安小圈

第518期

数据安全目标

■作者：Smart

■编辑：王贤智

探索数据安全要塞，守护数字世界。

——《数据守望》专栏

No.025

数据安全的三个目标｜合规、风险和业务

▽

数据安全，一个在各行各业都极为重视的概念，却很难讲清楚数据安全到底是什么？有的人认为数据安全就是加密、脱敏和去标识化这些技术内容。再进一步理解，有的人认为数据安全包括安全管理和安全技术，但也止步于数据安全是安全部门的事情。

实际含义远不止于此，数据安全和业务、和合规强绑定，也脱离不了网络安全底座支持。从数据形态上说，从保护静态数据的活动，逐步迁移到数据传输、动态流转的过程安全。

数据安全是一个多维度融合的事情，在传统的安全管理和安全技术基础上，需要关注政策、标准规范、业务（不同行业）、数据（治理、标准）、合规等多方面内容，作为技术人员需要思考如何安全融入业务和数据处理活动中，把安全管理要求和安全技术措施融入数据生产流程中。换个思路，从“我们安全有什么，业务来适应”的视角，切换到“业务需要什么安全我们嵌入提供”。

本文旨在探讨这些问题（如何更好地理解数据安全？数据安全目标是什么？），提供一个易于理解的思路，帮助我们从宏观的角度把握数据安全的本质和目标，为数据安全工作提供实用的参考和指导。

在接触很多数据业务的专家后，发现他们对国家数据政策、标准的理解都非常深刻，一致推荐从事数据相关的人员，一定需要研究政策内容。为践行做数据安全要多了解数据政策和数据业务的理念，最近重新研读了“数据二十条”。

2022年12月中共中央国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》。作为国家数据领域一项重要政策文件，目的是加快构建数据基础制度体系，统筹推进数据产权、流通交易、收益分配、安全治理等方面，以促进数据要素的高效利用和价值实现。

图1:“数据二十条”

对《数据二十条》中数据安全内容进行整理，如下表：

图2:“数据二十条”中与数据安全相关的内容

其中七条与数据安全直接相关，提出一些个人理解：

（1）强调保障国家数据安全

首先，数据安全的问题会影响国家安全，从2018年欧盟正式实施的通用数据保护条例（GDPR）后，关于数据的监管政策明显趋严。我国配套颁布了大量的法律法规，其中《国家安全法》《网络安全法》《数据安全法》和《个人信息保护法》共同构成了数据安全的法律基础。
其次，国家特别重视保护"核心数据"和"重要数据"，确保关键基础设施安全，并对企业海外业务、境外上市及数据跨境传输实施严格监管。最后，对处理大量个人信息和敏感数据的大型平台企业进行强化监管，以保障数据安全。

（2）强化数据安全保障体系建设

数据安全保障体系主要包括合规、管理、技术和运营四个方面。管理体系和技术体系相对成熟，而合规性正逐渐成为监管的重点，它决定了业务能否合法开展，关于合规的标准和基准线有哪些，通常企业很难梳理清楚。
此外，数据安全运营往往被忽视，有时建立的制度很难在企业进行有效落地执行，配套的数据安全技术手段虽然配置齐全，但实际上大部分处于“沉睡”未使用或未正确配。

（3）数据安全管理认证制度

在"数据二十条"中，数据安全是数据基础制度的核心组成部分。国家在数据安全管理认证方面制定相应措施，涵盖认证体系、认证机构和技术检测机构。
例如，中国网络安全审查认证和市场监管大数据中心（CCRC）推出的认证项目，包括"数据安全管理认证"、"移动互联网应用程序（App）安全认证"、"个人信息保护认证"等，以及DSMM认证，目的是为了加强数据安全保护、提升企业安全水平。

图3:CCRC在数据安全领域的三类认证

（4）在网络安全等级保护技术上，健全网络和数据安全保护体系

在数据安全检查和风险评估工作中，一些企业把数据安全和网络安全的很多内容视为等同，无论是制度体系、团队组织、配套实施文件等，用网络安全的材料覆盖数据安全检查。虽然团队人员上可能复用，但形式上仍需要明确职责界面。比如数据安全制度体系和应急预案等，均需要组织独立制定。
数据安全依赖于承载数据的环境和信息系统，这些都需要通过IT基础设施和网络安全措施来保障。实践操作中，企业可以把网络和数据安全合并发布一套制度，但内容上需要涵盖数据安全；建立一套企业安全组织，但职责上需要覆盖数据安全工作内容。

