網絡安全等級保護制度下的數據安全研究

李尚號，王 勇

(公安部網絡安全等級保護評估中心，北京 100142)

0 引言

隨著信息技術的廣泛應用，網絡空間逐步成為人類生產生活的重要場所，數據作為人類在網絡空間中的行動痕跡，蘊含了豐富的信息。數據中所承載的價值對于國家穩定、社會秩序、個人利益具有重要影響。核心數據更是已成為各國的戰略資產。根據《中國互聯網絡發展狀況統計報告》顯示，截至2023年6月，我國網民規模達10.79億，互聯網普及率達76.4%。我國人口基數大、互聯網普及率高的基本國情勢必會帶來網民數據體量大、數據安全保護工作難度高等挑戰。

2021年《數據安全法》和《個人信息保護法》相繼頒布實施，代表著我國現行數據安全頂層法律法規日趨完善[1]，我國數據安全保護工作重心逐步從頂層立法向落地執行轉移。《數據安全法》規定信息系統進行數據處理活動，首先要遵循網絡安全等級保護制度，強調了網絡安全與數據安全的關聯關系和內在邏輯。

網絡安全等級保護制度是中國目前體系最完整、技術最成熟、接受度和認可度最高、執行力度最強、覆蓋范圍最全面的國家網絡安全基本制度體系，是《網絡安全法》和《數據安全法》等國家網絡安全多項法律明確要求施行的，為保護數據和個人信息安全做出了重要貢獻。但是網絡安全保護制度以系統為定級對象，更加注重系統整體的網絡運行安全，對于數據的關注相對不足[2]。同時，等級保護中對于數據的保護偏向于傳統的靜態安全，未對于數據的全生命周期安全提出有效要求。面對新形勢下數據安全發展的新要求、新挑戰[3]，如何應用好網絡安全等級保護制度對其進行全面保護是當前數據安全工作的重點。

1 網絡安全等級保護與數據安全現狀

在《網絡安全法》頒布實施后，為了滿足新形勢下對網絡安全的要求，網絡安全等級保護相關標準也隨之修訂，形成了以《網絡安全等級保護基本要求》(以下簡稱《基本要求》)[4]和《網絡安全等級保護測評要求》(以下簡稱《測評要求》)[5]為核心的等保2.0標準體系。《基本要求》對數據的完整性、保密性、備份恢復和個人信息保護等提出了具體要求，《測評要求》則規定了相關數據保護有效性的檢驗手段。

通過近幾年的實施，等保2.0標準體系在我國網絡安全和數據安全保護工作中發揮了巨大作用[6-7]，但是隨著數據安全保護工作的深入，《基本要求》中的相關內容已無法滿足數據采集、傳輸、存儲、處理、交換和銷毀全生命周期的安全要求，迫切需要建立一套完整的數據安全保護方案。

為落實《網絡安全法》《數據安全法》和《個人信息保護法》中對數據安全的保護要求，延續并完善網絡安全等級保護制度，公安行標《網絡安全等級保護數據安全基本要求》《網絡安全等級保護數據安全測評要求》相繼立項，按照數據全生命周期規劃四個等級的安全保護要求和測評要求。等級保護數據安全系列標準相互配合，對構建等級保護數據安全測評體系、掌握我國數據安全狀況和防護水平、促進國家數據安全保障能力全面提升，具有重大意義。

2 數據安全保護工作流程分析

《網絡安全法》從系統運行安全、網絡信息安全角度提出了數據管理要求，管理對象側重個人信息和關鍵信息基礎設施收集產生的數據，管理范圍側重數據采集、存儲等環節。《數據安全法》在此基礎上作了進一步擴充，將任何以電子或其他方式記錄的信息，全方面、全流程地納入數據安全保護范疇。因此《數據安全法》是對《網絡安全法》的補充和延續，是網絡安全保護工作的繼承和發展。

據統計，網絡安全事件中大約有70%的比例是為了獲取或者破壞其中的數據。網絡安全的最終目的是保護數據安全，數據安全依賴于維護網絡安全，數據安全與網絡安全是一體兩面、不可分割的，因此網絡安全保護工作和數據安全保護工作具有深度耦合的基礎。

通過上述分析不難看出，數據安全保護工作并不是獨立存在的，而是應該與網絡安全等級保護工作緊密結合、同步開展。網絡安全等級保護工作包括定級、備案、安全建設整改、等級測評和安全檢查五個主要環節[8]，與此對應數據安全保護工作也應當按照定級、備案、安全建設整改、數據安全測評、安全檢查五個階段開展工作。如此不僅可以充分發揮網絡安全等級保護制度的經驗優勢，快速推進數據安全保護工作，還能夠最大程度地減輕企業合規工作壓力，進而促進等級保護工作的良性循環。

3 數據安全保護工作具體實施

為確保等級保護工作與數據安全保護工作能夠緊密結合、同步開展，本文將按照數據安全定級、數據安全備案、安全建設整改、數據安全測評、安全檢查五個關鍵動作，分析數據安全保護工作與等級保護工作同步實行的必要性與可行性，并提出具體實施方法。

3.1 數據安全定級

數據的收集、處理、存儲都依賴于所屬的信息系統，因此數據定級工作應當隨信息系統定級同步開展。與等級保護系統定級類似，確定數據等級時應考慮數據泄露、破壞對公民、法人和其他組織的合法權益，社會秩序、公共利益，國家安全造成的侵害程度，并將信息系統的數據級別作為信息系統保護等級確定的考慮因素。

