基于IPDR2的個人信息保護模型

謝宗曉 李松濤 隆峰（中國金融認證中心）

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文80多篇，出版專著近20本。

信息安全管理系列之五十六

GB/T 35273—2017《信息安全技術 個人信息安全規范》于2018年5月開始實施，全國信息安全標準化技術委員會（TC 260）于2019年2月發布了該標準修訂草案的征求意見稿，從中可以看出個人信息保護的重要性。下文討論了個人信息保護的框架/模型，期望對標準在具體組織中落地提供有用的方法論。

謝宗曉（特約編輯）

個人信息保護與信息安全、網絡安全等概念既有區別，又有聯系，其區別主要體現在個人信息保護中是以“數據”作為核心，這雖然與信息安全中對于“信息”的保護存在很大的相似之處，但是，一般而言，有序的數據才成為信息，本質而言，在信息系統中，信息是作為流程的附屬出現的，例如，信息流強調的是“流”。在個人信息保護中，信息能否成為“流”已經不再重要，碎片化的、非結構化的信息在大數據時代，都會泄露個人信息。因此，個人信息保護不能直接照搬信息安全的方法論[1]，而是應該開發適合于數據安全時代的模型。

1 可以參考的模型

1.1 Gartner數據安全治理框架

Gartner1）Gartner，https://www.gartner.com/en。Gartner是美國的一家公司，成立于1979年，主要提供IT調研和咨詢等服務。于2018年4月提出了數據安全治理（DSG）框架（Data Security Governance Framework），目的是為了排列業務風險優先級，然后采取適當的安全措施對業務風險進行控制。Gartner將DSG定義為信息治理的子集，主要是通過定義一系列的數據策略和過程，保護組織的數據[2]（包括結構化數據和非結構化數據）。

DSG要先從組織的管理層業務風險分析出發，對組織中的各個業務數據集進行識別、分類和管理；針對數據集的數據流和數據分析庫的機密性、完整性、可用性創建安全策略；根據策略落實管理措施和部署技術產品加以控制[3]。

1.2 Microsoft的DGPC框架

微軟（Microsoft）在2010年1月發 布DGPC（Data Governance for Privacy， Confidentiality， and Compliance）框架[4]。DGPC 框架與 COBIT2）COBIT（Controlled Objectives for Information and Related Technology）信息及相關技術的控制目標。COBIT是信息系統審計和控制聯合會（Information Systems Audit and Control Association，ISACA）制定的面向過程的信息系統審計和評價的標準，更多信息請參考http://www.isaca.org。、ISO/IEC 27001/27002 和 PCI DSS3）PCI DSS，支付卡行業數據安全標準，是由支付卡行業安全標準委員會（PCI Security Standard Council， https://zh.pcisecuritystandards.org/minisite/env2/）所發布。(Payment Card Industry Data Security Standard)都保持了兼容，文獻[5]的論斷“無其他現有的行業框架提供這種利益和整合的組合”。

DGPC框架包含了三個最重要的能力域：人員（people）、過程（process）和技術（technology）。簡單來說，就是先建立組隊，后設計過程，最后部署技術。

技術控制還是很重要的一部分，其中大多可能來源于ISO/IEC 27001/27002等主流標準，但是畢竟有一些差異。表1是Microsoft DGPC技術域的示例。

表1 Microsoft DGPC技術域

安全技術設施描述過度寬泛，不具備落地的指導意義。當然，Microsoft也提供了相應的實施指南，將其細化為一系列可落地的步驟。

Microsoft DGPC框架將風險分析和差距分析直接放在一起處理，將其合稱為風險/差距分析（Risk/Gap Analysis），這非常合理，具體如圖1所示。

Microsoft DGPC框架整體就風險管理的框架并無新意，但是畢竟明確地將差距分析和風險評估/處置的過程放在一起了。

1.3 DGI的數據治理模型

DGI數據治理框架（Data Governance Framework）是數據治理研究院（Data Governance Institute，DGI）4）DGI，http://www.datagovernance.com。發布的方法論，以“5W1H”5）5W1H，是一種科學的思考方法，指對選定的項目、工序或操作，都要從原因（何因Why）、對象（何事What）、地點（何地Where）、時間（何時When）、人員（何人Who）、方法（何法How）六個方面提出問題進行思考。為框架，DGI所描述的數據治理框架非常清晰，對應的中文如表2所示，

