正文

加强合作方数据保护③—关于合作安全情况的调研分析

admin
admin V管理员 /0 评论 /147 阅读
0419
此篇文章发布距今已超过218天,您需要注意文章的内容或图片是否可用!

我国数据要素市场正处于蓬勃发展阶段,在政策、业务、技术等多方因素的驱动下,数据合作需求激增,数据合作场景愈发多样化。然而合作方的数据保护能力参差不齐,数据合作过程中,数据泄露、数据滥用等安全事件频发,严重危及社会公众安全。

本系列将持续探讨合作方数据保护相关工作,希望增强企业合作方安全管理能力,指引企业对外部合作方的数据安全保护能力进行评估和监督,压实合作方安全责任,提升整体防控水平。

本文将对行业数据合作安全情况的调研结果进行分析,总结行业特点和数据合作场景,分析当前实践方法可取处与欠缺点,为落地贴合行业实际的合作方安全评估奠定基础。

(一)合作安全情况调研概述

为洞察数据合作安全的现状、问题,分析行业企业当前实践方法的可取处与欠缺点,针对数据合作安全,中国信息通信研究院云大所数据安全团队(以下简称:云大所安全团队)通过发放调研表、开展行业研讨会、企业访谈、标准研讨会、数据合作安全优秀案例征集活动和实施数据安全评估等方式,对金融、电信运营商、汽车等多个行业的50余家企业进行了合作安全情况调研,总结了各个行业数据合作的特点和典型场景。

数据处理各活动皆可能涉及数据合作,每个数据处理活动环节都面临数据安全风险,如表1所示。供应链、第三方软件服务等形式的数据合作是导致数据泄露等安全事件发生的高频原因,供应链环节有很多中小型企业,这类企业对于数据安全管理投入成本低甚至没有,是黑产重点攻击对象,与之合作的企业数据安全很难得到保障。因此,企业需要对合作方的数据安全保障能力进行评估,对合作方的安全保护能力进行核验,采取必要的安全保护措施。

表1 数据合作安全情况总结

(二)金融行业数据合作安全情况

我国金融机构特别是银行业,信息化起步较早,面临着业务系统多、供应商多,数据对外合作场景复杂的问题。金融行业涉及海量个人金融信息,数据敏感级别高,如个人身份证号、银行卡号、密码、家庭住址、生物识别等。金融行业监管发文密集,数据安全、个人信息保护监管整治力度大,针对系统缺陷、数据安全管理粗放、数据泄露频发处罚。金融行业数据合作场景主要可以概括为四类:政企民生类数据合作、合规经营类数据合作、商业类数据合作、监管相关类数据合作,详细描述见表2。

表2 金融行业数据合作场景

通过调研对比、分析多家金融机构的合作安全管理发现金融行业对合作方安全管理的松紧程度是分阶梯式的。以对供应商开展尽职调查的场景为例,供应商级别划分为一般供应商、重要供应商、重要非驻场供应商,按照供应商按级别对供应商开展尽职调查,不同级别供应商的调查小组组成、监督要求、评估内容都不相同。头部企业对供应商的尽职调查在每次合作前开展,调查机制相对完善,但在建立合作关系后缺少定期对安全资质存续进行审核。

(三)电信行业数据合作安全情况

电信运营商聚合生产运营、网络承载、企业管理数据,对外输出通信、支付、社交、上网、身份、位置等核心数据能力,敏感数据分布广,涉数人员群体繁杂,受监管部门高度关注。电信行业曾是数据泄露“重灾区”,数据泄露整治力度严峻。电信运营商行业数据合作场景主要可以概括为三类:电信运营商之间数据合作、电信运营商和互联网公司/电商企业等跨业合作、电信运营商和渠道代理商合作,详细描述见表3。

表3 电信行业数据合作场景

通过调研对比、分析电信运营商企业的数据合作安全管理发现通过签订数据安全协议对合作方进行约束管理是当前的主要手段。以某电信运营商与渠道代理商数据合作场景为例,为防止渠道代理商人员在办理客户入网时采集用户身份证号码、人脸等实名数据时因安全管控措施未落实导致个人信息泄露,电信运营商企业和渠道代理商签订保密协议和委托数据处理协议,约定渠道代理商可接触数据内容、权限、最小化原则、违约处罚事项,并对渠道代理商的人员开展相关培训。上述案例中电信运营商通过协议明确安全管控要求,是当前最常见的手段,但未在协议中明确必要的数据安全保护措施及监测响应要求。《工业和信息化领域数据安全管理办法(试行)》中要求通过签订合同协议等方式,明确委托方与受托方的数据安全责任和义务,并对受托方的数据安全保护能力、资质进行核验。在按照法规要求签署数据处理协议时,不仅要对数据处理的目的、方式、范围进行要求,还需要约定数据安全保护措施以及双方在数据处理过程中的数据安全责任和义务等内容。

落实数据安全保护和个人信息保护义务,企业需要建立数据合作安全保护机制,对合作方数据保护能力的动态评估和监督已成为数据安全保护的重点工作。

2023年,中国信息通信研究院云大所数据安全团队组织交通银行、移动集团、智马达汽车等近三十家企业,制定了《合作方数据保护能力评估要求》,填补了合作方数据安全评估框架的空白,为数据合作安全管控提供有力抓手,并基于此开展合作方数据保护能力评估服务。此外,信通院云大所持续进行数据安全行业调研,对百余家企业合作方管理情况进行了深入分析;征集星河案例合作方数据安全管理先进实践,提升行业数据合作安全整体水平。

合作方数据保护能力评估持续征集参评企业,欢迎报名参与!

联系人:张老师

联系方式:15837112556(微信同号)

[email protected]

往期回顾

 # 

 # 

 # 
 # 


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com