淺談大數據時代背景下的數據安全治理

李躍忠

隨著人工智能、大數據等新興技術的應用和普及，數據逐漸從傳統的IT環境中獨立出來，變成一種新的安全保護目標實體。數據已成為國家、政府、企業、組織的戰略資源，對數據及其安全的治理也成為組織正常發展的基本保障。無論是希望通過數據獲得競爭優勢，不斷改善追加銷售和交叉銷售或提高客戶保有率，從而實現業務增長目標的業務發展訴求，還是為了降低成本、提高業務效率或優化復雜持續并購的企業實際運營需要，甚至是來自監管部門數據相關的合規要求，這些需求都推動著企業和機構將數據治理視為工作的重點。

一、時代更迭，風險推動數據安全治理需求

近年來，互聯網業務發展勢頭迅猛，隨之而來的是大量數據泄露、數據濫用、數據盜用等安全事件的發生。雖然泄漏的是數據本身而非具有明確價格的實際資產，但是數據泄露事件產生的負面影響是巨大的、廣泛的，極易演變成重大的個人隱私泄露事件、經濟事件乃至政治事件，其影響難以用金錢衡量。隨著互聯網的發展，大量的敏感數據在各種社交網絡及電子商務等平臺上不斷積累，如果平臺對于用戶信息分享和加工使用缺乏嚴謹細致的數據管理策略和有效的數據安全監管手段，就可能被別有用心的人與團伙非法利用，從而導致侵害個人隱私、威脅個人生命財產安全甚至國家安全的重大數據泄露事件。

數據的價值不能簡單的量化，可以分為直接價值和間接價值兩方面。以近些年來層出不窮的數據泄露事件作為參考，某服務公司在網絡上銷售涉及2億余條數據，獲利2000余萬元；某酒店集團1.3億人的個人信息及開房記錄在暗網以37萬元被售賣等，直接價值可在一定程度上參考非法交易價格，但間接價值無法定義，被罰50億美元雖然是一個龐大的數字， 但是與影響美國大選、Facebook市值蒸發幾百億美元的結果相比較，也就不顯得突兀了。可見，數據的間接價值可能遠遠高于直接價值。

2020年4月9日，中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》（簡稱《意見》），數據作為一種新型生產要素被納入其中，與土地、勞動力、資本、技術等共同構成此次要素市場化改革的重要組成部分。由此表明，國家承認了市場機制中數據的重要性角色與價值，并推動數據在產生層面、在數據源頭的進一步嚴格確權，逐步提升對數據的監管及防護。

二、《數據安全法（草案）》將數據安全治理提升至法律高度

2020年6月公布的《全國人大常委會2020年度立法工作計劃》中，將數據安全法立法作為"健全國家安全法律制度體系，提高防范抵御風險能力"的重要任務。2020年7月，《中華人民共和國數據安全法（草案）》（以下簡稱《草案》）公布。《草案》規定了支持促進數據安全與發展的措施，建立健全國家數據安全管理制度，落實開展數據活動的組織、個人的主體責任等內容。其中主要內容包括：

確立數據分級分類管理以及風險評估、監測預警和應急處置等數據安全管理各項基本制度；

明確開展數據活動的組織、個人的數據安全保護義務，落實數據安全保護責任；

堅持安全與發展并重，規定支持促進數據安全與發展的措施；

建立保障政務數據安全和推動政務數據開放的制度措施。

三、構建以數據為中心的數據安全治理體系

數據安全是一個體系化建設的過程，并非單純的產品采購與部署。數據安全建設需要建立以組織建設、制度建設、技術建設為一體的頂層架構，以數據安全治理的理念進行體系化建設。

數據安全治理的目的是為了確保數據的安全高效利用，實現企業價值，提升公共管理能力。企業和機構組織能夠通過數據安全治理解決數據安全頂層設計及管理體系建設的問題，在其組織架構、管理規范、數據風險分析、數據安全策略模型等過程中生成的結果均可以作為數據安全保護建設的主要依據。見圖1。

數據安全治理體系建設要求以數據安全治理框架為綱領、數據資產發現為基礎、數據安全風險管控為核心構建以數據為中心的安全防護體系。一般來說，體系應該包括治理評估、組織建設、管理建設、技術建設以及審計改進等幾個特定要素。

（一）治理評估

以業務部門為單位，基于業務識別、數據識別、風險識別制定數據安全治理評估過程。通過制定數據分類分級標準，梳理數據資產清單及權責 、數據使用過程及生命周期，分析業務環境及脆弱性等，確定數據安全能力成熟度等級。見圖2。

（二）組織建設

本著“誰主管、誰負責”的工作原則落實執行，在系統生命周期各階段明確責任部門及安全職責。制定數據安全管理辦法，并且同步完善數據安全管理制度、業務制度、技術制度等。見圖3。

（三）管理建設

在全面的風險分析基礎上，制定合理的安全策略，在數據的分級、分類、分布、訪問權限、傳輸路徑、操作審計、備份恢復等多個方面，規定誰、在什么時間、什么地點、對哪種數據、進行何種行為。見圖4。

（四）技術建設

通過數據安全技術防護能力建設，基于數據集進行細粒度管控，明確各措施執行周期，制定技術目標和技術建設內容。見圖5。

（五）數據安全審計及持續改進

安全驗收后的日常運營維護中，應當保持系統處于持續安全防護水平，對整體環節加強安全審計監督，并持續跟蹤數據安全治理服務。見圖6。

數據安全治理提高了客戶整體數據安全管控能力。根據客戶業務需求特點，分析能力現狀與目標差距，完善數據保密性、完整性及可用性保障措施，制定切實可行的數據安全治理方案，有效解決數據安全能力改進、建設、運維過程的管理等問題，確保數據安全能力切實落地。

