城市數字化轉型背景下的安全管理思路與實踐

劉碩 馮駿

上海市大數據中心 上海 200072

引言

自2021年6月開始，國家陸續頒布了《數據安全法》和《個人信息保護法》兩部法律，與《網絡安全法》共同組成我國網絡和數據安全領域“三駕馬車”。隨后，中華人民共和國國務院印發了《關于加強數字政府建設的指導意見》，明確加強數字政府建設，要全面落實總體國家安全觀，堅持促進發展和依法管理相統一、安全可控和開放創新并重，嚴格落實網絡安全各項法律法規制度，全面構建制度、管理和技術銜接配套的安全防護體系，切實守住網絡安全底線，不斷夯實城市數字化轉型的基石[1]。

自《關于全面推進上海城市數字化轉型的意見》發布以來，上海市圍繞城市數字化轉型，積極推動數字政府建設，推進治理數字化轉型，驅動城市治理模式變革，努力探索一條符合超大城市特點和規律的治理新路子，這個探索過程是一個整體性、全局性的轉變，勢必要考慮好發展與安全的關系，切實守牢網絡和數據安全底線[2]。大數據部門作為城市數字化轉型底座支撐單位，始終堅持踐行“五個一”理念，即互聯互通“一張網”、超級計算“一朵云”、數據治理“一個湖”、應用開發“一平臺”、移動終端“一門戶”，積極有序推進政府部門信息化職能整合優化工作，統籌安全規劃管理，加快形成資源高效利用、工作高效協同、業務與安全并重的智慧政府新格局。在這個變革過程中不斷摸索出一套安全管理的實踐思路。

1 安全管理現狀及面臨的挑戰

在當前城市數字化轉型背景下，傳統的安全管理模式受到了前所未有的沖擊，從大數據部門角度出發，總結以下幾個方面。

一方面，上海市公共數據在賦能城市治理創新和發展過程中，堅持集中統一管理、按需共享交換、有序開放競爭、安全風險可控的基本原則，而公共數據的集中，不可避免地帶來數據安全風險的集中[3]。數據的流通性是體現數據資源價值的關鍵特征之一，而數據的共享、開放恰恰是風險的來源，公共數據“跨層級、跨地域、跨系統、跨部門、跨業務”不斷流通，打破了網絡安全傳統的邊界防護體系，給現有的安全管理體系帶來了新的挑戰和沖擊。

另一方面，隨著近期《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《上海市數據條例》等法律法規的陸續出臺，以等級保護制度為基線的傳統制度管理體系已不能滿足基礎的合規要求，更不能滿足當前大數據部門日益增長的安全保障需求[4]。為了進一步提升安全管理依據的可靠性，需要不斷建章立制，完善制度體系設計，明確總體要求和管理細則，實現相關工作按章管理、落地實施以及持續改進。

再者，隨著上海市信息化職能整合工作的持續推進，信息系統的逐步移交，導致大數據部門資產范圍不斷擴大。由于各信息系統原有安全管理手勢不一，安全防護能力不同，勢必加大了在安全隱患排查、應急處置、協同聯動方面的復雜性，整體安全觀也面臨更大的挑戰，亟須立足當前，著眼未來提出更高維度的安全管理戰略，設計適應數字化政務轉型和業務發展的整體安全架構，統籌好安全管理工作。

2 安全管理思路與實踐

為應對當前城市數字化轉型背景下的新挑戰和考驗，政務大數據部門應堅持以問題為導向，多管齊下，不斷鞏固基礎、規范管理、提升能力，逐漸探索出一條邏輯嚴謹、可靠性強，符合現狀的實踐思路，即牢固樹立整體安全觀，堅持筑牢“制度、技術、管理”三道防火墻，通過不斷健全最嚴制度，應用最強技術，執行最高標準，切實守住安全底線[5]。整體建構如下圖。

圖1 城市安全整體建構圖

一是根據當前數據安全面臨的新形勢和信息化系統管理現狀，優化完善安全管理的頂層設計，通過制定總體規劃，為后期安全能力的建設提供依據和路線指引[6]。總體規劃從大數據部門在城市數字化轉型中的整體定位和發展目標出發，從宏觀、中觀、微觀3個層面對當前面臨的實際問題開展深入剖析，從制度、管理、技術3個方面重新設計安全管理架構，全面建立安全發展藍圖和建設路徑。其中宏觀層面，立足于“城市兩張網”提出了網絡和數據安全管理的總體戰略；中觀層面，針對政務信息系統遷移上云的政策要求，明確職責范疇內的網絡和數據安全管理策略。微觀層面，層層細化進一步明確網絡和數據安全職責。