其中表格上加的圖示是為我們另外添加的，以將其 與通用的PDCA模型進行比對。

圖1 風險/差距分析過程

表2 DGI數據治理框架的過程

2 IPDR2模型及其概述

2.1 提出IPDR2模型

根據Gartner數據安全治理框架、Microsoft的DGPC框架和DGI的數據治理模型等現有參考，結合我們多年在信息安全領域的實踐，在總體信息安全規劃設計框架下，提出針對銀行個人客戶信息保護的“資產識別—安全防護—安全檢測—響應恢復”（Identify—Protect—Detect—Respond &Recover）模型，如圖2所示。

圖2 基于IPDR2的個人客戶信息安全保護技術體系框架

2.2 IPDR2模型設計的原則

IPDR2模型設計堅持下面5個主要原則：

1）以客戶價值為中心原則。個人信息保護本身的出發點是為了保障客戶利益，更好地做好客戶服務，在滿足客戶價值的同時帶來業務的增長。

2）主動防御原則。被動防守是網絡安全的初級階段，在網絡安全形勢越來越嚴峻的今天，已不能適應當前的安全環境，我們應當主動出擊，積極建立覆蓋全系統、全業務、全生命周期的安全防護體系，對安全隱患嚴防死守，才能強身健體，內外兼修。

3）立體化防護原則。橫向聯合業務部門和信息科技部門，覆蓋安全各領域內容，縱向打通業務和組織架構層級，通過治理、管理、執行等自上而下的落實來進行立體化的防護。

4）智能化原則。在信息技術和業務環境越來越復雜的當下，僅靠人工方式來運維和管理安全已經捉襟見肘了，人工智能、大數據已經有相當的成熟度。

5）體系化原則。普遍認為，僅靠單獨技術不可能解決所有的問題，必須形成體系化的思維，通過系統之間“1+1>2”優化組合的作用，并持續優化和改進，才能提升整體安全運營和管理的質量和效率。

2.3 IPDR2模型的概述

IPDR2框架實現了個人信息安全防護的全生命周期和全過程的覆蓋，建立了以識別為基礎，以防護、檢測為核心，以響應恢復和常態化保障作為支撐，最終建立“準備—事前—事中—事后”的全過程支撐能力，變被動為主動，直至達到完全的動態自適應安全能力。

結合圖2，IPDR2框架主要步驟如下：

1）個人信息資產識別（Identify）。個人信息資產識別主要是指，對相關信息系統和業務數據進行半自動化分析，識別可能產生個人信息安全風險的系統、資產和數據。Identity過程主要包括：資產管理、業務環境、治理機制、風險評估以及風險管理策略。

2）個人信息安全防護（Protect）。個人信息安全防護主要是指，制定并實施相應的安全保護技術措施，以確保個人信息生命周期內的安全。Protect過程主要包括：訪問控制、意識和培訓、個人信息安全、信息保護流程和程序、信息安全運維和保護的相關技術。

3）個人信息安全檢測（Detect）。個人信息安全檢測主要是指，制定并實施適當的技術措施，以識別個人信息安全事件發生。Detect過程包括：異常和事件、安全持續監測及檢測過程。

4）個人信息響應恢復（Respond &Recover）。個人信息響應恢復主要是指，制定并實施適當的管理機制，以采取有關檢測到的個人信息安全事件的行動，對個人信息安全事件受損的任何功能或服務進行還原操作，減少事件影響。Respond &Recovery過程包括：響應計劃、事件溝通、風險分析、風險控制、恢復與持續改進。

3 小結

方法論在時間中非常重要，例如，如何部署信息安全？在ISO/IEC 27000標準族中，就選擇依據PDCA（Plan—Do—Check—Act） 模 型， 而 NIST6）美國國家標準與技術研究院，National Institute of Standards and Technology，NIST，更多信息請參考：https://www.nist.gov/。安全相關標準族則采用了NIST風險管理框架（Risk Management Framework， RMF）的框架。針對個人信息保護的特點，本文在文獻[1]的基礎上，提出了以“資產識別—安全防護—安全檢測—響應恢復”為主要步驟的IPDR2模型/框架。

（注：本文僅做學術探討，與作者所在單位觀點無關）