四、數據安全從業人員能力提升

數據安全治理不能僅僅依靠模型和框架，還要采用法律、教育、行政、倫理等多種方法與手段。針對數據利用過程中的一系列安全問題與安全隱患，應該加強網絡安全教育和培訓，提升網絡安全從業人員的專業素質，強化公眾的安全意識、安全防范技能。

2016年4月，中共中央總書記習近平在北京主持召開網絡安全和信息化工作座談會并發表重要講話，強調“網絡空間的競爭，歸根結底是人才競爭。”；2017年，《網絡安全法》要求采取多種方式培養網絡安全人才，促進網路安全人才交流。近年來，我國不斷探索和踐行各種網絡安全人才培養模式，但網絡安全人才因其技能要求高，培養周期長，如何吸引更多人員加入網絡安全行業以及如何提升從業人員的能力是目前亟待解決的問題，人才資質認定正是解決這兩個問題的有效途徑。

人才資質認定的目標是通過短時期的系統專業認證培訓，通過考試獲得行業組織權威機構的技能認證，是對通過者能力的評定，為企業用人提供專業權威的參考，同時促進從業人員的專業技能提升。

（一）為從業者指明職業發展方向與目標

網絡安全行業本身具有更新快、跨領域、碎片化的特點，隨著目前人工智能、大數據等新技術的應用，對于人才能力的要求越來越高，如何選擇職業發展方向對從業者非常重要。資質認證是對行業人才需求的高度概括。2019年9月，中國信息安全測評中心召開的人才培養年會中發布了CISP系列注冊資質證書，設計17個分項領域，旨在促進對網絡安全人才有強烈需求領域的人才培養力度，對進入行業的新人，資質認定可以幫助他們明確職業發展方向，促進他們積極學習專業技能。針對已經深耕專業方向的人員，資質認定是對他們能力的認可，是他們專業方向發展前景的指路燈。不管是哪個階段的人才，資質認定都是堅定他們在網絡安全行業發展的定心針。

（二）為企業選拔人才提供重要指標

2018-2019年度《中國信息安全從業人員現狀調研報告》中針對職業流動的調研數據中顯示：與上一年度相比，能體現出應聘者具備一定專業知識、技能和工作經驗的“信息安全資質證書”取代了“相關工作經驗”成為用人單位首要的關注重點，信息安全資質成為用人單位選拔人才的重要指標。

人員資質認定是有權威機構做背書的，越來越多的企業會在招聘需求中標明對求職者資質證書的要求。2019年各行各業遭受“寒冬”侵襲，各大知名企業裁員風暴不斷，網絡安全行業方興未艾，人員需求保持著旺盛的增長態勢。擁有網絡安全行業的專業資格證書，可以使從業者在競爭中處于有利位置，為個人長遠的職業發展敲開大門，提供有力保障。

隨著信息安全工作的高度專業化，安全培訓也必須適應時代發展，具備系統性、專業性、權威性、持續性等特點。具備上述特點的CISP認證考試已成為國內最具權威性的信息安全資質證明，得到了信息安全行業的高度認可。

1.系統性。為了適應網絡空間安全保障對人才的需求，CISP的知識體系在不斷地更新和發展，前基本覆蓋了信息安全工作各個環節，通過學習有效地形成信息安全保障工作地體系化思路，較好地避免了信息安全中“木桶效應”地出現。

2.專業性。CISP是一系列認證考試的總稱，覆蓋數據安全治理、滲透測試等多種信息安全細分領域，通過后可獲得CISP-DSG、CISP-PTE等專業資格證書。

3.權威性。中國信息安全測評中心是我國開展風險評估的國家專控隊伍之一，擁有國內一流的信息安全漏洞分析資源和測試評估技術裝備，承擔黨政機關等重要信息系統的安全保障任務。

4.通過CISP考試不是終點，而是起點。通過CISP考試，證書持有者可持續獲得CISP組織的持續支持，及時獲悉最新威脅預警，掌握應對方案，加強從業者溝通合作。

（三）注冊數據安全治理專項認證

為了滿足數據安全治理領域對專業人才的需求，加快我國數據安全治理人才的培養，中國信息安全測評中心推出了注冊數據安全治理專項證書，英文為 Certified Information Security Professional - Data Security Governance，簡稱CISP-DSG。CISP-DSG旨在讓注冊人員增強數據安全治理能力，幫助各類組織機構解決數據安全頂層設計及管理體系建設的問題，從而提升國家企事業單位信息安全管理能力，獲得證書的專業人員要求具有數據安全治理過程管理、數據安全技術體系設計、數據安全管理體系設計的基本知識和能力。

在整個注冊數據安全治理專業人員（CISPDSG）的知識體系結構中，共包括信息安全保障、信息安全評估、網絡安全監管、信息安全管理、數據安全基礎知識、數據安全技術體系、數據安全管理體系這四個知識類。見圖7。

目前，國外相關機構（ISC）2 和ISACA尚未推出數據安全治理的專項認證，中國信息安全測評中心是首個推出數據安全治理方向專項的認證培訓的機構。CISP-DSG培訓內容權威，實用性強，涵蓋了近年來我國發布的數據安全、數據保護相關政策文件、標準規范，以及全球最新、最佳實踐。

隨著大數據時代的到來，數據已經成為連接全世界的載體，也成為促進經濟社會發展、便利人們生活的原動力。開展數據安全治理，不僅僅是國家、企業的責任，更與生活在大數據時代的每個人都息息相關。數據安全治理是一個全新的話題，更是一個具有生命力的話題，值得所有數據安全從業人員甚至公眾深入探討研究。

作者單位：北京天融信教育科技有限公司