11月8日，BSI联合安在围绕新版ISO/IEC 27001举行系列专题研讨线上直播会，内容涵盖供应链安全、安全运营、数据安全等等，专题研讨直播活动将贯穿11月和12月，并将于12月召开线下交流会。

本期直播即为系列直播的第四期，话题为“数据安全”。此次受邀嘉宾有永安在线COO邵付东、安言咨询副总经理钱伟峰、BSI审核专家胡子春、某跨国公司信息安全从业者Sam Lee。此次直播由BSI数字信任合作资源负责人李振华主持。

胡子春表示，随着 IT 信息化进程的加快以及网络安全法、数据安全法、个保法的相继出台，无论是从监管要求还是企业/个人自身信息安全意识提升，为适应新形态下的信息安全管理，ISO联合 IEC 组织2022 年 2 月 1 日发布了 ISO/IEC 27002 信息安全-网络安全和隐私保护-信息安全控制的标准。

胡子春指出，数据有一个声明周期的过程，包括创建、收集、处理、存储、传输和处置信息。除了ISO27002 指导文件外，国内也出台了相关的法规，比如《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》《网络数据安全管理条例（征）》《GB/T 35273-2020个人信息安全规范》等，都是常见的数据安全处理标准。

对于新版本的变化胡子春分享了三个要素，首先是A8. 10信息删除。他指出，信息删除的目的是为了防止敏感信息的不必要暴露，并遵守法律、法规、监管和合同对信息删除的要求。

它有几个方面的要求，一是保存期限，国内很多法规对数据的保存期限也有一定的要求，比如在《网络安全法》里，对关键基础设施的日志，像记录网络的运行状态，记录网络安全事件的技术措施等，不能少于六个月的保存期限。

再比如当疫情结束时，群众在健康码上的个人信息该怎么处理，个保法第四十七条规定，当处理者停止提供产品或服务、个人撤回同意等场景时，组织应当删除个人数据。

其次是删除方式，比如重写（Clear）、擦除（purge）、销毁，这些都可以参考 ISO27040 的标准。胡子春表示，BSI 客户里的头部云厂商都在逐步推行和认证此标准。

此外，除了删除方式，还要考虑当由供应商提供信息删除服务时，该如何约束以及删除相关的证据等。同时还要关注，当设备退回给供应商时无意中所暴露的敏感信息。

第二个要素是数据脱敏。胡子春指出，数据脱敏的目的是限制包括 PII 在内的敏感数据的暴露，并遵守法律、法规、监管和合同要求。增加这个要求，主要是基于个人信息保护的要求，BSI在这方面一直走在同行的前面，从最开始的BS10012,ISO29151到最新的 ISO27001:2019，BSI都在其内深耕了多年。

其中有几个概念，比如PII数据管理人的角色里，有常见的数据控制者和数据处理者。拿HR人员招聘举例，随着个保法出台后，HR的工作也面临着全新的挑战，招聘时所收集的大量的员工信息，像身份证号码、社保卡、银行卡、家庭住址等，这些信息采集后的用途、存储方式，包括员工离职后该怎么处理信息，都是当前HR需要去关注的问题。

关于个人隐私信息保护，胡子春推荐大家去看BSI关于 27001的课程，其中会介绍内审员、实施专家等。

在新版 27002中，胡子春指出，最需要关注的是如何保护敏感数据（例如 PII），其方式包括加密（要求授权用户拥有密钥）；取消或删除字符（防止未经授权的用户看到完整的消息）；替代（将一个值改为另一个值以隐藏敏感数据）；用哈希值替换原值。此外，还需要注意的是假名化或匿名化。

第三个要素是防止数据泄漏。胡子春表示，其目的是为了检测并防止个人或系统未经授权披露和提取信息。

新版标准提出，防止数据泄露的要点首先是要做数据分类分级，即不是所有的数据都需要进行保护，要基于成本考虑保护的优先级。《网络数据安全管理条例》将数据分为一般数据、重要数据、核心数据，不同级别的数据要采取不同的保护措施，企业可以参考这些条例来定义自己公司的数据。

除了分类分级外，企业还需要监控数据泄露的渠道，比如如电子邮件、文件传输、移动设备和便携式存储设备；同时还可以使用数据防泄漏工具，传统的限制手段里有限制网盘、禁用终端USB接口、桌面水印、制度约束等，都可以作为一般的限制手段。

