超级CSO研修班 | 刘新凯：数据观测能力是治理数据安全的基础

数据安全在近年来发生了非常大的变化。在2020年以前，数据安全更多指的是企业的商业机密，但在《数安法》及《个保法》出台后，数据安全和隐私合规产生了非常大的变化。这些变化促进了企业对数据安全的关注，也改变了企业建设信息安全的格局。

首先是全球地缘变化，国际上包括政治、法规都发生了很多变化。对于企业来说，这些变化与很多场景与强相关。从企业经营来看，从本土经营到全球化的过程会面临很多挑战，例如在业务向海外扩张过程中，如何进行数据安全及合规管理。这里不再是过去数据泄露所造成的风险，而是目的国家的法律法规以及执行中所遇到的挑战。以前可能只是商业秘密的泄露，现在很可能会影响企业在全球经营过程中，会不会在当地叫停，会不会面临处罚。。

此外，安全属性也发生了变化。2020年之前，相关法规还未落地，数据安全的出发点是企业本身，落地方向主要是保护商业秘密和企业内数据的安全，防范的是企业经营的竞争行为。但现在，数据安全与国家安全挂钩，特别是关基行业，除了个人数据以外，还要从国家安全角度来定义数据安全。部分数据安全事件很有可能上升至国家安全事件，这督促企业在推进数据安全的时候要提升到更高的重视程度。

其次是国内数据安全政策和监管落地。以前，很多安全方面的标准还不清晰，企业遵循等保标准就足够应对监管。但自从网络安全及数据安全的上位法出台后，包括部委、协会、行业等等都在制定标准，特别是针对数据安全这方面。现在从上位法到下面的指导意见和标准，以及行业级检查和落地要求已经在快马加鞭地推进。因此，对于企业来说，合规和监管的挑战明显提升。监管从过去的高高在上变成具体落地，甚至对业务开展也产生了影响。

第三是数据安全与业务关系变得密切。传统的网络安全更看重攻防，而现在，数据安全需要了解业务，需要在熟悉业务的情况下解决数据安全的问题，这会对落地过程中带来一定的挑战和压力。

最后是技术环境。绝大多数业务的技术底盘是非常复杂的，里面可能会涉及到多云、多应用技术、陈旧的业务系统等等一系列的问题。随着安全范围的逐渐扩张，如何去梳理遗漏技术和系统、如何应对和管理合规风险等等都是重要的挑战。此外，作为甲方会经常发现能够适用的好产品非常少，数据安全市场的产品，很少能够真正解决这些问题，这就导致企业即便想要治理数据安全，也无法得到有效工具。

日趋严格的法律监管环境，使数据隐私合规成为企业刚需。国内的《数安法》及《个保法》很多内容是参考了国外的一些法律法规，最主要的变化就是监管逐渐变成了刚需状态。网信办此前负责行业标准的制定，而现在，网信办在各省都有执法部门和落地部门，来推动数据安全的全面管理。

企业数字化+智能化带来的新的安全挑战。近年来，大部分企业都在谈数字化和智能化，在这个过程中会以数据为基础带来一些变化，这也是数据安全比网络安全难做的一个原因。网络安全发展差不多有20年的时间，在这个过程中，网络安全是随着IT系统和业务逐渐做起来，在这个过程中，很少会有人注意数据安全。因此，现在的数据安全是在还债，是把过去没有捋清楚，没有做明白的事情快速推进和落地。随着企业数智化的过程，应用越来越多，数据越来越庞大，数据的交互越来越复杂，数据安全面临着流动过程风险、监管风险、业务过程风险三方面的挑战。

复杂场景技术支撑能力不足，数据安全管控存在短板。IT时代的安全主要围绕网络边界，包括边界防护、应用安全、特权管理、数据库安全等等，还有主机安全和终端安全的区分。但随着云大物移智时代的到来，数据的边界开始消失，单点的安全管控很难应对当前复杂的网状环境。在这种情况下，选择什么技术能力，按照什么步骤去进行管理都会带来不同的结果。

当前国内外关于数据安全监管现状，在2022年，就已经有超过100个国家和地区制定了数据安全保护法律。以GDPR为例，个人数据的保护要求有很多，但都是基于核心节点延伸的。从个人数据的角度来看，个人数据的收取过程是否合法合理，是否最小授权最小使用；在使用过程中是否得到了充足的安全保障，出现问题时，是否有及时的风险发现和预警能力；事后数据出现问题是否能够自证清白。这就意味着，组织需要有政策、有制度、有管理也要有技术。也就是说，数据安全是一个综合性的安全，落地也需要企业有综合性的能力。