二是完善網絡和數據安全組織體系和責任體系。深入研究《個人信息保護法》《數據安全法》《關鍵信息基礎設施安全保護條例》等相關法律法規，在原有網絡安全責任制度基礎上進一步增加數據安全和個人信息保護等相關工作目標，并遵循“統一領導、分級管理、逐級負責”原則，明確大數據部門中網絡和數據安全領導小組、工作小組、安全專職機構、各級內設部門等具體安全責任和工作方向，逐步打造上下一體、內外一致的一盤棋格局，有效提升了大數據部門整體的安全責任意識和防護意識，對于各項安全工作的開展和安全制度的落地提供了組織保障。

三是完善以“數據保護為核心”的安全制度體系。深入研究《上海市數據條例》相關要求，結合上海市公共數據管理模式，不斷細化、完善公共數據安全管理的各項制度；同時以等保2.0標準作為安全工作基線，細化安全管理要求，使安全工作有據可依、有章可循[7]。同時堅持“實戰管用、急用先行”的原則，從實際問題出發，重點修訂身份認證、賬號管理、日志管理、應急管理和運營管理等多項管理辦法，為后期以系統和數據為管理單元的業務工作提供切實可行的安全工作指導。

四是建立數據安全標準體系和技術保護機制。公共數據的安全管理，強調標準先行，在相關制度的保障下，積極開展針對公共數據的標準化建設工作，全面落實《數據安全法》相關要求，圍繞公共數據“采集、歸集、治理、應用、安全、運營”的全生命周期，圍繞市級公共數據管理特點開展相關標準和指南的編制，可以為實際政務公共數據治理和開發工作提供可實操落地的方式、方法，承上啟下，起到了鏈接管理制度和技術落地橋梁作用。

五是開展定期安全檢查工作，確保安全管理措施落實到位，建立精準化、制度化、常態化的安全風險評估機制，推動各項技術措施、管理要求落實到位，形成安全管理閉環是安全工作開展的必要手段[8]。圍繞大數據部門的系統多、數據多、運維主體多的情況，安全檢查強調更加強調“重點突出，統籌兼顧”的原則，全面開展網絡和數據安全管理檢查和考核工作，包括網絡安全管理制度、重要信息系統安全防護、應急預案及演練、安全測評、安全評估及運行情況安全監測等內容，對關鍵或薄弱環節重點排查，并督促整改，杜絕隱患，有效提升整體網絡和數據安全水平。

3 安全管理成效

從制度、管理、技術3個層面深化安全管理，全面提升整體安全防護意識和安全技術能力，實現對政務應用和公共數據的安全合法合規管理，具體成效體現在以下3個方面：

3.1 風險處置能力不斷增強

通過落實一體化運營管理機制，持續開展對重要信息系統的安全監測、分析工作，有效提升了安全風險的即時發現、及時處理能力，確保各信息系統安全穩定運行[9]。另一方面，基于集約化的運營管理，有利于安全運維、監控保障資源的統籌和跨部門協同能力的提升。

3.2 數據安全管控能力不斷提高

通過細化落實數據安全相關制度和標準，逐步建立了基于數據分域的技術框架，指導數據分類分級管理、數據權限控制、去標識化等技術能力建設，提升了對公共數據和個人隱私數據的防護能力；落實了數據全生命周期管理過程中的差異化保護能力，為保障好數據安全鋪平了道路。

3.3 安全管理規范化水平得到有效提升

通過不斷完善制度管理體系，落實相應的指導監督手段，有效規范了大數據部門在數據安全管理和系統安全管理方面的工作標準，增強了全局性的統籌能力和集約化水平，保障了后期各項安全工作要求的落地實施[10]。

3.4 安全意識顯著增強

通過相關制度的不斷細化以及定期安全檢查機制的有效落實，大數據部門內部網絡和數據安全意識和責任意識達到了前所未有的高度，有力促進了相關安全工作的持續開展，安全管理能力逐漸形成了積極、有序的良性循環模式。

4 結束語

本文以城市數字化轉型為背景，分析了當前安全管理體系面臨的新風險和新挑戰，同時闡述了大數據部門在深化安全管理方面的工作方法及初步成效，為后續安全管理工作開展具有較強的實踐指導意義。目前“三位一體”的安全保障體系仍在不斷完善和優化，在后期工作推進中仍需要堅持問題導向，并不斷探索前沿技術的應用，持續加強管理手段，提升技術保障能力，用最高標準、最嚴要求筑牢網絡和數據安全的“安心鎖”和“防護盾”。