但防止数据泄露，单纯从制度或管理角度上去要求，恐怕无法满足此项控制措施，因此要考虑组织是否有相应的技术手段，比如采用邮件DLP、网络DLP和终端DLP等，分别部署在邮件出口、网络出口和用户终端上，可以配置安全策略根据用户行为产生相应动作，比如提示、阻止、通知告警等，作为此项标准条款的控制措施可能更为合适。同样应有日志审计来记录用户行为，达到溯源和抗抵的目的。

钱伟峰预测，整个监管要求的趋势会更严格、更细致、更融合。在网络安全领域里，《网络安全法》被称为网络安全领域的宪法，但其相关的要求更偏原则性、总纲性，在这基础上，后续的数据安全法、个人信息保护法提出了更为具体、更为严格的要求，包括在一些特定的处罚条款也更为严厉。

在更细致方面，更多地体现在特定行业的标准上。以金融行业为例，2020年到2021年陆续发布了三份金融行业的推荐标准，分别是JR/T 0171、JR/T 0197和JR/T 0223。0171的名称是个人金融信息技术保护规范，针对的是个人金融信息；0197的名称是金融数据安全分级指南；0223的名称是金融数据生命周期保护指南。

钱伟峰指出，这些标准细致到对于特定级别的金融数据都有所要求，比如四级以上的金融数据，在应用的日志里是不能明文展示的；三级以上的数据，原则上不应对外传输，内部传输则要进行加密。此外，电信行业和汽车行业，也陆续出台了相应的要求。

简而言之，整体趋势会从原来对于数据基本保护的要求，逐步细化到对特定类型信息整个生命周期内的各个节点都有所涉及，并且针对常见的一些场景也会给出非常明确的要求。

在更融合方面，从数据分类分级相应的标准和方法上可以看到，以往大家所困惑的数据该如何分类分级，以这两年的外部监管趋势来看，融合标准的可能性越来越大，比如今年《网络数据分类分级（征求意见稿）》的出台，其从整个国家的层面把所有的数据做了分类分级。

最高到最低一共三个级别，核心数据、重要数据、一般数据。核心数据即影响国家安全的相关数据；重要数据主要对应的是国家的数据安全法，以及关键信息基础设施方面相关的数据信息；一般数据就是在扣除核心数据、重要数据之后的数据，比如商业秘密之类。

大类确定了，小类以一般数据为例，其下有四个级别的分级，此框架与电信行业的YDT 3813基础电信数据的分类分级指南以及JD/T 0197金融数据的安全分级指南形成对照，基本也都是四级分类的框架。

钱伟峰以某国有企业为例，其内部数据会有一部分是重要数据，这由行业特征所决定，而重要数据除外的其他数据至少会分成四个级别，其由最底层的公开数据和剩下三个级别的数据共同组成。因此从总体趋势来看，过去所谓各行业都有一套属于自己的数据分类分级标准的时代已经远去。

基于三大趋势的融合，钱伟峰预测了未来数据安全的监管趋势。由于不断细化，意味着执法机关、行业的主管部门、监管机构在实行监管、实施处罚时的抓手点更多了，正向看待此趋势，目的是为了规范各个行业的数据安全防护，使之可以更健康、更良性的成长、发展。以这为大原则的前提下，数据安全会先从分类分级开始，然后在数据生命周期中的各个阶段，逐渐将监管工作进行有序地推进。

其次，对于数据安全管理过程中的一些红线，比如网安法中提到的关于个人信息的保护要求，数安法规定的中央数据的保护要求，一定会从严从重地处罚违反案例。

钱伟峰提出，不能孤立地看待某一份数据安全相关的法律法规，或只简单地关注与自己企业所在行业相关的一些标准，而是要将行业主管部门监管机构的发文联合起来看。比如钱伟峰在给一些金融机构做培训时，除了数安法、个保法、金融的监管要求外，还会将工信部的APP违法违规收集个人信息行为认定办法，并最高人民检察院、最高人民法院发布的关于侵犯公民个人信息相关的法律法规，甚至国家部委的发文都整合进培训内容。

同时，钱伟峰认为，还应当站在安全行业的角度去关注监管趋势，包括国外关于数据安全法律法规的变化，比如欧盟的GDPR，美国加州的消费者信息保护法案，同时还有必要去关注境外违反数据安全后所遭受的处罚，这不仅仅是警示，客观来讲，海外部分国家在数据安全方面的监管理念要早于国内，因此国内相关机构在立法、在完善现有法律法规时，一定会借鉴外部较为成熟的经验。