国内的监管变化有哪些重点？近年来，从国家政策来看，数据安全和网络安全都在增加，数据安全和网络安全的具体要求也逐渐明晰，因此，当下很难在看到信息安全这个词汇。对于企业来说，所在行业、地区的监管要求都有哪些？哪些是优先级最高的，按照什么方向来进行信息收集和管理落地都是需要考虑的问题。在这里，安全部门可以与法务部一起，分析当下关于网络安全和数据安全的法律法规及相关内容，发现其中可能会影响企业经营的要求。是否做到了合理的保护是影响处罚的重要因素，这就需要企业对监管要求的理解和实施。

行业的监管要求也发生了很多变化，特别是在数据出境方面。很多企业可能在数据出境政策出台后做了很多准备，但仍然无法报批，这是因为包括报告内容及报表中是没有技术支撑，无法真正保障数据不会泄露。但现在，数据出境的范围也在调整，变化也非常大。作为甲方，对于数据安全需要运动的去看，因为你无法保证你提交报告到实地检查这期间不会发生变化。

技术上对数据安全及隐私合规应该如何破局？可以参考下图这个架构。首先，数据安全是一个组织战略和发展的需求，如果要进行全球化的企业运营，那数据安全就是业务发展的基础要求和基础运营。其次，数据安全是监管的需求，第三也是内部管理的需求，一定与企业的自身情况强相关。

此前某快递企业在没有相关的强法律监管要求时，就已经投入了非常大的资源去做数据监测。这是因为企业业务有需求，所有的快递都会收到个人数据，竞争对手及黑灰产可能都会盯着这些数据。一旦出现了问题，业务可能就会丢失。对于企业来说，外部监管是一个机会，当前监管要求出台速度越来越快，甚至有些要求已经超出了企业自身的能力。但这不意味着目前已经出现了行业标准，出现了最佳实践，企业有机会在这种环境下做好监管的要求，然后成为行业最佳实践。如此，无论对企业的创新、评级，还是业务场景的突破都是一个非常好的契机。

数据的观测能力是比较重要的。过去，网络管理或是机房服务器管理需要观察网络基础流量，从而发现网络问题，网络的观测能力在这20年间形成了网络建设和运维的基础。数据安全也是如此，数据安全的第一个拦路虎就是要搞清楚数据。在复杂业务环境中，在资源协调能力没那么强的情况下，如何了解数据的真实状态？怎么观测和管理数据是一个很重要的能力。

接下来是做好防护建设、风险管理和溯源调查，随业务和基础架构的变化而变化，但你会发现这些技术是割裂的，它不是体系性地覆盖风险节点和数据节点。基于这些技术的上层就是数据安全管理的具体内容，这部分也是监管明确提出的要求。第一是组织架构，拥有了组织架，才能确立数据安全工作的负责人，才能保证后续的方针、政策能够落地和开展。然后是安全运营，包括合规场景落地、用数场景监测、访问行为审计、安全事件管理、应急响应、数据安全态势等等。

最后是合规，合规在数据安全领域是重中之重，大部分建设要求、技术要求以及架构要求都需要合规来指导。

在数据安全管理的组织建设方面，需要根据企业组织层面实体的管理团队及执行团队，将业务、研发、HR、IT、法务等部门纳入数据安全组织建设当中。通过数据安全组织明确数据安全政策落实、监督、资源协调等工作职责，确保数据安全和隐私合规管理体系的有效执行。最上层是决策层，下面会分为网安部和数安部，最后再落到具体执行组织，包括业务、研发、HR、IT、法务等等。当前，大部分企业的模式会由公司CEO和董事长牵头，下属包括法务、合规、IT等部门老大负责，最后是各个部门来执行。

在数据安全管理的制度建设方面，通过法律法规、行业监管以及国内外数据安全标准要求解读，形成企业数据安全及合规管理制度体系，涵盖基本政策、管理制度、操作手册、场景手册、操作指引等层级。最上层是方针制度，然后是数据安全管理制度，包括资产管理、分类分级、数据使用、业务场景等等，最终落地到具体的操作场景。

在数据安全管理的体系认证方面，如果企业有国际化业务，建议通过27701认证，这是针对个人隐私的专属认证，在27001信息安全管理体系的基础上，更针对个人信息的认证。在认证方面，国内有一个主要问题是监管没明确指定哪个认证体系，和数据安全相关的认证缺乏权威性，它不像等保那样强制。所以，除了27701对国际业务和项目招标有帮助以外，其他的认证体系的作用不太明显。