒng)生產(chǎn)要素的新特點(diǎn)����,對(duì)我國(guó)的產(chǎn)業(yè)上下游的融合貫通和產(chǎn)業(yè)數(shù)字化升級(jí)起到了關(guān)鍵作用�����。
數(shù)據(jù)資源目前已成為國(guó)家基礎(chǔ)戰(zhàn)略資源�,數(shù)據(jù)確權(quán)�、數(shù)據(jù)安全、隱私保護(hù)等問(wèn)題也隨之受到高度關(guān)注��。隨著數(shù)字化新技術(shù)�����、新業(yè)務(wù)的不斷引入�����,衍生出對(duì)數(shù)據(jù)安全的新挑戰(zhàn)���。數(shù)據(jù)安全挑戰(zhàn)主要來(lái)自數(shù)據(jù)合規(guī)的滿足和數(shù)據(jù)安全風(fēng)險(xiǎn)防范��。
目前�,電信行業(yè)作為國(guó)家支柱性行業(yè)越來(lái)越重視數(shù)據(jù)安全合規(guī)���,電信行業(yè)監(jiān)管單位對(duì)數(shù)據(jù)安全合規(guī)的技術(shù)手段�、綜合管理手段也相繼提出了更多要求。保障數(shù)據(jù)安全���、確保業(yè)務(wù)穩(wěn)定運(yùn)行���,已經(jīng)成為每一個(gè)電信企業(yè)應(yīng)該嚴(yán)格遵循且持續(xù)保障的重點(diǎn)[1]。
1 數(shù)據(jù)安全合規(guī)治理概念
在分析電信領(lǐng)域數(shù)據(jù)安全合規(guī)治理的主要內(nèi)容之前��,需要先澄清兩個(gè)基本概念�,數(shù)據(jù)安全合規(guī)和數(shù)據(jù)安全合規(guī)治理。
1.1 數(shù)據(jù)安全合規(guī)
數(shù)據(jù)安全合規(guī)指企業(yè)及其員工對(duì)于數(shù)據(jù)各種處理活動(dòng)�����,包括收集�、存儲(chǔ)����、使用、提供��、轉(zhuǎn)移�、共享�����、發(fā)布�、轉(zhuǎn)讓�、刪除、銷(xiāo)毀���、跨境或非跨境傳輸�、流動(dòng)等保護(hù)的行為需符合國(guó)際條例和國(guó)內(nèi)安全相關(guān)的法律法規(guī)�����,以及其他規(guī)范性文件��、行業(yè)準(zhǔn)則���、商業(yè)慣例���、社會(huì)道德以及企業(yè)章程、規(guī)章制度的要求��。企業(yè)數(shù)據(jù)可分為個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)���,前者是指具有可識(shí)別性的個(gè)人信息��,如員工數(shù)據(jù)與客戶(用戶)數(shù)據(jù)�,后者是指與個(gè)人無(wú)關(guān)的數(shù)據(jù),如企業(yè)經(jīng)營(yíng)數(shù)據(jù)���、日常管理數(shù)據(jù)���、財(cái)務(wù)會(huì)計(jì)數(shù)據(jù)等[2]。
1.2 數(shù)據(jù)安全合規(guī)治理
數(shù)據(jù)安全合規(guī)治理是從組織最高決策層到執(zhí)行層自頂而下覆蓋整體組織管理架構(gòu)的一套滿足數(shù)據(jù)安全合規(guī)的解決方案�,包含了數(shù)據(jù)安全相關(guān)管理制度、流程����、技術(shù)工具到人等的支撐層面,而組織內(nèi)的各層級(jí)��、各部門(mén)均需要對(duì)數(shù)據(jù)安全合規(guī)治理的目標(biāo)達(dá)成一致意見(jiàn)����,有利于內(nèi)部相互協(xié)同并采取適當(dāng)?shù)拇胧┍Wo(hù)數(shù)據(jù)資產(chǎn)安全�����。
數(shù)據(jù)安全合規(guī)治理理念主要圍繞“人員、流程��、技術(shù)”三個(gè)核心能力領(lǐng)域����,延伸到具體電信企業(yè)的合規(guī)控制要求,從三方面(即安全管理與運(yùn)營(yíng)合規(guī)���、安全技術(shù)合規(guī)�、大數(shù)據(jù)組件基線合規(guī))來(lái)展開(kāi)工作���,與現(xiàn)有安全框架體系或標(biāo)準(zhǔn)協(xié)同合作來(lái)實(shí)現(xiàn)治理目標(biāo)����。數(shù)據(jù)安全合規(guī)治理是以“讓數(shù)據(jù)在各種數(shù)據(jù)處理活動(dòng)過(guò)程中滿足各種合規(guī)要求”為目標(biāo)����,通過(guò)組織人員完備、策略規(guī)程制定�����、技術(shù)工具支撐等能力要素實(shí)現(xiàn)的數(shù)據(jù)安全體系化的方法論�。