钱伟峰强调，企业要多关注相应司法解释中具体的量化数值，比如他常提及的非法获得公民信息50条、500条、5000条都会有怎样的刑事责任，包括非法获利的数值等。因此，监管要求在更严格、更细致、更融合之后，也会直接推动企业内部的信息安全管理，甚至能推动跨行业的企业之间进行更多的合作交流。

Sam表示，在网络层面和系统层面，从数据生命周期的角度来看，企业首先要在安全风险、安全保护资源成本、业务效率和用户体验之间找到平衡点，同时在生命周期的各个阶段要使用多种措施、组合拳进行防护。

Sam指出，在收集阶段要做到事前尽可能的最小化，不必要的信息不要收集。如果收集要说明原因，也就是说，在满足业务需要的前提下，数据收集得越少，投入保障的资源，不管是人力、物力、管理维护等，也相对就会越少。

在传输阶段，首先要进行身份的验证，防止冒充，可以通过身份验证、数字证书、数字签名等方式对数据接收方进行身份的核验。传输过程中还要加密，如果加密的强度不够也可能会被破解。加密的强度越高，投入的资源就越多，对网络运行的效率和用户体验也可能会有一定的影响。所以，建议在安全风险、加密强度、业务效率等因素之间找一个平衡点。

存储阶段，要对数据库进行必要的加密，同时还要进行访问控制，尽可能地缩小其访问范围。企业要管理好密钥，甚至可以对一些数据进行分开存储。当下，有些措施可以将信息去标识化，也讲到了把这个信息进行去标识化以后，将能够对去标识化后的个人信息进行重新识别（re-identification）的信息单独存放（保管）。需要重新识别的时候，再单独申请、审批，这样就能够保证信息安全可靠，也能保证业务的效率。

Sam指出，数据使用过程中的防泄漏是一个大话题，数据作为新的生产要素，只有流动起来才能实现它的商业价值，但流动起来的数据也带来了相应的风险，所以数据流动中的风险管理非常重要。

网络层面的防泄漏，首先是要做好上网行为管理。从数据防泄漏角度看，上网行为管理很大程度上解决的是相关网络通道能不能发数据的问题。显然，上网行为管理也有其弊端，比如有些网络通道有时也用于正常的、合理的业务需求，发送业务需要的数据。如果贸然将这些通道关闭，则会影响业务。因此，建议对“数据外发”做一些区分，不要一刀切。DLP的作用就是对“数据外发” 更精细化管控的一个方案，即可以保持相关网络通道开启的情况下，看外发的数据中有没有不允许外发的数据。如果是符合（匹配）企业制定的数据防泄漏安全策略的数据外发行为，则可对此类数据的外发进行干预。

DLP管控的渠道有很多，微信、QQ、飞书之类的即时通讯，163、雅虎之类的邮箱，包括云存储、网盘、云笔记、打印机、外设、U盘、光盘等渠道。DLP对数据外发行为的识别的常见原理包括基于关键字的，比如外发数据中检测到“机密”“财务报表”“董事会”“身份证号”等字眼；还有基于正则表达式的，如符合特定规则的11位的数字可认为是手机号、符合特定规则的一串字符可认为是Email地址等；还有基于文件指纹的等等。

DLP对数据外发事件的干预动作通常有三种。第一种是审计（记录），一般是针对较为轻微的事件（数据敏感度低、数据量小），即对传输出去的数据行为进行记录，事后可以做审计分析，看这是不是一个误报，还是真实的泄漏事件；第二种是提示（如弹框告警），即弹框让发送者（如企业员工）确认所发文件（数据）是不是敏感数据、是不是真有业务需要外发，如果不是，就可以通过（外发成功）；第三种是直接阻断，也就是发不出去。这种方式如果遇到误报就很可能会影响到业务效率，所以要配置平衡的策略，在数据外发行为达到一定的阈值时才建议进行直接阻断外发行为。一般而言，在部署DLP的初期，建议多配置“审计”策略，经过持续一段时间的DLP管理运营（如分析调查DLP事件）后再逐步调优策略，将特定策略配置改为“提示”和“阻断”策略。

