搞清楚數據安全要解決哪些問題、大數據時代下解決這些問題所面臨的主要挑戰,就可以梳理數據安全治理的核心思路了。簡單說,數據安全治理可以遵循“
以數據為中心、以組織為單位、以能力成熟度為基本抓手”的原則。
1、以數據為中心
以數據為中心,是數據安全工作的核心技術思想。人們比較習慣的是以系統為中心的思想,即圍繞著一個數據庫、一個產品、一個網站、一個服務器等評價其安全性。
這種思路主要適用於保護一個特定系統的正常工作狀態。但是在今天,數據在多個系統、產品、業務環節中頻繁快速流轉,這種以系統為中心的思想已經不能滿足數據安全的需求了。
以數據為中心的安全,是將數據的防竊取防濫用防誤用作為主線,在數據的生命週期內各不同環節所涉及的信息系統、運行環境、業務場景和操作人員等作為圍繞數據安全保護的支撐。
這時候,某個系統被入侵,並不等於數據安全的目標就遭到最終的破壞,反之某個單一環節的安全能力再強,也不代表整體數據安全保護的能力就夠好。
在數據生命週期的不同階段,數據面臨的安全威脅、可以採用的安全手段有可能很不一樣。
例如,在數據採集階段,可能存在採集數據被攻擊者直接竊取,或者個人生物特徵數據不必要的存儲面臨洩露危險等;在數據存儲階段,可能存在存儲系統被入侵進而導致數據被竊取,或者授權用戶無應用場景支持訪問用戶敏感數據,或者存儲設備丟失導致數據洩露等;在數據處理階段,可能存在算法不當導致用戶個人信息洩露等。
把不同階段從不同角度面臨的風險放到一起進行綜合考慮,建立強調整體而不是某個環節安全能力,是以數據為中心的安全的核心思想。
2、以組織為單位
以組織為單位,是數據安全治理的核心管理思想。
讀完前面的內容後應該容易理解,一個服務器很安全、一個手機應用產品很安全都不代表著要保護的數據安全。數據會在不同的服務器、產品、業務中流轉。
而且從法律的角度來說,擁有或使用數據的組織才是承擔數據安全責任的主體。因此,雖然在大數據時代還有數據共享、數據轉移、數據交易等各種複雜的情況,但擁有或者處理數據的組織是所有這些活動的基本單元,因此也是數據安全治理的基本單位。
以組織為單位的數據安全治理,具體指的是數據在特定組織內全生命週期的安全,這個組織要對其負責。
不論數據在這個組織中的生命週期涉及多少產品業務或人員,那些單個系統單個業務的安全都不說明問題,說明問題的應該被最終衡量的這個組織的數據安全。
一個組織的數據安全水平,可以作為其是否符合法律要求、特定事件中具備怎樣的責任、面向用戶贏取信任、面向行業適合處理的數據類型和規模等的參考依據。
換句話說,政府或者行業可以以組織為單位進行數據安全管理,而不是某個產品的安全,一個組織要證明的是自己整個組織的數據安全水平,而不是自己的某個應用的安全。
3、以能力成熟度為基本抓手
用什麼來衡量組織的數據安全呢?數據安全的能力成熟度可以作為基本抓手。
能力成熟度是一種經過考驗的方法,目前在越來越多的領域被應用,美國甚至制定了網絡空間安全能力成熟度戰略。數據安全能力成熟度模型,是借鑑能力成熟度的核心思想,結合數據在組織內的生命週期以及構成安全能力的關鍵要素而構建的。
一個組織的數據安全能力成熟度等級,說明了這個組織在數據安全保護方面的綜合能力水平。而這個水平的高低,則可以用於數據安全治理的各種相關工作。
例如,相關政府部門或行業主管部門,可以根據本行業的數據敏感度特點決定哪些數據類型或者多大的數據規模需要多高的數據安全能力成熟度水平,進而讓數據安全能力成熟度足夠的組織才能夠處理特定數據,從而實現本行業安全與發展的平衡;
在數據共享、轉移、交易等過程中,法律可以規定數據擁有者有義務要求數據接受者提供自己足夠的數據安全能力成熟度水平,從而避免數據在流動過程中進入安全更差的組織,從而減少數據流動導致的安全失控;
根據特定行業、特定數據類型以及特定時段數據安全威脅的具體情況,國家主管部門可以設定和調整特定領域數據安全能力成熟度的衡量標準和等級要求,從而實現整體數據安全狀態的可控;組織可以通過自己的數據安全能力成熟度水平,讓消費者用更加客觀量化的方法衡量自己是否值得信任;等等。