總體而言����,數(shù)據(jù)安全合規(guī)治理的方法論和組成要素來(lái)自于數(shù)據(jù)安全治理����,合規(guī)治理活動(dòng)也貫穿于數(shù)據(jù)安全治理[3]。
2 電信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)和合規(guī)挑戰(zhàn)
電信行業(yè)是全球數(shù)字化進(jìn)程的先行行業(yè)����。隨著數(shù)字化進(jìn)程的迅猛推進(jìn),數(shù)據(jù)安全風(fēng)險(xiǎn)暴露面����、攻擊面越來(lái)越廣,再加上數(shù)據(jù)價(jià)值的提升和數(shù)據(jù)市場(chǎng)的發(fā)展��,圍繞電信領(lǐng)域的各種數(shù)據(jù)安全風(fēng)險(xiǎn)如數(shù)據(jù)泄露��、數(shù)據(jù)竊取���、數(shù)據(jù)非法交易�、數(shù)據(jù)濫用及其他數(shù)據(jù)安全事件愈演愈烈[4]�。
2.1 電信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)
大數(shù)據(jù)給電信領(lǐng)域帶來(lái)新的業(yè)務(wù)形態(tài)發(fā)展機(jī)遇�����,但隨之而來(lái)的是數(shù)據(jù)的集中化管控、數(shù)據(jù)供應(yīng)鏈的復(fù)雜化���、數(shù)據(jù)開(kāi)發(fā)利用的普遍化���、平臺(tái)組件的開(kāi)源化等新技術(shù)特點(diǎn)和新業(yè)務(wù)形態(tài)應(yīng)用,也給業(yè)務(wù)發(fā)展帶來(lái)了新的安全問(wèn)題�����。電信領(lǐng)域數(shù)據(jù)安全主要面臨如下風(fēng)險(xiǎn)��。
(1)數(shù)據(jù)集中化管控安全風(fēng)險(xiǎn)
在電信企業(yè)大數(shù)據(jù)平臺(tái)中�,集中存儲(chǔ)有不同安全域的業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)、企業(yè)管理數(shù)據(jù)���、用戶相關(guān)數(shù)據(jù)�����、網(wǎng)絡(luò)與系統(tǒng)的建設(shè)及運(yùn)行維護(hù)類(lèi)數(shù)據(jù)等各類(lèi)電信數(shù)據(jù)�。一旦這些數(shù)據(jù)的集中管控風(fēng)險(xiǎn)轉(zhuǎn)化為安全事件,則可能涉及大量電信用戶敏感信息和其他類(lèi)型敏感數(shù)據(jù)遭受泄露或破壞���,從而有可能帶來(lái)相關(guān)敏感數(shù)據(jù)和個(gè)人信息保護(hù)的安全違法違規(guī)風(fēng)險(xiǎn)����。
(2)電信企業(yè)特定數(shù)據(jù)處理活動(dòng)場(chǎng)景下的安全風(fēng)險(xiǎn)
電信企業(yè)客服門(mén)戶網(wǎng)站�����、小程序數(shù)據(jù)收集���、存儲(chǔ)和使用場(chǎng)景下存在以下安全性風(fēng)險(xiǎn):數(shù)據(jù)傳輸過(guò)程中安全風(fēng)險(xiǎn)�����、數(shù)據(jù)存儲(chǔ)和使用環(huán)境云化和虛擬化安全風(fēng)險(xiǎn)�、數(shù)據(jù)使用和加工過(guò)程安全風(fēng)險(xiǎn)��、電信數(shù)據(jù)跨主體流動(dòng)安全風(fēng)險(xiǎn)�、API數(shù)據(jù)訪問(wèn)接口安全風(fēng)險(xiǎn)、電信數(shù)據(jù)出境安全風(fēng)險(xiǎn)等�����。
(3)數(shù)據(jù)存儲(chǔ)和使用環(huán)境云化和虛擬化安全風(fēng)險(xiǎn)
越來(lái)越多的電信企業(yè)大數(shù)據(jù)部署在云資源池、云存儲(chǔ)環(huán)境中��,再加上電信的存儲(chǔ)環(huán)境和計(jì)算環(huán)境的虛擬化�����,導(dǎo)致攻擊者可以利用已有的虛擬主機(jī)使用權(quán)限�����,對(duì)同一虛擬化平臺(tái)和網(wǎng)絡(luò)上的其他虛擬主機(jī)進(jìn)行非法訪問(wèn)���、嗅探和攻擊等,從而因?yàn)閿?shù)據(jù)集中化部署和虛擬化環(huán)境帶來(lái)隱患產(chǎn)生數(shù)據(jù)泄露��、數(shù)據(jù)丟失等風(fēng)險(xiǎn)���。