不同于網絡安全系統等級的五個等級，數據按照其重要程度和影響程度，可分為核心數據、重要數據、一般數據三個等級。不同保護等級的信息系統能夠承載的數據級別不同，具體對照如表1所示。

表1 數據級別與網絡安全等級對照表

3.2 數據安全備案

數據安全備案應當在等級保護備案制度、標準、流程的基礎上擴充數據相關要求，完善目前現有的等級保護備案平臺，不增加工作流程負擔，只需增加數據基本信息、數據處理信息、數據安全情況的報送。通過數據安全備案使公安機關摸清定級系統的數據保護情況，掌握數據種類與量級。

數據安全責任單位依據相關標準規范開展數據識別工作，識別運營范圍內的數據類別、級別和相關內容，識別數據后邀請外部專家進行評審，確定最終數據識別結果。數據識別完成后，數據安全責任單位通過等級保護備案平臺向公安機關申報備案，提交備案材料等待公安機關審核，需要備案的數據信息至少應包括表2中的內容。

表2 數據備案信息

公安機關應對數據信息和安全情況進行審核，通過審核的應當將備案結果與信息系統等級保護備案結果關聯。

3.3 安全建設整改

網絡系統在規劃、建設階段應充分考慮數據安全保護需求，在等級保護的基礎上，結合數據全生命周期不同階段的保護需求，設計數據安全保護方案，形成數據安全保護策略，構建數據安全保護體系。

數據安全責任單位應依據評估、檢查發現的安全問題及風險進行數據安全建設整改工作，根據數據安全相關標準規范，結合安全問題及實際情況，對相關風險點進行整改。整改完成后應對整改結果進行自評估，并將安全問題列表、整改方案及實施情況、整改結果和整改后殘余風險的處置情況等報送給公安機關。

3.4 數據安全測評

依托成熟完善的等級保護測評體系，在原有等級保護工作的基礎上增加數據安全測評內容，開展數據安全測評工作。數據安全測評工作包括調研、方案編制、現場測評、分析與報告編制四個階段，四個階段工作可與等級保護測評同步展開，也可根據需求開展單獨的數據安全測評。具體工作內容和流程如圖1所示。

圖1 等級保護測評與數據安全測評工作流程

(1)調研階段

在進行等級測評工作的同時，測評機構依據相關標準規范對數據安全開展測評，通過查閱相關資料、填寫數據調研表格、現場溝通調研等方式對信息系統的數據基本情況進行調研，形成數據資產調研表，調研表中應包括以下內容：

數據基礎信息：數據所屬單位信息、數據責任方信息、安全負責人信息。

數據基本信息：數據分類分級結果、量級、類型、范圍、存儲位置及期限、重要程度。

相關數據資產：相關設備、數據應用、管理軟件等信息。

數據處理情況：數據處理、流動、共享、銷毀等相關情況。

(2)方案編制階段

測評機構根據數據基本情況的調研結果，分析承載數據對象信息系統的業務流程，明確數據活動涉及的資產，確定本次測評的數據對象范圍，最終形成數據安全測評方案，方案中應對項目背景、測評對象、選用指標、測評方法、風險規避措施、工作計劃等進行詳細說明。

(3)現場測評階段

測評機構依據相關標準規范和測評方案抽選的測評指標對信息系統數據的采集、存儲、處理、傳輸、交換、銷毀等活動開展測評，通過現場訪談和核查、結合工具檢查的方式測評數據全生命周期活動中是否存在合規風險、安全風險，安全測評內容包括但不限于以下：

數據活動合規性：數據收集、存儲、處理、傳輸、交換、銷毀等活動是否符合相關法律法規要求，是否存在過度收集、數據濫用、跨境共享等相關行為。

數據管理活動：核查組織架構和數據管理人員配置的合理性，數據安全管理制度的完備性，數據安全管理流程的完整性，個人信息保護管理制度及措施的有效性等。

數據技術措施：數據的保密性、完整性、真實性相關保護措施是否有效，訪問控制及認證措施強度、密碼技術應用是否合理，數據活動的審計是否覆蓋全面，數據資產識別是否準確完備等。

(4)分析與報告編制階段

測評機構依據相關標準規范和現場測評結果對信息系統現有的數據安全措施進行分析，分析存在的安全風險并提出整改建議，得出數據安全測評結論，形成數據安全測評報告。

3.5 安全檢查

公安機關依法開展監督檢查工作，依據國家相關法規對信息系統數據進行分類、分級合規性檢查，審查這些重要數據在采集、存儲、傳輸或使用上的安全性和合規性。對信息系統中的各類網絡安全威脅、信息系統脆弱漏洞環節等方面進行檢測，評估出業務信息系統的數據風險點和風險閾值，控制信息數據安全風險，消除數據安全隱患，實現數據安全的可知、可管、可控。

4 結論

網絡基礎環境承載數據和個人信息，數據和個人信息依托網絡基礎環境，維護網絡安全的目的是保護數據和個人信息安全，保護數據和個人信息安全有賴于維護網絡安全。網絡安全與數據安全相互依存、密不可分，數據安全保護工作與網絡安全等級保護工作同步開展具有內在邏輯與工作基礎，而脫離基礎環境和信息系統的數據安全保護工作將缺乏底層支撐與有力抓手。因此當前形勢下，將數據安全納入網絡安全等級保護制度是快速推進我國數據安全建設的有效手段。