在权限管理方面，Sam指出，数据库及相关业务系统中有大量的业务数据，其中有些数据是比较敏感的，所以需要重点保护，安排相关人员管理。账号权限管理经常提到“访问控制”，就是谁基于什么原因、什么时候、需要访问什么资源（如数据）。目前，业界多采用RBAC(Role-based Access Control)原则，即先定义用户角色（Role），然后再将这个角色所需的权限打包放到这个角色下，再然后将对应的角色分配给对应的用户。这样，这个用户就有自己对应角色的一堆权限了，不用一个个权限申请，这种方式是兼顾安全与效率的方式。当然，在这个过程中，对于权限（角色）的申请，需要有对应的申请、审批、授权过程，还需要事后的审计。有技术资源的，还可开发一些工具，对相关权限的使用情况进行自动化的统计分析，从而持续优化权限管理策略。

Sam介绍，VDI(Virtual Desktop Infrastructure)技术也是常用的一种数据防泄漏解决方案。VDI可简单理解为在用户本地电脑中开启一个虚拟机(VM)，这是一个隔离的工作环境。用户只有通过这个虚拟机才能访问到公司核心的业务系统和数据，这些数据无法流出这个环境。当然，出于特殊业务原因需要导出到本地电脑的，通常也可以通过专门的申请流程经评估审批后导出，这也是一个安全与效率的平衡。

加密方面，可以静态加密，也可以动态加密。比如有些数据存的时候是加密的，用的时候可实时解密，这种方式比较灵活，可保证业务效率以及数据的安全；在水印方面，Sam说，严格来讲，水印不是数据防泄露的措施，但水印可以起到震慑数据泄露行为的作用。比如在某些展示客户信息的业务系统页面上加上水印，水印可体现当前操作者的工号和姓名、手机后四位等，这对操作人来说会起到数据防泄漏警示的作用。除了此类明水印，还有暗水印（盲水印）。

在数据共享方面，要对合作公司进行调查，比如安全评估、定期审计、签保密协议、签合同等，还可以进行技术检测和监测，比如APP中针对第三方SDK可以采取一些措施进行监测，看它收集的信息是不是超出了约定的范围；在数据删除阶段，Sam表示有些公司可能会没删干净，比如数据删掉了，但备份没删，再比如有些数据字段没删干净，有被重新识别的可能等等。

Sam强调，员工培训教育很重要，在他的职业生涯里，许多数据安全事件都源于员工信息安全意识缺乏。培训教育的目的是让员工意识到泄露数据的严重性、掌握一些基本的安全防范知识和技能，这样他们会提高警惕，从而防范安全事件的发生。培训包括入职培训、定期培训、专项的数据安全培训、安全技能培训，也包括前面讲到的数据分类分级等培训。

邵付东表示，数据安全是一个很大的范畴，涉及到组织、制度、法务、技术、安全、以及运营等多个方面的内容，由于邵付东是安全岗位，所以他会从安全的视角来讲解数据安全落地实践的经验。邵付东从三个方面进行分享，一个是组织、一个是框架、一个是行动计划。

组织方面。 由于数据安全涉及的面比较多，涉及很多的团队和角色，所以组织先行，企业要有明确的责任人来负责此事。如果有了领导的支持，就能够把任务的落实和团队、个人的绩效相挂钩，这样再进行推行就会事半功倍。

有了领导背书支持，有了法务、业务、审计等相关责任人参与后，在落实方案和考核的机制上就能形成共识。邵付东指出，安全保护的是业务，安全方案的前提也应该是以业务优先，所以安全方案要做到尽量少影响业务的迭代发展。

之后，在业务优先的大前提下，方案要做到小步快爬，根据企业的业务和行业特点分析，从主要的风险入手，逐步覆盖数据安全的各个风险点。因此整体的方案框架要以数据为中心，围绕数据的全生命周期来构建安全的体系。

邵付东介绍，当企业明确了组织架构，也提出了以数据为中心的框架思路，并以风险的视角来驱动促成此事，那接下来就要考虑行动计划了。行动计划方面有三个步骤比较重要，一个资产可见，一个风险的可感，一个是全生命周期可控。

资产可见方面要以数据为中心，确保数据的可见性，要能知道自己有哪些数据在哪里流动，在哪里存储，才有机会去施加安全策略。从IT时代进入到DT时代，也就是数据作为生产要素产生价值的时代，产品之间或者企业之间的数据是互相流动起来的，这就是基于机器学习挖掘来实现数据价值的再创造。