(4)平臺(tái)組件開(kāi)源化安全風(fēng)險(xiǎn)
電信企業(yè)大數(shù)據(jù)平臺(tái)普遍采用了Hdoop�、Spark���、HDFS等開(kāi)源組件和系統(tǒng)��,但由于開(kāi)源系統(tǒng)高效的數(shù)據(jù)處理能力會(huì)容易以系統(tǒng)安全功能相對(duì)缺乏為代價(jià)�����,一旦開(kāi)源系統(tǒng)的組件中出現(xiàn)漏洞��、后門(mén)���、Bug�����,并且沒(méi)有及時(shí)發(fā)現(xiàn)和修補(bǔ)���,容易產(chǎn)生攻擊者非法利用對(duì)大數(shù)據(jù)平臺(tái)進(jìn)行數(shù)據(jù)竊取等風(fēng)險(xiǎn)。
(5)數(shù)據(jù)使用和加工過(guò)程安全風(fēng)險(xiǎn)
存在違反法律�、行政法規(guī)規(guī)定的目的和范圍使用加工數(shù)據(jù),導(dǎo)致數(shù)據(jù)越權(quán)使用�����、使用權(quán)限混亂���、數(shù)據(jù)過(guò)度獲取���、信任濫用威脅�、分析結(jié)果濫用�����、違規(guī)操作的風(fēng)險(xiǎn)���。
(6)數(shù)據(jù)跨主體流動(dòng)安全風(fēng)險(xiǎn)
電信領(lǐng)域敏感數(shù)據(jù)跨部門(mén)、跨主體流動(dòng)���,如雙方?jīng)]有簽訂數(shù)據(jù)安全保密協(xié)議�、數(shù)據(jù)安全跨部門(mén)流動(dòng)安全保密措施不當(dāng)�,均可能存在發(fā)生敏感數(shù)據(jù)泄露、丟失等風(fēng)險(xiǎn)[5]�。
(7)API數(shù)據(jù)訪問(wèn)接口安全風(fēng)險(xiǎn)
電信領(lǐng)域由于業(yè)務(wù)的快速發(fā)展和迭代,電信企業(yè)無(wú)法完全掌握API的應(yīng)用情況��、業(yè)務(wù)與安全存在割裂現(xiàn)象��,容易導(dǎo)致API接口的憑據(jù)失陷�、越權(quán)訪問(wèn)、數(shù)據(jù)篡改���、違規(guī)爬取���、數(shù)據(jù)泄露等諸多安全風(fēng)險(xiǎn)產(chǎn)生����。
(8)數(shù)據(jù)出境安全風(fēng)險(xiǎn)
電信企業(yè)數(shù)據(jù)會(huì)因?yàn)闃I(yè)務(wù)出海涉及一定的個(gè)人信息�����、重要數(shù)據(jù)�����、電信數(shù)據(jù)跨境訪問(wèn)需求���,在數(shù)據(jù)跨境過(guò)程中隨之會(huì)帶來(lái)一定的數(shù)據(jù)安全風(fēng)險(xiǎn)���。
2.2 電信領(lǐng)域數(shù)據(jù)安全合規(guī)挑戰(zhàn)
(1)電信領(lǐng)域數(shù)據(jù)安全合規(guī)監(jiān)管的加強(qiáng)帶來(lái)難度增大
電信領(lǐng)域大數(shù)據(jù)業(yè)務(wù)發(fā)展過(guò)程中必然伴隨著數(shù)據(jù)安全合規(guī)挑戰(zhàn)。數(shù)據(jù)安全合規(guī)是直接關(guān)系到電信業(yè)務(wù)運(yùn)營(yíng)順利進(jìn)行的重要因素��。目前�����,電信企業(yè)為實(shí)現(xiàn)電信數(shù)據(jù)安全合規(guī)持續(xù)展開(kāi)對(duì)大數(shù)據(jù)安全防護(hù)管理及技術(shù)手段建設(shè)��,并且持續(xù)查找大數(shù)據(jù)系統(tǒng)平臺(tái)運(yùn)營(yíng)的安全薄弱環(huán)節(jié)和隱患。對(duì)于電信大數(shù)據(jù)運(yùn)營(yíng)平臺(tái)��、數(shù)據(jù)安全治理體系滿足國(guó)家法律法規(guī)和電信行業(yè)規(guī)范要求及集團(tuán)管理要求的合規(guī)性遵從方面也做了很多工作����。
電信企業(yè)亟需通過(guò)主管部門(mén)的安全合規(guī)檢查監(jiān)督,掌握電信數(shù)據(jù)安全管控現(xiàn)狀����。