（5）强调政务数据安全管理

《数据二十条》将数据划分为公共数据、企业数据和个人数据三大类。公共数据主要来源于党政机关和企事业单位在履行职责或提供公共服务时产生的信息。政务数据可以理解成公共数据的一部分，专指政府机构的数据。与公共数据相比，政务数据的范围更窄，主体更明确，主要用于政府内部。而公共数据则更广泛，不仅包括政府机构，还涵盖其他公共机构的数据，它们更多用于社会化再利用，推动社会发展。

不仅仅政务机构需要重视数据安全，对参与到政务信息系统的承建者、运营者也提出了明确的安全要求，作为监管的重点之一。国家对政务数据安全给予高度重视，发布了《数据安全技术政务数据处理安全要求（征求意见稿）》等规范标准，并在今年5月15日，由网信办、工信部、公安部等多部门联合发布了《互联网政务应用安全管理规定》，以加强管控。相关安全规范参照下图：

图4:政务领域的重要安全规范

图5:《互联网政务应用安全管理规定》

数据安全核心目标概括为三个：满足“安全合规”、控制“主要风险”、“支撑业务发展”。

图6:《数据安全三个核心目标》

（1）满足“安全合规”

安全合规是业务开展的基本前提。任何业务若不符合国家法律法规和标准规范，都将面临法律制裁。企业需要识别并遵守来自国家法律、监管机构、上级业务主管、合同约束以及内部规章的安全要求，将这些要求转化为企业的安全合规标准，并贯彻到业务经营中。

安全合规的实施同样重要，它需要明确流程和人员执行，并记录执行过程。企业内部每个角色都应明确自己的安全合规职责，并按照既定标准执行，“把职责范围内该做的工作都做好”，确保满足合规的基本要求。

（2）控制“主要风险”

满足了安全合规并不意味着企业不会发生安全事件，控制"主要风险"是数据安全管理的重心。风险本身不代表发生了安全事件，而是潜在威胁的可能性。尽管无法完全消除风险，但可通过安全措施降低并接受剩余风险。

企业信息系统和数据资源的价值，决定了必须采取成本效益的安全措施来降低风险。在实际操作中，识别并控制关键风险至关重要。不同层面对“主要风险”理解不同，如下：

国家层面：关注关键基础设施、核心和重要数据的保护，防止影响国家安全和社会秩序。
行业层面：防止大规模数据泄露或篡改，避免对行业发展和决策造成负面影响。
企业层面：保护核心业务系统和关键数据，避免重大经济损失和声誉损害，以及对客户的严重影响。

此外，安全部门和从业人员需确保业务系统的稳定运行，防止数据泄露等安全事件，也需要识别岗位上可能的"主要风险"，并执行相应的标准合规措施，保护好从事数据相关的人员。

（3）支撑“业务发展”

在合规的基础上，数据安全的关键任务是识别并管理业务发展中的合规风险，确保数据的有序流动和合法利用。这不仅有助于发挥数据的内在价值，还能推动数字经济的持续发展。总体上安全是为了保障业务发展，发展中“合规”部分是底线，也需要通过业务模式的变化推动企业数据安全水平的提升，比如新型数据要素的流通涉及隐私计算、区块链和大模型的安全。

本文基于《数据二十条》对数据安全进行深入分析，强调要确保数据安全，必须结合政策要求和业务实践来综合考量。文章提出三个关键目标：确保"安全合规"，以符合法律法规；控制"主要风险"，以降低潜在威胁；以及支撑"业务发展"，以促进数据的合理利用。这种理解方式使数据安全的概念更加通俗易懂，便于实施。

风险评估实施方法浅析 | GB20984-2022《信息安全技术信息安全风险评估方法》

【原文来源：合规社】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。