在数据的可见性方面，不仅需要从静态存储的数据上实现可见性，还需要在根据业务需求配合流动的数据里也实现看见性。在数据可见的基础上，哪些账号、人员、设备、API等可以访问，到数据主体的可见性等等，都是非常重要的。企业需知，没有资产的可见，就没办法去施加任务的安全策略。

风险可感方面。在数据资产以及访问主体可见性的基础上，企业需要围绕主体和数据之间的访问，并围绕流动的风险场景进行建模。不同企业、不同业务的风险场景是不同的，风险点的风险级别也会不同，这需要根据业务的特点来进行建模。

从企业内部人员的风险防护上，邵付东表示，传统的防护工具有DLP、数据库防护、网络隔离等措施，以及最近几年零信任安全思想的实践都起到了很大的帮助。

同时，随着数字化的转型和升级，越来越多的数据是通过应用系统API的方式在不同的应用、企业之间进行传递的，Gartner、IBM等机构也都预测，未来越来越多的数据会通过API的爬取被泄漏出去，国际上常有这种情况，比如某知名大公司因API爬取被攻击者获取了上亿条数据。因此，通过API全生命周期的建设来保护流动数据安全就显得更加急迫和重要了。

邵付东认为，内外部数据访问场景的风险是比较大的，尤其是围绕数据的传输和交换的环节，数据存在泄漏的风险会比较高，这可能是大部分企业会优先建设的，即确保在数据边界上有基本的安全。

同时，围绕数据生命周期的其他方面，如采集、存储、大数据平台流转使用、销毁方面，构建相关的技术工具如加密、脱敏、隐私计算、备份等，来确保数据安全访问的一致性、存储和使用的合规安全问题，这可以根据企业的具体情况来逐步落实。

问题一：数据安全与信息安全又有怎样的联系和区别？

Sam：数据相对来说是比较原子化、比较松散、比较孤立的东西，而信息是对各种数据的提炼。相对来说，信息更具有意义和价值，一条有意义的信息往往由多个数据组成。

信息安全的含义比数据安全更大，或者可以说数据安全是信息安全的一个方面。最早信息安全专业包括的内容非常广泛，其包括了网络安全，所涉及的学业课程有计算机组成原理、操作系统、计算机网络、防火墙、入侵检测、计算机病毒防治、主机安全、应用安全、编程语言、安全法规标准等等。

最重要的一点，业界之所以会越来越多的提“数据安全”，是因为时代在变化，过去若要访问公司的信息，必须先到公司打开电脑，连上公司的网络才能访问。现在很多公司通过VPN、手机就可以从公司外部访问到公司内部系统和数据。还有一些公司在实施“零信任”安全策略，没有内外网的区分了。网络越来越分散、越来越移动、越来越跨环境，显然数据访问的口子越来越多，通过传统的“以网络为中心”的理念来保护数据安全已然乏力，因此越来越多的企业转变到了“以数据为中心”的理念，其更是涉及到了时代重点：个人信息保护和隐私保护，这也是为什么数据安全成为大家关注的焦点。

问题二：不同的组织，数据分级分类方法也不尽相同，在制定数据分级分类方案时，有哪些值得借鉴的方法和经验？

钱伟峰：首先要借鉴通用的国家标准，其次基于通用的标准结合自己所在企业和行业的特征做出相应的细化和调整。当下的国家标准还是征求意见稿，所以只能作为参考。

分类分级不是单纯只为了做分类分级，而是要对后续整体的数据进行保护，特别是要更好的平衡投入和安全之间的关系，不能进行粗略的设定，要是要细化到在具体的部门、领域、时间段里该执行怎样的分级分类，同时要对不同级别的参照物做不同级别的加密强度。

除了参考各种标准外，切忌不要孤立地去做分类分级，要为后续基于不同级别所投入的保护措施、所花出的成本以及所牺牲的效率综合的去做考量。

问题三：在数据安全管理落地时，跨司法管理辖区的数据共享，面临怎样的挑战和机遇？

Sam：首先是要理解相关法规，企业业务越多、涉及行业越多、地域越广，所遇到的法规标准也就越多；机遇方面，对于组织来说，法规出台就意味着指导方向，也就是有法可依。因此，企业可借此机会将一些合规的短板补齐，消除合规的风险、盲区，减少法律风险。同时，可以提升品牌形象，提升消费者的信心、增强信任，更好地履行社会责任。对于个人来说，数据安全合规从业者的未来一定是好的，有很多机会可以施展拳脚。