電信行業(yè)主管部門(mén)近些年密集開(kāi)展了國(guó)家數(shù)據(jù)安全法律法規(guī)和電信領(lǐng)域相關(guān)的管理規(guī)章的編制和監(jiān)管/執(zhí)法工作��,由于數(shù)據(jù)安全是一項(xiàng)復(fù)雜的系統(tǒng)性工程��,涉及規(guī)范�、標(biāo)準(zhǔn)眾多,數(shù)據(jù)安全標(biāo)準(zhǔn)解析與落實(shí)難度加大��,對(duì)企業(yè)數(shù)據(jù)安全領(lǐng)域的人員水平與經(jīng)濟(jì)投入提出了更高的要求�����。同時(shí)��,需要更好地平衡業(yè)務(wù)發(fā)展與數(shù)據(jù)安全的關(guān)系���,以避免因數(shù)據(jù)安全能力建設(shè)不足�����,導(dǎo)致企業(yè)業(yè)務(wù)發(fā)展過(guò)程中遵循數(shù)據(jù)安全合規(guī)監(jiān)管的難度加大���。
(2)數(shù)據(jù)安全風(fēng)險(xiǎn)防范難度持續(xù)升級(jí)���,合規(guī)管控難度隨之增加
電信領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)的源頭可能由于內(nèi)部人員的惡意行為、失誤操作或設(shè)備故障導(dǎo)致��,也可能因?yàn)橥獠亢诳偷膼阂夤魧?dǎo)致�,包括采用惡意軟件、安全漏洞�����、社會(huì)工程學(xué)等手段或多種手段的組合����,這為數(shù)據(jù)安全風(fēng)險(xiǎn)的防范帶來(lái)一定難度。
隨著電信領(lǐng)域網(wǎng)絡(luò)形態(tài)不斷演化��,新技術(shù)�����、新應(yīng)用場(chǎng)景日漸復(fù)雜,不斷涌現(xiàn)出新的數(shù)據(jù)類(lèi)別��、數(shù)據(jù)生產(chǎn)和處理方式等���,從而引發(fā)新一輪的數(shù)據(jù)安全事件��,而對(duì)于新型安全風(fēng)險(xiǎn)的研究和防范能力目前還有待提升�,安全挑戰(zhàn)不斷加劇��。
此外���,傳統(tǒng)網(wǎng)絡(luò)安全邊界的模糊化,使得傳統(tǒng)安全防護(hù)體系不再能滿足當(dāng)前跨組織的數(shù)據(jù)流通安全等數(shù)據(jù)安全治理需求����,多方面因素導(dǎo)致滿足數(shù)據(jù)安全合規(guī)的管控難度持續(xù)升級(jí)。
(3)電信領(lǐng)域數(shù)據(jù)處理場(chǎng)景趨于復(fù)雜�,數(shù)據(jù)安全保障難度增加
在電信領(lǐng)域數(shù)據(jù)處理活動(dòng)過(guò)程中,數(shù)據(jù)處理主體和數(shù)據(jù)技術(shù)手段日趨繁雜��,且數(shù)據(jù)流動(dòng)范圍越來(lái)越廣�,數(shù)據(jù)跨境傳輸需求也越來(lái)越多���,數(shù)據(jù)活動(dòng)場(chǎng)景趨于復(fù)雜,也提升了數(shù)據(jù)安全的管控難度�。一是互聯(lián)網(wǎng)技術(shù)日新月異,技術(shù)和產(chǎn)品不斷快速迭代中探索全新的數(shù)據(jù)處理模式��,對(duì)數(shù)據(jù)安全技術(shù)和管理流程的革新速度提出了更高要求��;二是數(shù)據(jù)規(guī)模極速增長(zhǎng)��、數(shù)據(jù)類(lèi)型與數(shù)據(jù)形態(tài)變化多樣給數(shù)據(jù)安全識(shí)別與防護(hù)的時(shí)效性��、可靠性帶來(lái)挑戰(zhàn)��;三是數(shù)據(jù)處理環(huán)節(jié)繁雜眾多����,數(shù)據(jù)流通、應(yīng)用及共享過(guò)程當(dāng)中涉及了眾多數(shù)據(jù)處理主體��,為數(shù)據(jù)安全策略管理和數(shù)據(jù)泄露定責(zé)帶來(lái)困難[6]�����。
3 電信領(lǐng)域數(shù)據(jù)安全合規(guī)需求
3.1 滿足監(jiān)管合規(guī)要求
從滿足運(yùn)營(yíng)商數(shù)據(jù)安全監(jiān)管的要求出發(fā),電信領(lǐng)域數(shù)據(jù)安全防護(hù)體系需要包含多種安全能力�,貫徹落實(shí)法律法規(guī)、電信行業(yè)數(shù)據(jù)安全規(guī)章如《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》�����,以防濫用����、防泄露作為數(shù)據(jù)安全核心需求,建設(shè)針對(duì)數(shù)據(jù)分類(lèi)分級(jí)���、敏感數(shù)據(jù)識(shí)別和梳理�、數(shù)據(jù)安全審計(jì)�、數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)、數(shù)據(jù)溯源�����、數(shù)據(jù)防泄露等安全防護(hù)技術(shù)支撐體系�,滿足電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)等技術(shù)內(nèi)容����,符合電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要求中關(guān)于實(shí)施數(shù)據(jù)分類(lèi)分級(jí)管理并強(qiáng)化電信企業(yè)大數(shù)據(jù)安全合規(guī)性要求。
