导读
2022年政府工作报告指出,今年要“促进数字经济发展,加强数字中国建设整体布局”。这告是“数字经济”自2017年以来第5次被写入政府工作报。数字经济方兴未艾,“东数西算”一体化大数据中心国家枢纽节点新基建快速推进,《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》(以下简称“《数据安全法》”)等一系列法律法规纷纷出台……这些都为构建数字中国提供了有力支撑。其实,数据安全已经成为事关国家安全和社会经济发展的全球共识,美国、欧盟等亦颁布了数据安全保护的相关法律法规。那么,在产业数字金融实践中,服务金融机构的科技公司应如何促进数据安全管理?本文将分为上下两篇,分别解读数据分类分级以及数据安全风险评估这两大抓手。
1、难解的数据分类分级题
2021年9月1日,我国首部数据安全领域的基础性立法《数据安全法》正式施行,明确规定建立数据分类分级保护制度,以保障数据依法有序自由流动。对数据实施分级管理,能够进一步明确数据保护对象,有助于合理分配数据保护资源和成本,也是企业建立完善的生命周期数据保护框架的基础。然而,企业在日常数据安全管理中,经常面临两个问题。
数据资产分布不清
很多企业对数据的管理方式五花八门,数据定义混乱,导致对敏感数据识别不清,对数据关联了哪些业务、暴露在哪些人员面前等情况了解得不够全面,极有可能在不经意间将内部的敏感数据泄露了出去,不仅危害企业经济利益,甚至威胁到国家安全。
缺乏专业人才
数据安全治理的框架制定需要结合国家和行业要求规范,这对企业在服务金融机构时提出了更高的人才要求:既具备金融业务的知识储备,又熟悉对应数据储存系统,同时具备数据治理能力,特别是数据安全领域的专业能力。人才困境也是企业面临的现实困境之一。
2、理清数据资产分级“乱麻”
为了解决这个问题,中国人民银行出台了《金融数据安全 数据安全分级指南》(以下简称“《指南》”),给出了明确的金融行业标准和手把手操作指南。
《指南》定义了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,适用于金融机构开展电子数据安全分级工作。服务金融机构的科技公司数据资产分类分级具体标准可参考《指南》。
安全性(保密性、完整性、可用性)是信息安全风险评估中的重要参考属性,数据安全性遭到破坏后可能造成的影响(如可能造成的危害、损失或潜在风险等),是确定数据安全级别的重要判断依据。数据安全影响的评估主要考虑影响对象与影响程度两个要素。
数据安全性遭受破坏后的影响对象
数据安全性遭受破坏后的影响程度
基于以上考量,数据资产定级流程一共分为五个步骤。
数据资产梳理
● 对电子数据进行盘点、梳理与分类,形成统一的数据资产清单;
● 梳理数据资产,统一数据格式;
● 数据安全分级合规准备。
数据安全定级准备
● 明确数据定级颗粒度;
● 识别数据安全定级关键要素。
数据安全级别判定
● 数据安全级别初步判定;
● 数据安全级别复核;
● 根据定级形成不同安全级别的数据清单。
数据安全级别审核
● 审核数据安全级别评定过程及结果。
数据安全级别批准
● 对最终数据安全级别评定结果进行审议和批准。
在满足《指南》规定的基础上,科技企业可结合自身数据管理需要(如战略需要、业务需要、对风险的接受程度等),自主确定数据安全级别、并根据场景灵活调整数据生命周期不同阶段的数据安全级别,为制定有针对性的数据安全管控措施提供支撑。
3、企业实操“三步走”
从实操层面看,科技企业开展数据分类分级工作,是一个从整体规划到采取具体保护措施的闭环管理过程。从数据安全保护的可行性、有效性和持续性等角度考虑,三个标准动作必不可少。
首先要建设数据分类分级清单,这是数据分类分级的核心工作内容;其次要有健全的保障机制,即在组织架构、制度流程、技术工具方面为数据分类分级工作保驾护航;最后,根据数据分类分级的结果,对把不同类别不同级别的数据采取差异化的保护措施,如对高级别数据采取加密、脱敏、设置访问权限等措施,保障数据安全。
数据分类分级工作的行动计划
4、给企业的四个小建议
部分科技企业虽然已经开展数据安全分类分级工作,但理想是丰满的,现实是骨感的。即便能找到具有行业、业务、安全等复合背景的人员进行梳理,实操的过程中总会遇到各种意想不到的问题,本文提出一些小建议供参考。
第一,引入技术提高效率。面对海量数据,数据的分类分级是巨大的工作量,在人为手工依照国家法规、监管要求以及客户需求定义好分类体系与应用规则后,可以适当引入“数据标签”、“知识图谱”等技术,对系统进行自动化扫描,提升分类分级的效率。
第二,业务与研发紧密配合。数据的分类分级最终服务于业务部门以及监管的要求。业务部门作为数据的生产方与主要使用方,对数据资产的功能特性有更深的了解。因此,研发人员应提供相应的技术实施方法与路径,以简化数据分类分级过程;业务人员应充分提供建议与指导。
第三,打造差异化的安全策略。基于数据分类分级标准制定差异化的数据访问控制策略,可保障数据的安全合规使用。差异化安全策略可清晰明确的保障数据是否可以使用、是否能够对外开放,以及不同数据在不同场景下的使用权限,并对数据的访问进行留痕,在不影响业务效率的情况下保障安全。 第四,营造数据安全保护文化。企业应向相关人员提供数据分类分级知识的培训,让数据安全意识贯穿员工日常工作始终,在内部形成对数据安全的整体认知和文化氛围。
总 结
产业数字金融涉及到金融机构、科技公司、产业链企业等众多参与主体。作为连接金融机构和实体企业的桥梁,科技公司必须设置一套可实施落地的数据分类分级制度,从而有效降低各主体发生安全事件的几率,保障数据在合规框架下有序共享,实现数据价值的深度挖掘。
参考文献:
【1】中国人民银行:《金融数据安全 数据安全分级指南》
【2】全国信息安全标准化技术委员会:《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)
【3】德勤:《数据治理实践——数据安全管理》
【4】IBM:商业价值研究院《强监管、强合规下的金融机构数据治理应对方略》
【5】IBM:《分条析理,安全有道:分类分级成为企业数据安全差异化管理的先驱者》
【6】沙利文:《2020年中国数据管理解决方案市场报告》
【7】通力法律评述:《三问企业数据分类分级合规》
【8】鑫诺法评:《基于<数据安全法>的数据分类分级方法研究》
【9】51 CTO博客: 数据安全风险评估总结(二)——基于场景进行安全风险评估https://blog.51cto.com/u_9652359/3520569