对于数据安全合规领域的法规、政策、标准的理解与落地，建议跟着业务走。根据业务部署和拓展情况，业务发展到哪里，就需要解读哪里的法规。如果有海外业务，那么GDPR一定是最好的参照。可以以GDPR为基础建立一个数据合规基线，业务每拓展到一个新国家就做相应的适配。这也带来了新的挑战，即该怎么和外国人沟通，比如在语言、术语上的差异，这都是需要不断学习和积累的。

此外，如何把那些缥缈的法规要求落实到企业具体的日常管理经营活动中，这也是一大挑战。以跨境数据传输为例，国内法规层面讲了“境内收集、境内存储”“出境安全评估、申报”等等。在实际落地层面，结合监管趋势，建议能不传就不传。一定要传的话，建议跨境数据传输的字段、数量、频率等方面的最小化，包括脱敏、去标识化、对跨区数据同步活动进行审批及日常监测等措施。当然，对于满足条件或达到门槛的，该“出境评估”的进行出境评估，该“申报”的申报；“应在数据安全合规上投入多少成本”也是一大挑战，建议根据企业规模、风险偏好、业务重心、不同地区的营收以及所在地区的法规完善程度与执法力度、业务效率、成本等各方面做出相应资源分配和平衡。

还有地缘政治也是一大挑战，面对这个挑战，首先不要回避；其次建议“透明”，即把“如何保护个人数据的”、“如何对跨境数据传输进行管控的”等手段和实践向特定群体公开。可以多将相关流程、技术措施等情况写进白皮书，尽可能地做到文档化，以备不时之需，比如给审计、股东、客户、监管机构查阅。同时，还可以请一些专业的第三方安全公司、审计机构来做评估审计（背书）等等。面对国际形势的矛盾，可以考虑找一些“中间国家”作为缓冲地带。

问题四：在数据存储安全管理方面，有没有可供借鉴的方法论？

胡子春：数据存储需要软件系统和介质。在软件系统方面要满足几个要求，首先要有用户认证，确保一些非法用户无法访问数据，其次要确保非法的用户即使访问到这些数据了也看不了，所以要做好数据脱敏和访问控制。

第三是确保即使数据被窃取了，关键数据也无法被访问；第四是要实现多租户的隔离，每个租户之间要有数据隔离的环境，来确保各类数据的独立应用；第五是通过一些系统审计，实现用户操作的全程记录；第六是要求数据产品在设计、开发认证等多个维度，都得确保存储的系统是安全可靠的。

ISO/IEC27040标准是在ISO 27001的基础上，扩充了一些关于存储的要求，此标准提出了很多实践后的改进和指南。其总体思路首先还是要识别风险，比如分类分级后，根据数据的重要程度做风险评估，再根据评估做存储控制项的选择，之后根据控制项选择存储方案的设计，最后是在数据保存期之后，要做到相应的清除，比如重写、擦除、销毁。

问题五：隐私设计有没有什么可遵循的方法与原则？

Sam：关于隐私设计的方法和原则，可参考《隐私设计-公平信息实践的7项基本原则实施和映射》（Privacy by Design - The 7 Foundational Principles Implementation and Mapping of Fair Information Practices）。其内七项原则，第一项原则叫做“主动而非被动，预防而非补救”（Proactive not Reactive; Preventative not Remedial），即企业在产品开发的时候就应该考虑到用户的隐私问题，积极主动地将隐私保护要求融入到设计开发流程里，预防信息泄露等安全问题。

第二项原则叫做“以默认方式保护隐私”（Privacy as the Default Setting），即在软件里将许多保护隐私的功能默认启用，像一些浏览器会默认阻止第三方cookie；第三项原则叫做隐私嵌入设计（Privacy embedded into design），就是把隐私要求嵌入到产品的design里，通过系统程序的开发和实施，确保隐私和系统是一体化的；第四项原则叫做“所有功能正和而非零和”（Full functionality – positive-sum, not zero-sum），就是通过对隐私的设计，既保障了用户的个人信息，同时也实现了产品的功能，比如隐私增强技术（Privacy Enhancing Technologies, PET）。