3.2 滿足電信業(yè)務(wù)安全和合規(guī)需求
從滿足電信業(yè)務(wù)數(shù)據(jù)安全和合規(guī)需求出發(fā),需要建立電信領(lǐng)域以數(shù)據(jù)為中心的涵蓋各數(shù)據(jù)處理活動(dòng)各環(huán)節(jié)的防護(hù)機(jī)制����。在各數(shù)據(jù)處理活動(dòng)過(guò)程中,提供相應(yīng)的數(shù)據(jù)安全技術(shù)保障����,如數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)識(shí)別和梳理�、身份鑒別、訪問(wèn)控制����、數(shù)據(jù)加密、數(shù)據(jù)脫敏�����、數(shù)據(jù)溯源���、數(shù)據(jù)備份和恢復(fù)等���,全方位提升核心應(yīng)用、業(yè)務(wù)及數(shù)據(jù)安全防護(hù)能力��,有效應(yīng)對(duì)外部攻擊和內(nèi)部泄露,構(gòu)建面向數(shù)字時(shí)代的新一代主動(dòng)安全防護(hù)體系[7]����。
4 電信領(lǐng)域數(shù)據(jù)安全合規(guī)治理工作建議思考
對(duì)于電信領(lǐng)域數(shù)據(jù)安全合規(guī)治理作為一個(gè)系統(tǒng)化工程的展開(kāi),聚焦組織��、流程�、技術(shù)、人員等方面���,從討論對(duì)齊����、體檢分析��、診斷治療����、持續(xù)監(jiān)護(hù)、執(zhí)行監(jiān)督等維度進(jìn)行綜合考慮����,建立數(shù)據(jù)可知、風(fēng)險(xiǎn)可視�、體系防護(hù)、持續(xù)有效����、不斷提升改進(jìn)的數(shù)據(jù)安全合規(guī)治理體系,筆者提出了以下建議�����。
4.1 以數(shù)據(jù)安全合規(guī)遵循為邏輯起點(diǎn)
根據(jù)法律法規(guī)�����、行業(yè)規(guī)章和電信領(lǐng)域合規(guī)遵從情況�,基于行業(yè)與現(xiàn)行互補(bǔ)、兼容��,并推陳出新�����,同時(shí)注重與國(guó)內(nèi)政策的體系化綜合運(yùn)用���,以合規(guī)遵循作為電信領(lǐng)域數(shù)據(jù)安全治理的邏輯起點(diǎn)��,全面開(kāi)展?jié)M足電信領(lǐng)域數(shù)據(jù)安全合規(guī)為核心的數(shù)據(jù)安全合規(guī)治理工作���。在此基礎(chǔ)上�,電信企業(yè)應(yīng)建立電信領(lǐng)域的數(shù)據(jù)安全合規(guī)遵從知識(shí)庫(kù)����,該合規(guī)庫(kù)的組成應(yīng)該包含安全法律法規(guī)、電信行業(yè)行政規(guī)章���、集團(tuán)總部數(shù)據(jù)安全管理要求�����、商業(yè)協(xié)議等��。所有不同合規(guī)條款都應(yīng)該經(jīng)過(guò)融合成為一套有機(jī)的去重后的數(shù)據(jù)安全合規(guī)體系����。
4.2 繪制電信領(lǐng)域數(shù)據(jù)資產(chǎn)安全現(xiàn)狀���,明確安全合規(guī)治理目標(biāo)
依據(jù)國(guó)家法律法規(guī)��、電信行業(yè)安全規(guī)章����,通過(guò)調(diào)研訪談、文檔審閱���、現(xiàn)場(chǎng)核查、技術(shù)檢測(cè)����、流程查看等方式,從管理體系�����、技術(shù)體系�、運(yùn)營(yíng)體系、數(shù)據(jù)處理活動(dòng)等方面開(kāi)展數(shù)據(jù)安全現(xiàn)狀分析����,評(píng)估差異與不足,量化安全合規(guī)差距��。集合多個(gè)業(yè)務(wù)系統(tǒng)的調(diào)研結(jié)果���,掌握組織數(shù)據(jù)安全全局現(xiàn)狀����,找出數(shù)據(jù)安全合規(guī)問(wèn)題,明確安全合規(guī)治理目標(biāo)�����。
4.3 開(kāi)展數(shù)據(jù)安全合規(guī)性評(píng)估和數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估
