专题·数字安全免疫力 | 以合规性为基线增强数字安全免疫力 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 中国信息安全测评中心孙明亮

当今时代，数据已成为各国、各方抢夺的战略资源，重要性已经不言而喻，因此，数据的安全性也就被大家所关注。数据在社会生产生活中发挥的作用越来越大，同时，数据安全问题和数据安全威胁也成为全球关注的焦点。因此，企业创建数字安全免疫力体系，形成具有主动防御能力的数字安全免疫力势在必行。

数字安全免疫力体系在企业健康、高效发展方面发挥重要的作用。企业在构建数字安全免疫体系时要考虑包括企业文化与意识、边界安全、端点安全、应用开发安全、安全运营与治理、数据安全治理、业务风险治理等多方面因素，形成具有影响力的体系化功能模型。

数字安全免疫力体系要解决外围的安全风险。在数字经济不断纵深发展的今天，企业面临复杂的外围安全威胁。传统的针对系统的风险直接上升到业务、战略层面，给企业的生存带来挑战。同时，安全风险更加多样化和复杂化，且数据泄露事件和 APT 攻击事件高发。加强企业及个人的信息网络安全和个人隐私保护意识，与数字安全免疫力息息相关。对企业来说，解决“治未病”问题是大势所趋，以此保证企业的业务、战略、社会影响力免受打击，让企业能够在健康高效的环境下发展。

合规性是推动数字安全免疫力体系快速落地的关键要素。数据是数字经济时代重要的生产要素，是构建新发展格局的重要支撑。党中央、国务院高度重视培育数据要素市场。党的十九届四中全会首次提出将数据作为新的生产要素，党的十九届五中全会再次确立了数据要素的市场地位。近些年，我国数据安全相关的法律法规体系不断完善，从中央到地方再到行业，陆续发布了数据安全方面的相关政策、法规、标准，构成既有法律法规、系列政策，又有监管要求，还有系列标准作为支撑的监管、合规性体系，为促进全民信息网络安全意识、数据安全意识的提高，为数据安全举措的落地，提供了保障。因此，合规性是助推数字安全免疫力体系落地实施的强有力因素。

数字免疫安全免疫力体系的建立任重道远。数字经济和实体经济的融合日益紧密，数据帮助制造业企业实现从“规模生产”到“规模定制”，有效支撑了个性化定制、体验式制造、网络制造等柔性化新型制造业态。在医疗、教育、交通等众多关乎民生的领域，数据要素的充分运用推动相关应用向数字化、智能化方向发展，促进提升人民生活的幸福感。数据要素的价值，越来越多地体现在促进降低生产成本、提高生产效率、改善生活水平等方面，要通过紧密围绕市场需求、应用需求，做到最大限度激发数据要素潜力。

合规性要求是企业实现数字安全免疫力体系的先决条件与基础，更是推进其实现的助推剂。企业增强数字安全免疫力的意义重大，更需要多因素共同的努力和多方面的保障措施。因此，为数字安全免疫力体系能够切实有力的落地实施，可以考虑以下五方面。

一是加大提升政策支持力度。数字安全免疫力体系是建立在合规性基础上的。企业需要了解和熟悉相关法律法规和政策文件的情况，加快数字安全免疫力体系的发展和落地。同时，提升企业数字安全免疫力水平，需要引导和加大数字安全免疫力体系建设的投入力度，鼓励企业建立适用于自身的数字安全免疫力体系，真正实现能够因地制宜、量体裁衣式的落地应用，让企业的安全建设实现提前思考、提前布局，防患于未然。

二是加大系统化推进力度。数字安全免疫力体系是一个系统化体系工程，在风险、事件与合规性的驱动下，从以组织数据、业务为核心的资产出发，包含数据安全治理、业务风险管控、边界安全、端点安全、应用开发安全等模块，包含技术与管理等多位因素，需要进行系统化地推进执行，统筹各方面因素，达到纵深防御的效果。

三是稳步推进制度建设与意识提升。企业应该围绕构建数字安全免疫力基础制度建设，实现企业整体数字安全意识的提升。“七分管理三分技术”在某种程度上是安全产业的共识。数字安全免疫力体系构建的是一个企业综合化和平台化的能力，汇聚的是一个企业面向数据和业务为核心的资产全面安全的能力，包含技术和管理等手段。若想达到数字安全免疫力体系本来想发挥的效果，需要所有因素协同发力。其中，安全运营和管理是数字安全免疫力体系的中枢系统，是建立抵抗力的重要场所，是感知威胁、监测漏洞、指挥作战的大本营，这是平台化的思路，同时，与此相关的所有决策，也需要从依据合规性角度出发。这里所说的合规性，既包括从法律法规、政策与国家标准层面出发的内容，又包括企业层面切实可落地实施的完备管理制度。既然管理在此过程中发挥至关重要的作用，那么整个企业层面从领导层到每一个成员的数字安全意识，就是数字安全免疫力体系得以实现的基础。只有这样，平台化的技术支撑与综合全方位高质量管理体系的落地实施，才能发挥好安全运营与管理的平台化作战体系的作用。

四是守住数字安全免疫力的基础屏障和防线。数字安全免疫力体系是一个内有核心，中有作战体系，外有基础屏障和防线的综合防御体系，边界安全、端点安全和应用开发安全作为数字安全免疫力体系的外围基础屏障和防线，通过对外部威胁、入侵等风险的检测、识别、分析等，构建对外部的综合防御策略，实现动态化防御、数字安全免疫力“左移”，最终达到保障业务安全的目标。对这个体系的理解以及实施，是守住数字安全免疫力的基础屏障和防线的基础，也是发挥数字安全免疫力体系屏障和防线作用的关键。

五是保障业务安全是终极目标。安全体系和策略的目标绝不仅仅是停留在资产层面，其终极目标是要保障业务连续性和业务安全，这是风险理论的核心。所有要解决的安全问题的对立面是解决风险问题，无论最终是降低风险、规避风险，还是转移风险等，目的都是要以保障业务为前提。所以，在构建数字安全免疫力体系时，要把保障业务连续性和业务安全放在首位，而提到业务层面的安全，避免不了要把合规性提到首位。就是说，企业在构建数字安全免疫力体系时，要把业务层面的合规性放在第一位，因为这是业务能够开展的前提，一切业务开展不能违反法律法规和政策的要求，所以，构建数字安全免疫力体系的终极目标是业务安全，而合规性是整个体系构建的驱动力和前提。

数字安全免疫力体系是一个以业务安全为终极目标，以资产为核心，以安全运营和管理为中枢系统，以边界安全、端点安全和应用开发安全为防线，以数据安全治理和业务安全风险控制为防御模块的系统化保障模型。这个体系模型拥有纵深防御、主动防御、平台化思路并兼具技术和管理的综合保障模型。构建数字安全免疫力体系模型需要的资源、技术和管理手段也较多，若想该体系能够真正发挥实效，需要多方努力，共同推进。合规性作为该体系模型能够实现所需众多因素的驱动力、前提和基线，是应用数字安全免疫力体系时首先应该考虑的，是保障业务安全不可或缺的。应用该体系模型的企业，需要以合规为基线筑牢安全建设的基础工程，才能全面提升抗风险的能力和竞争力，保障业务运营安全和实现数字化转型，为网络安全产业发展贡献力量。

（本文刊登于《中国信息安全》杂志2023年第8期）

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图了解详情