第五项原则叫做“端到端的安全性”（End-to-end security – full lifecycle protection），比如加密，保证了信息从用户端到服务器的传输都是安全可靠的；第六项原则叫做“可视性和透明度”（Visibility and transparency – keep it open），即在用户使用某一产品或服务时，需要清楚地告知用户产品会收集他们什么信息，用来做什么事，用户要有相应的知情权；第七项原则叫做“尊重用户隐私”（Respect for user privacy – keep it user-centric），即对用户的知情权、选择权、限制处理、删除权、被遗忘权等权益要有确切落实。

也可参考欧盟网络和信息安全局（ENISA）发布的一个报告《通过设计保护隐私和数据——从政策到工程》（Privacy and Data Protection by Design– from policy to engineering），其中也提到了8个隐私设计的策略，包括：最小化（Minimize）：即信息收集最小化；隐藏（Hide）：即个人信息及彼此关系避免明文及可视；区隔（Separate）：即把个人信息采用分散、分隔处理；聚合(Aggregate)：个人信息应进行尽可能高等级的聚合处理以及尽可能少地进行细节化（细粒度）的处理；通知（Inform）：对应于“透明”这个重要概念，即当处理个人信息时，因充分告知用户；控制（Control）：即用户要有一定的管理权限和控制机制。除此之外，还有强化执行（Enforce），落实法规的要求，如制定与相关法规兼容的隐私政策。还有展示（Demonstrate），作为数据控制者（个人信息处理者），必须展示其隐私政策（个人信息保护政策），包括相关法规的遵从性等。

问题六：API作为连接服务和传输数据的核心通道，被众多组织使用，同时也成为被攻击的目标，如何保证API使用中的数据安全，有没有较成熟的解决方案？

邵付东：因为API 是企业数字化创新的技术基石，承载了数据交互和业务逻辑，永安在线每个季度发布的《API安全研究报告》显示，攻击者利用API来实现数据泄漏的攻击越来越多。如何保障API使用中的数据安全的解决方案，针对这个点，有两个方面的建议：

1 、API上存在的安全问题，其很重要的一个原因，是由业务迭代速度和安全投入之间的不对称所导致的，一方面业务要敏捷迭代，快速发展，另一方面安全的投入跟不上业务的变化。

永安在线结合了多年的安全实践以及客户侧的API问题，于6月份时曾发布过API安全开发指南的白皮书，在8月份时也发布了关于API安全建设的白皮书。永安在线围绕API从研发、测试、上线到下线的全生命周期都进行了完整的安全防护实践，并从中得出结论，可转换视角看待具体问题，即将 API 以资产的视角来进行管理，进行整体方法的思考。

针对 应用API 安全问题，永安在线从单点考虑 API 功能安全设计，到通过对 API 生命周期来考虑 API 的安全，围绕设计、开发、测试、 上线运行、迭代到下线的每一个环节都加强了安全建设。

2、 具体落实到实践上，会分三步走：

一、 尽量在不打扰业务的情况下，对上线的 API 进行整体地梳理，实现企业所有 API 资产以及API上流动数据资产的可视化。

二、理清了API资产后，进行持续的 API 漏洞评估，确保在攻击者之前感知到潜在的漏洞并修复。

三、基于情报和AI模型及时感知 API 异常攻击事件，并针对未知攻击及时止损。

经过三步后，企业就可以及时了解 API 资产和风险，之后再通过安全左移，将视角转到 API 上线前的设计、开发、测试等阶段，在过程中结合上线后的安全实践总结，可更加有的放矢，避免盲目投入。

问题一：如何依据ISO 27001 2022标准从0~1建立企业隐私合规管理体系？

胡子春：ISO 27701 2019是关于隐私合规的标准，27001中的附录A，也就是27002里也有所涉及，若要基于27001来建立隐私合规的话，需要两个标准结合起来应用。

问题二：对制造业实施27001有什么好的建议？

胡子春：首先要依据现有的业务建立新的组织架构，其次要进行安全培训，无论是物理还是网络，都需要对员工的安全意识进行培训。

随着智能制造、自动化的兴起，技术控制方面的安全也是非常重要的一环，ISO 27001的新标准里，给出了详细的控制要求。从信息安全的体系本身来说，可以先识别重要的信息资产，进行数据分类分级，然后基于数据的生命周期，在这过程中将27001的控制措施应用进去。