電信企業(yè)可根據(jù)數(shù)據(jù)載體類(lèi)型����、數(shù)據(jù)內(nèi)容屬性等信息定期開(kāi)展面向電信領(lǐng)域數(shù)據(jù)資產(chǎn)平臺(tái)、個(gè)人信息���、APP�、大數(shù)據(jù)����、云平臺(tái)等各類(lèi)信息系統(tǒng)平臺(tái)或?qū)ο蟮陌踩u(píng)估活動(dòng)。
首先�����,從業(yè)務(wù)視角出發(fā)�,對(duì)業(yè)務(wù)應(yīng)用現(xiàn)狀進(jìn)行調(diào)研,對(duì)業(yè)務(wù)流程進(jìn)行分析����。
其次�,圍繞數(shù)據(jù)處理活動(dòng)各環(huán)節(jié)的數(shù)據(jù)分布��、處理活動(dòng)類(lèi)別���、業(yè)務(wù)場(chǎng)景中的數(shù)據(jù)流�、數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)及管控措施等酌情梳理����、搜集與分析�����,針對(duì)業(yè)務(wù)各系統(tǒng)及數(shù)據(jù)資產(chǎn)全面開(kāi)展評(píng)估梳理工作�����,梳理并繪制數(shù)據(jù)資產(chǎn)安全全貌�����,并形成數(shù)據(jù)資產(chǎn)臺(tái)賬�、數(shù)據(jù)安全管理規(guī)范矩陣。明確大數(shù)據(jù)平臺(tái)數(shù)據(jù)各活動(dòng)場(chǎng)景中數(shù)據(jù)重要程度等內(nèi)容���。
再者�����,在數(shù)據(jù)資產(chǎn)識(shí)別和數(shù)據(jù)處理活動(dòng)識(shí)別基礎(chǔ)上進(jìn)行合規(guī)性問(wèn)題分析和數(shù)據(jù)安全風(fēng)險(xiǎn)分析���,結(jié)合對(duì)數(shù)據(jù)安全措施的分析��,找出主要業(yè)務(wù)所面臨的管理�����、技術(shù)及運(yùn)營(yíng)合規(guī)問(wèn)題和風(fēng)險(xiǎn)[8](見(jiàn)圖1)���。
最后,基于數(shù)據(jù)安全合規(guī)性評(píng)估和風(fēng)險(xiǎn)評(píng)估結(jié)果建立符合業(yè)務(wù)所需的安全合規(guī)性治理策略和風(fēng)險(xiǎn)管理策略����。
4.4 完善安全管理制度與流程,構(gòu)建安全合規(guī)管理體系
堅(jiān)持?jǐn)?shù)據(jù)安全合規(guī)治理中“七分管理�����,三分技術(shù)”原則,根據(jù)電信企業(yè)的數(shù)據(jù)資產(chǎn)信息情況��,從組織架構(gòu)�����、安全責(zé)任框架���、運(yùn)行機(jī)制�、風(fēng)險(xiǎn)管理���、內(nèi)控措施等方面建立電信領(lǐng)域數(shù)據(jù)安全合規(guī)管理體系和合規(guī)內(nèi)在驅(qū)動(dòng)力。首先�,構(gòu)建從數(shù)據(jù)安全戰(zhàn)略、管理層到執(zhí)行層自頂向下的滿足電信領(lǐng)域數(shù)據(jù)安全合規(guī)管理架構(gòu)��。其次���,明確各種數(shù)據(jù)處理場(chǎng)景的數(shù)據(jù)安全管理機(jī)制����,把安全管理制度和包含的控制措施建立在業(yè)務(wù)流程基礎(chǔ)上�����,業(yè)務(wù)流程建在業(yè)務(wù)系統(tǒng)基礎(chǔ)上,把數(shù)據(jù)安全的控制思想貫穿到業(yè)務(wù)流程中����,體現(xiàn)在微觀層面就是數(shù)據(jù)處理活動(dòng)的每個(gè)過(guò)程。讓合規(guī)要求落實(shí)到數(shù)據(jù)處理活動(dòng)的每個(gè)環(huán)節(jié)���、每個(gè)場(chǎng)景和每個(gè)人���,使數(shù)據(jù)安全合規(guī)建設(shè)從被動(dòng)轉(zhuǎn)變?yōu)橹鲃?dòng)。最后�,建立數(shù)據(jù)安全合規(guī)遵從的思路和策略,使數(shù)據(jù)安全合規(guī)遵從持續(xù)滿足法律法規(guī)要求及業(yè)務(wù)發(fā)展需要�����,形成包含制定計(jì)劃���、評(píng)估安全�、執(zhí)行解決方案��、總結(jié)經(jīng)驗(yàn)各環(huán)節(jié)的數(shù)據(jù)安全合規(guī)閉環(huán)管理流程�����,使數(shù)據(jù)安全合規(guī)管理工作有序發(fā)展、安全能力逐步提升��。
