高校数据安全治理痛点与对策
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、人民生活产生了重大而深刻的影响。
数据安全已成为事关国家安全与经济社会发展的重大问题。国家高度重视,就加强数据安全工作和促进数字化发展作出一系列重要部署。
2021年9月1日起,《数据安全法》正式施行。《数据安全法》的出台,为我国维护数据主权,保障国家安全、促进经济健康发展,以及数字经济的安全发展保驾护航。
1
数据治理与数据安全治理
概念之别
数据治理是指将数据作为组织资产围绕数据全生命周期而展开的相关管控活动、绩效和风险管理工作的集合,以保障数据及其应用过程中的运营合规、风险可控和价值实现。
从使用零散数据变为使用统一数据、从具有很少或没有组织和流程到学校范围内的综合数据治理、从尝试处理数据混乱状况到数据井井有条的一个过程。
数据安全治理是将数据安全技术与数据安全管理融合在一起,综合业务、安全、网络等多部门多角色的诉求,总结归纳为系统化的思路和方法。
《数据安全法》第一章第4条提出:维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
数据因流动产生价值。部门内部的数据会在整个学校内部、甚至更大的范围内共享,要保障数据的安全使用,就不能任由个人或部门各行其是地处置数据,数据活动需要在一个学校的规范框架约束下进行。尤其当数据是敏感或关键性的,那么其使用、传输或存储,都需要特别处置。学校数据安全治理的本质是建立一组学校的“数据法规”,由这些法规来规范学校所有人员的所有数据活动。
相互关系
根据市场研究机构Gartner对数据安全治理的基本定义,数据治理简单而言是通过对数据的梳理整合,利用数据驱动业务,实现学校增值。
数据安全治理不仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。
数据安全治理是安全领域的框架集合,该集合包括数据、业务、安全、技术、管理等多个方面。它属于数据治理体系中的一部分,从业务层到安全层,从管理层到技术层,自上而下全方位与体系融合,贯穿始终。安全治理既可在数据治理框架下进行,也可独立实施。
当然,数据治理与数据安全治理还是有差异的:
从发起部门看:
数据治理主要是由IT部门在驱动,数据安全治理主要是由安全合规部门在驱动,尽管两者的成功都要涉及业务、运维和管理部门甚至学校最高管理决策层。
从目标上看:
数据治理的目标是数据驱动学校数据资产价值提升。而数据安全治理的目标让数据使用更安全,保障数据的安全使用和共享,实质也是保障数据资产价值。
从工作内容产出看:
数据治理工作产出上,一个核心成果就是数据质量提升,通过数据的清洗和规范的过程,获得有质量的数据。而数据安全治理的重要产出,就是完成对学校数据访问的安全策略的分级分类,完成学校对数据的合规安全访问政策和措施。
从数据资产梳理看:
数据治理的资产梳理的主要产出物,就是元数据。元数据管理,即赋予数据上下文和含义的参考框架。而数据安全治理中的资产梳理,要明确数据分级分类的标准,敏感数据资产的分布,敏感数据资产的访问状况和授权报告。
2
数据安全治理面临的挑战
当前数据安全治理的真正痛点如下:
用户对自己数据资产信息不清晰,不知道数据在哪里;
数据使用过程中,三权问题不清楚,所有权、使用权、运营权不清,数据在流动中不知道数据被谁用了、是不是合法的使用、是不是该有的人在持有、该用的人在使用;
管理难,流动过程中管理难,数据只有流动才能产生价值,数据流动的过程中涉及面很广,涉及的部门又多,要进行数据的管理,就要考虑业务、流程,以及自身管理分工;
数据安全应用产品定位没有跟进技术创新的脚步,当前技术创新主要侧重网络安全产品而非数据安全应用产品,现有安全产品涉及数据安全的较少,这就出现一种情况:花了很多钱去进行数据安全防护,却无法保证数据的安全性;
数据安全技术青黄不接,新的数据安全产品技术不成熟,原有的安全产品功能单一且比较割裂,未形成完整链条。
从以上痛点可以看出,当前高校数据安全不仅面临着管理制度体系不健全、数据资产权责不清晰,还面临着现有数据安全治理产品定位和技术方面的挑战。
3
治理的核心是数据分级分类
数据分类是根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。
数据分级是按照一定的分级原则对分类后的组织数据进行定级,从而为组织数据的开放和共享安全策略制定提供支撑的过程。
根据《网络安全法》第21条的规定,网络运营者应当采取数据分类、重要数据备份和加密等措施。《数据安全法》第21条提出:国家对数据实行分级分类保护。数据分级分类的主体由“网络运营者”转变为“国家”,国家对数据进行分级分类的方法不仅包括制定重要数据目录,更需要结合典型的数据应用场景制定配套的网络数据安全法规。
只有在数据安全配套法规中确立基本的数据分级分类规则,才能为制定数据分级分类目录、技术标准和学校数据安全管理实践提供更加明确的统一指引。
《数据安全法》要求以“数据在经济社会发展中的重要程度”,以及“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”为标准,对数据实行分类分级保护。
