2019年7月1日發(fā)布的政策《電信和互聯(lián)網行業(yè)提升網絡數(shù)據(jù)安全保護能力專項行動方案》(以下簡稱《行動方案》)是自2013年7月16日工信和信息化部24號令《電信和互聯(lián)網用戶個人信息保護規(guī)定》以來的數(shù)據(jù)安全保護要求的進一步的強化和落地。
《行動方案》的解讀據(jù)安工作目標之一是督促基礎電信企業(yè)和重點互聯(lián)網企業(yè)強化網絡數(shù)據(jù)安全全流程管理,及時整改消除重大數(shù)據(jù)泄露、國數(shù)濫用等安全隱患,全保在2019年10月底前完成全部基礎電信企業(yè)(含專業(yè)公司)、護駛50家重點互聯(lián)網企業(yè)以及200款主流App數(shù)據(jù)安全檢查。入快工作目標之二是車道建立行業(yè)網絡數(shù)據(jù)安全保障體系,行業(yè)網絡數(shù)據(jù)安全管理和技術支撐平臺基本建成,政策遴選網絡數(shù)據(jù)安全技術能力創(chuàng)新示范項目,解讀據(jù)安基礎電信企業(yè)和重點互聯(lián)網企業(yè)網絡數(shù)據(jù)安全管理體系有效建立。國數(shù)
《行動方案》制定了為期一年、全保明確可執(zhí)行的護駛詳細計劃:不同于標準、規(guī)范,入快更強調具體任務的車道推動。方案分為四個階段,政策將每階段的責任方、工作任務進行了具體化,同時也調了對典型經驗做法進行推廣,鞏固相關工作成效的要求。這使得《行動方案》形成了一個執(zhí)行力強,并不斷迭代升級的長期計劃。
五大亮點引人關注
《行動方案》主要亮點主要體現(xiàn)在五個方面。
一是《行動方案》要求加快完善網絡數(shù)據(jù)安全制度標準:基于《網絡安全法》《電信和互聯(lián)網用戶個人信息保護規(guī)定》等法律法規(guī)要求的驅動,電信運營商從合規(guī)角度出發(fā)對數(shù)據(jù)安全保護的重要性有足夠重視,但安全制度標準的不充分影響了這項工作的開展,例如對同一項敏感數(shù)據(jù)的分類分級和控制措施,在不同企業(yè)不同部門之間并不統(tǒng)一,極易發(fā)生因合作雙方控制能力不同導致敏感數(shù)據(jù)泄露事件。制度標準的完善能夠大幅促進數(shù)據(jù)安全保護的效果,有利于正常數(shù)據(jù)業(yè)務的健康發(fā)展,幫助各個企業(yè)步調一致統(tǒng)一行動。
二是《行動方案》將開展合規(guī)性評估和專項治理工作:其中包括網絡數(shù)據(jù)安全風險評估、App違法違規(guī)專項治理、強化網絡數(shù)據(jù)安全監(jiān)督執(zhí)法。此些舉措劃出了數(shù)據(jù)安全違規(guī)行為的紅線,并以行政處罰、軟件下架、企業(yè)納入不良名單和失信名單的方式“迫使“各企業(yè)必須重視數(shù)據(jù)安全保護。手段足以違反數(shù)據(jù)安全的經營模式不復生存,讓忽略數(shù)據(jù)安全的企業(yè)付出代價。
三是《行動方案》將強化行業(yè)網絡數(shù)據(jù)安全管理,提出了四項具體意見:
首先,提出了數(shù)據(jù)資產“清單式”管理的要求,電信和互聯(lián)網企業(yè)在實體資產、IT資產管理方面有著豐富的經驗,但并沒有對數(shù)據(jù)資產進行嚴格,若無法形成數(shù)據(jù)清單,也無法對針對數(shù)據(jù)的行為進行有效監(jiān)控,數(shù)據(jù)資產管理的主要難點是技術難度,另一方面是缺乏明確的標準和制度。
其次,《行動方案》明確了企業(yè)網絡數(shù)據(jù)安全職能部門的設置,根據(jù)以往經驗,某項工作開展困難的主要原因之一是企業(yè)重視不足,導致該職能科室權力小、人數(shù)少、話語權低。設立專門的網絡數(shù)據(jù)安全職能部門是數(shù)據(jù)安全保護工作健康發(fā)展的必要步驟。