4.5 構(gòu)建數(shù)據(jù)安全技術(shù)支撐體系
以組織電信領(lǐng)域數(shù)據(jù)安全建設(shè)為基礎(chǔ)����,圍繞數(shù)據(jù)處理活動(dòng)的各項(xiàng)安全要求,實(shí)現(xiàn)與制度流程相配套的包括數(shù)據(jù)加密���、數(shù)據(jù)備份恢復(fù)���、數(shù)據(jù)脫敏、數(shù)據(jù)溯源���、數(shù)據(jù)防泄露、數(shù)據(jù)庫(kù)審計(jì)����、數(shù)據(jù)流動(dòng)監(jiān)測(cè)等類(lèi)型技術(shù)在內(nèi)的數(shù)據(jù)安全技術(shù)支撐體系。將數(shù)據(jù)安全保護(hù)能力與合規(guī)性遵從工作中的關(guān)鍵節(jié)點(diǎn)自動(dòng)化��、工具化���,并逐步邁向智能數(shù)據(jù)安全管理����,具體如下。
通過(guò)數(shù)據(jù)安全管控平臺(tái)����、數(shù)據(jù)安全態(tài)勢(shì)感知系統(tǒng)等手段進(jìn)行集中化的數(shù)據(jù)安全全域態(tài)勢(shì)、風(fēng)險(xiǎn)和事件監(jiān)測(cè)與管理��,全面掌握全域敏感數(shù)據(jù)資產(chǎn)分類(lèi)��、分級(jí)及分布情況�,有效監(jiān)測(cè)敏感數(shù)據(jù)流轉(zhuǎn)范圍和動(dòng)態(tài)流向;通過(guò)集中化數(shù)據(jù)安全管控手段����,實(shí)現(xiàn)數(shù)據(jù)安全態(tài)勢(shì)感知風(fēng)險(xiǎn)識(shí)別和合規(guī)滿足程度能力。
在完整的安全技術(shù)支撐體系基礎(chǔ)上�����,才能對(duì)貫穿于各種業(yè)務(wù)流程和數(shù)據(jù)處理場(chǎng)景下的數(shù)據(jù)安全風(fēng)險(xiǎn)程度和合規(guī)滿足度進(jìn)行全面掌握�。之后,通過(guò)可防��、可控、可查��、可審��、可見(jiàn)的統(tǒng)一的數(shù)據(jù)安全態(tài)勢(shì)監(jiān)測(cè)和審計(jì)機(jī)制實(shí)現(xiàn)數(shù)據(jù)安全監(jiān)測(cè)與審計(jì)能力�。
4.6 加強(qiáng)人員能力培養(yǎng),提升安全合規(guī)運(yùn)營(yíng)保障能力
電信領(lǐng)域數(shù)據(jù)安全合規(guī)治理需要多元主體共同參與���,其中人員是數(shù)據(jù)安全各項(xiàng)要求有效實(shí)施的基本元素����,也是安全風(fēng)險(xiǎn)的重要產(chǎn)生來(lái)源��,因此需要以下舉措來(lái)實(shí)現(xiàn)對(duì)人員的能力提升�����。
一是需要建立電信企業(yè)人員安全意識(shí)培養(yǎng)機(jī)制���,通過(guò)定期開(kāi)展數(shù)據(jù)安全合規(guī)培訓(xùn),將法律法規(guī)��、標(biāo)準(zhǔn)規(guī)范�����、案例事件等進(jìn)行宣貫,逐步提升人員對(duì)數(shù)據(jù)安全的價(jià)值認(rèn)識(shí)和威脅識(shí)別能力����。
二是需要加強(qiáng)合規(guī)治理參與人員的技能培訓(xùn),對(duì)不同崗位的人員制定科學(xué)合理的培訓(xùn)計(jì)劃���,按照必備優(yōu)先���,先基礎(chǔ)、后專業(yè)����、再全面的原則,逐步提升人員的專業(yè)技能���。
三是需要建立應(yīng)急演練機(jī)制�,通過(guò)定期或事件觸發(fā)機(jī)制�,對(duì)實(shí)際業(yè)務(wù)場(chǎng)景中的各類(lèi)風(fēng)險(xiǎn)主題的處理方式、協(xié)作流程及響應(yīng)機(jī)制等進(jìn)行模擬演練�,確保安全措施落實(shí)到位,安全處置流程正確有效等�����,全面提升數(shù)據(jù)安全合規(guī)治理運(yùn)營(yíng)保障能力。
4.7 形成電信數(shù)據(jù)安全合規(guī)核查體系