在此基础上,对重要数据采取目录管理,由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,同时授权各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录,并强化重要数据处理者的数据安全保护义务,加强对重要数据的保护。
从联系的角度而言,数据分级分类也可以称之为数据分类保护,这是因为数据分级也是对数据进行分类的一种表现形式。从区分的角度而言,数据分级是对数据分类之后采取的安全等级规则。
数据分级处理规则主要适用于个人数据,包括不同类型的个人数据存在安全等级差异,以及同一类个人数据在不同场景下的安全等级差异。根据《个人信息安全规范》,个人数据可以划分为一般数据、敏感数据和高度敏感数据三类。
其中,收集一般个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;
收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。
此外,个人生物识别信息属于高度敏感数据,收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
对于这些推荐性国家标准中的管理性规范,需要通过立法程序转化为相应的法律规则。
4
数据分类分级需先“理”后“治”
分类是依据数据的来源、内容和用途对数据进行分类;分级则按照数据的价值、内容敏感程度、影响和分发范围不同对数据进行敏感级别划分。数据分级分类需遵循先“理”后“治”的循环过程。
“理”强调建立数据安全管理机构、落实数据安全管理人员以及制定数据安全规章制度等管理性措施。
在数据资产梳理中,需要明确这些数据如何被存储,数据被哪些系统、人员使用的?以及如何使用?对于数据梳理可采用产品进行自动化的数据识别与人工识别相结合方式,而对于人员的角色梳理,则需要选择现场调研及人工核实等方式进行。
根据学校的实际情况,制定数据分类分级条例,选取自动化工具加人工标注等方式进行数据分类分级,明确重要数据的分布及被使用情况。
在数据风险分析环节,采取工具扫描与专家现场评估方式,全面发现用户数据存储(主机、数据库)存在的安全隐患和风险,并根据数据资产价值评估、脆弱性评估和威胁性评估,最终形成数据存储的风险评估。
完成数据分类之后,数据分级就变得比较简单,对数据贴上敏感度标签。简单的数据分级,可以仅仅赋予“敏感级别”即可。如,0级:可公开数据,非敏感数据;1级:内部公开数据;2级:普通敏感数据;3级:敏感数据;4级:机密数据等。除敏感级别外,可以增加重要程度、更新影响等维度,以更好地支撑数据分级。
在《数据安全法》指引下,未来根据已分类的数据资产进行敏感分级(将分类的数据资产划分为公开、内部、敏感等不同的级别)将进一步细化和优化。
“治”则主要采用技术措施对数据进行保护,分为数据处理环境安全及数据生命周期安全。
数据处理环境安全,包括物理环境、平台环境、终端环境的安全,物理环境安全强调机房环境安全,平台环境安全,终端环境安全确保办公终端的全面安全防护(防病毒、防泄密、终端准入等)。
数据生命周期安全包括采集安全、传输安全、存储安全、处理安全、交换安全、销毁安全。
采集安全关注数据分类分级、数据源鉴别及数据治理管理;
数据传输安全关注数据传输加密及网络可用性管理;
数据存储安全关注存储介质安全、逻辑存储安全及数据备份和恢复;
数据处理安全关注数据脱敏、数据分析安全、数据正当使用及数据处理环境安全;
数据交换安全关注数据导入导出安全、数据共享安全、数据发布安全及数据接口安全;
数据销毁安全关注数据及介质销毁处置。
基于《数据安全法》及相关的规则体系,对潜在的数据合规风险进行全面梳理,并进行分类处置并做好如下两点:
一是对于《数据安全法》及其他法律法规已经明确界定的内容,发现问题后,应及时进行整改;
二是对于有关法律草案有界定,但尚未生效,且通过其他法律法规、规则无法进行合规风险判断的内容,做出有前瞻性的整改进程安排。
数据安全治理是一个巨大、复杂的系统工程。数据安全不会孤立存在,而是与其他事物的安全相互关联,特别是与国家安全密切相关。
《数据安全法》指出,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。并明确提出,国家推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
该法案明确规定,中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依法在各自职责范围内承担数据安全监管职责。
国家网信部门依法负责统筹协调网络数据安全和相关监管工作。
数据安全治理涉及到自然人、法人和非法人组织,必须建立全社会共同治理的格局才可能达到预期目的。
在《数据安全法》《网络安全法》以及《个人信息保护法》的指引下,通过树立全面数据合规理念,构建自身数据治理的宏观策略,并根据各项法律制度,结合行业监管规则、业务流程与场景,构建相应的管理制度。在制度的基础上,通过流程管理、岗位职责管理、激励约束机制,才能达到数据合规治理的目标,从而实现个人信息安全和学校数据安全的保护,乃至国家数据安全的保护。
作者:范江波(西南财经大学信息与教育技术中心)