再次,《行動方案》提出了強化網絡數(shù)據(jù)對外合作安全管理的要求,自從瑞智華勝、數(shù)據(jù)堂的案件發(fā)生以來,電信運營商對于數(shù)據(jù)合作業(yè)務從積極轉向謹慎,但網絡數(shù)據(jù)安全保護的本意是促進業(yè)務健康發(fā)展,數(shù)據(jù)合作業(yè)務應該在安全、合規(guī)的情況下有序進行。
最后,《行動方案》提出了行業(yè)網絡數(shù)據(jù)安全應急管理的要求,指出了網絡數(shù)據(jù)安全事件發(fā)生事前、事中、事后的要求,對惡性事件形成預案,不打無準備之仗。
四是《行動方案》在能力建設提出了手段建設、技術創(chuàng)新、專業(yè)化支撐隊伍的要求。此項要求有利于數(shù)據(jù)安全產業(yè)的甲乙方共同發(fā)展,首先為企業(yè)開展數(shù)據(jù)安全類采購和研發(fā)指明了方向,也為高水平數(shù)據(jù)安全公司發(fā)揮其水平和能力提供絕佳機會。目前國內的數(shù)據(jù)安全類產品大多沿用國外產品思路,視角和技術并不適合電信和互聯(lián)網企業(yè)這種地域覆蓋大、組織結構復雜、業(yè)務眾多、發(fā)展迅速的經營模式,使得網絡數(shù)據(jù)安全類產品嚴重碎片化、孤島化,實際應用中難以起到防護效果,也在逐步降低客戶采購的意愿。
五是《行動方案》強調了社會監(jiān)督和宣傳交流,目前網絡數(shù)據(jù)安全在電信和互聯(lián)網企業(yè)中仍是少部分人的任務,而本質上數(shù)據(jù)安全與企業(yè)的經營模式、業(yè)務模式緊密相關,這方面區(qū)別于其它安全技術。網絡數(shù)據(jù)安全必須得到企業(yè)決策者的充分重視,必須做到企業(yè)文化認可,從業(yè)者高度自律,具有全面的監(jiān)督處罰機制。
企業(yè)需構建數(shù)據(jù)安全保護體系
數(shù)據(jù)安全保護關系到了企業(yè)切身利益,我們應認真對標《網絡安全法》等相關行政命令的要求,形成企業(yè)自身的數(shù)據(jù)安全保護體系,從策略(規(guī)章制度及差距分析)、組織(部門與人)、技術(生產平臺和數(shù)據(jù)安全保護技術)、運營(運轉保障)等方面進行全面建設和不斷提升。
我們需要正確面對現(xiàn)有業(yè)務模式和技術平臺存在的數(shù)據(jù)安全問題,一些業(yè)務本身是侵犯隱私的,或者存在安全風險。例如已經全部下線的“短信保管箱“類業(yè)務,以及運營商普遍在業(yè)務環(huán)節(jié)中增加了二次認證和信息脫敏措施,都是在數(shù)據(jù)安全方面的進步表現(xiàn)。企業(yè)應該對存量業(yè)務進行評估、建立新業(yè)務評估的三同步機制(數(shù)據(jù)安全能力與業(yè)務功能同步規(guī)劃、同步建設、同步運行)、人員管理、合作伙伴管理等機制的優(yōu)化,避免新的數(shù)據(jù)安全事件發(fā)生。
另外,還要加強數(shù)據(jù)安全專職部門的設立,提升話語權,保持合理的人員配備。將敏感數(shù)據(jù)進行資產化管理,建立分類分級制度、采用自動化識別跟蹤技術形成敏感數(shù)據(jù)清單,將敏感數(shù)據(jù)的異常分布與流動作為安全事件處置、對于敏感數(shù)據(jù)的訪問行為增加強身份認證和敏感行為審計。
加強對合作伙伴的管理,建議采用數(shù)據(jù)安全能力評級和考核制度,降低數(shù)據(jù)擴散風險,以合作合同條款方式指明在數(shù)據(jù)安全方面的違約條款與責任。
建設立體的數(shù)據(jù)安全防護體系。例如:在數(shù)據(jù)泄露案例中,將數(shù)據(jù)泄露到外網存在多種途徑,并且涉及數(shù)據(jù)不同環(huán)節(jié)的風險,單一技術手段無法覆蓋所有主要途徑,建議基于不同途徑選擇各領域最優(yōu)技術搭建數(shù)據(jù)安全立體立體防御,以基于實戰(zhàn)總結的經驗作為數(shù)據(jù)保護技術手段的有效性評估標準。
(作者:奇安信集團合伙人、副總裁呂韜)