電信企業(yè)在監(jiān)管部門(mén)和集團(tuán)總部監(jiān)督指導(dǎo)下通過(guò)集中開(kāi)展數(shù)據(jù)安全合規(guī)性評(píng)估核查����,監(jiān)督基礎(chǔ)電信企業(yè)強(qiáng)化數(shù)據(jù)安全風(fēng)險(xiǎn)管理,及時(shí)消除重大數(shù)據(jù)安全風(fēng)險(xiǎn)�����。電信企業(yè)可將網(wǎng)絡(luò)數(shù)據(jù)安全責(zé)任和數(shù)據(jù)安全合規(guī)評(píng)估落實(shí)情況納入基礎(chǔ)電信企業(yè)安全責(zé)任考核檢查范疇�����,并持續(xù)開(kāi)展對(duì)重要數(shù)據(jù)��、個(gè)人信息��、電信敏感數(shù)據(jù)泄露等網(wǎng)絡(luò)數(shù)據(jù)安全和用戶信息安全事件監(jiān)測(cè)跟蹤���,從而了解并掌握電信企業(yè)數(shù)據(jù)安全合規(guī)遵從現(xiàn)狀�,并通過(guò)開(kāi)展電信數(shù)據(jù)安全合規(guī)核查工作����,持續(xù)優(yōu)化、改進(jìn)和實(shí)現(xiàn)對(duì)電信領(lǐng)域的數(shù)據(jù)安全合規(guī)要求���,形成數(shù)據(jù)安全合規(guī)核查體系����。電信企業(yè)可定期對(duì)大數(shù)據(jù)平臺(tái)及業(yè)務(wù)應(yīng)用部門(mén)開(kāi)展數(shù)據(jù)安全合規(guī)專項(xiàng)核查�。
電信領(lǐng)域的數(shù)據(jù)安全合規(guī)核查體系的建立可由數(shù)據(jù)安全管理與運(yùn)營(yíng)合規(guī)核查、數(shù)據(jù)安全處理活動(dòng)合規(guī)核查���、大數(shù)據(jù)組件基線合規(guī)核查等部分組成�。因篇幅緣故�����,本文不做贅述�。
4.8 建立持續(xù)運(yùn)作、不斷優(yōu)化的數(shù)據(jù)安全合規(guī)治理體系
電信企業(yè)為全面掌握數(shù)據(jù)安全管控現(xiàn)狀���,電信企業(yè)需以數(shù)據(jù)處理活動(dòng)場(chǎng)景為線索���,選取數(shù)據(jù)合規(guī)治理體系中關(guān)鍵的數(shù)據(jù)安全合規(guī)核查內(nèi)容,從電信企業(yè)內(nèi)部對(duì)數(shù)據(jù)安全關(guān)鍵流程實(shí)施管控。
電信企業(yè)可以根據(jù)組織的數(shù)據(jù)安全規(guī)范要求���,選取適合對(duì)數(shù)據(jù)安全合規(guī)治理體系進(jìn)行持續(xù)監(jiān)督檢查的采集項(xiàng)�,組成數(shù)據(jù)安全合規(guī)核查規(guī)范�,并通過(guò)后續(xù)手段,對(duì)數(shù)據(jù)安全合規(guī)治理的采集項(xiàng)進(jìn)行長(zhǎng)期監(jiān)督����,使數(shù)據(jù)安全合規(guī)治理體系持續(xù)運(yùn)營(yíng),并通過(guò)梳理資產(chǎn)���、數(shù)據(jù)���、用戶��、權(quán)限等要求����,指導(dǎo)安全技術(shù)�����、管理����、運(yùn)營(yíng)能力不斷體系化的持續(xù)升級(jí)和改進(jìn)。從而在持續(xù)合規(guī)核查和監(jiān)督的基礎(chǔ)上持續(xù)優(yōu)化和提升數(shù)據(jù)安全合規(guī)治理能力�����。
5 結(jié)束語(yǔ)
電信領(lǐng)域的數(shù)據(jù)安全合規(guī)治理建立在電信企業(yè)的數(shù)據(jù)安全管理工作內(nèi)容和實(shí)現(xiàn)基礎(chǔ)上�����,在這個(gè)過(guò)程中需要達(dá)到業(yè)務(wù)運(yùn)營(yíng)與安全合規(guī)治理之間的平衡���。在具體實(shí)施方面,以數(shù)據(jù)安全合規(guī)為邏輯起點(diǎn)����,對(duì)企業(yè)的安全組織和制度規(guī)程能力、安全運(yùn)營(yíng)能力���、安全技術(shù)能力三方面進(jìn)行建設(shè)���,提供可落地的數(shù)據(jù)安全合規(guī)綜合且正向循環(huán)解決方案。在運(yùn)行維護(hù)過(guò)程中���,進(jìn)行合規(guī)性評(píng)估��、風(fēng)險(xiǎn)評(píng)估���、監(jiān)督審核和持續(xù)改進(jìn)��,幫助企業(yè)建立起數(shù)據(jù)安全合規(guī)“評(píng)估—優(yōu)化—改進(jìn)—監(jiān)督”正向循環(huán)體系����,實(shí)現(xiàn)電信領(lǐng)域數(shù)據(jù)安全治理體系完善��、數(shù)據(jù)有序流動(dòng)的新局面���。
