甜橙安全头条第22期 | 合规视角下的数据安全体系建设

许琛超

CISSP，PMP，(ISC)²上海分会会员，国家高级信息安全师，信息系统项目管理师（高级职称），信息安全工程师、网络工程师（国家职称），诸子云网络安全专家联盟特聘专家，拥有计算机科学与技术及汽车工程双学士学位，现就职于中国电信天翼电子商务有限公司（翼支付），专注于企业信息安全体系建设及管理，在ISO27001信息安全体系建设、数据安全、安全应急响应、合规审计、漏洞管理、密钥管理等方面具有丰富经验。

当前，我国对数据安全也越来越重视，逐渐配套起相关的法律、法规。《网络安全法》中明确指出“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”其次，各部委监管机构也陆续出台了相关的标准规范，比如首个由公安部牵头出台且专门针对个人信息安全的文件《互联网个人信息安全保护指南》，信安标委多次修订发布的《个人信息安全规范》，近日央行刚出台的金融行业标准《个人金融信息保护技术规范》，以及国家互联网信息办公室尚在征求意见阶段的《数据安全管理办法（征求意见稿）》。

除此之外，工信部也先后对电信和互联网行业下发了《工业和信息化部办公厅关于加强基础电信企业数据安全管理规范清理数据对外合作工作的通知》、《电信和互联网行业提升网络数据安全保护能力专项行动方案》、《关于印发《2019年基础电信企业数据安全合规性评估要点》的函》（工网安函〔2019〕653号）、《关于印发电信和互联网行业提升网络数据安全保护能力专项行动任务清单的函》（工网安函〔2019〕883号）等多项通知要求。可见，2019年各大监管机构齐头并进，旨在规范企业对数据安全保护能力的提升与建设。

接下来笔者就来谈谈在合规视角下，企业应该如何开展数据安全体系建设，希望借此文，为有此困惑的同行们，开拓一些思路。

首先，在对数据进行相应保护之前，我们要先了解数据资产的特点。笔者认为，数据资产呈现三个特点：

就笔者所在的金融行业来说，拥有大量的金融数据。谈到金融数据，无论对国家、对企业、还是对个人来说，都是非常关注的，属于需要重点保护的对象。下面我们一起来看下，从最初到现在，数据保护所面临的挑战。

早期的金融数据，存储在金融机构内部网络中，系统也主要为内网系统，风险的暴露面比较小，保护起来也比较容易。之后，金融机构的数据开始通过公网传输，系统也面向公网开放，越来越多的系统开始依赖互联网，随之而来的，也是风险暴露面的扩大。在这个阶段，黑客们开始走向黑产，潜伏性也越来越强。物联网时代的到来，又进一步增加了数据暴露的可能，5G的高速传输则使信息的泄露更加迅速。于是各家企业开始更加重视公网暴露面的安全，增加了一系列的安全设施，开始建立完善的安全防护策略。

正当很多企业还未完善安全防护的时候，数据保护又产生了一个新的挑战，跨域数据保护。在一些数据共享的业务场景下，不同机构之间的安全水平千差万别，正如木桶原理所说的一样，最低安全防护的地方往往会出现问题，导致大规模的系统性风险。之前据美国银行信用卡发行商TCM Bank公开消息，就是由于第三方供应商管理的网站配置问题，导致在2017年3月初至2018年7月中旬之间暴露了长达16个月的信用卡申请人数据（包含姓名、地址、出生日期、社会安全号码等）。

对企业来说，数据还可能在共享中流转途径过多，数据泄露后，溯源难度也随之增高。另外，为了提升数据共享时的安全性，需要对存量数据接口进行改造。但这样的改造往往需要合作双方进行共同改造，老的接口传输模式一旦确定之后，就基本固化，改造成本十分巨大。

现在面对这么多的监管要求，应该如何开展数据安全体系建设呢？

简单来说，我们要关注四个建设领域：组织建设，制度流程、人员能力、技术工具。组织建设就是要明确数据安全保护的组织架构、管理职责、人员配备。明确数据安全管理岗位人员，岗位职责中要明确数据安全的责任内容。在建设之初，就必须要明确由谁来牵头企业数据安全保护的整体建设工作。因为如果没有明确总牵头人，后期就会出现各自为战的局面，未形成统一的安全防护策略，系统功能重复建设，与业务发展建设不一致的情况。接着可以开始制定数据安全的整体方针策略，组织开展数据安全评估，由牵头人协调各团队建设技术保障措施，牵头数据安全事件应急处置，以及开展数据安全教育培训。

制度流程的搭建，是后期合规以及执行审计的有力保障。可以采取ISO27001的制度管理体系，将数据安全域领域的制度文件划分为二三四级，参照各级监管标准的发文要求，明确数据安全全生命周期的管理要求。

人员能力，不仅仅是数据安全管理岗位的人员能力，还包括了企业所有员工对于数据安全保护意识、数据安全事件响应的能力。

当员工对于数据安全保护意识不足时，黑客并不需要多复杂的技术能力，往往一封钓鱼邮件，就能骗取一张包含敏感信息的表单。教育培训的开展可以通过各种形式，企业可以根据企业文化以及员工的可接受偏好制定培训计划，如全员邮件、通讯群组、硬件媒介等，内容则可涵盖解读合规标准、意识教育、事件应急预案，以及重要岗位的相关技能等。

技术工具，可以根据各成熟度阶段的不同需求进行部署。比较重要的，是数据权限的控制。应建立数据访问控制机制，账号的开通必须要经过授权审批，遵循最小特权、职责分离的原则，及时清除无用账号、默认账号，杜绝多人共用同一系统账号的情况发生。数据接口必须进行鉴权，且全报文加密。可以考虑数据终端处理不落地，通过云桌面的方式实现，并使用DLP、UEBA等技术进行用户行为监测。条件成熟的，可部署数据发现及管理平台、审计平台等等，通过技术平台来完善自己的数据安全管控体系，提高效率和成熟度。

在数据共享的合作中，可以分为三个阶段进行讨论。合作前，对合作方进行数据安全保护能力评估，并在协议中明确数据使用权限、保护责任、保护措施级别、数据删除（不超期留存）、保密义务、监督管理、违约及处罚条款。合作中，对合作方使用数据情况进行监督检查。合作结束时，应采取有效手段督促合作方删除数据，并签署数据销毁承诺书。

有了一系列的管理要求及技术保障后，如何确保要求的执行及制度的落地？

自然不可少了检查审计和考核了。检查审计可以通过人工抽查或采用平台监控，而考核则需要通过考核制度，以及明确的考核指标、扣分处罚机制实现。这样，我们既能确保制度的充分，又能保证制度的有效。

体系化的数据安全保障，需同时覆盖管理要求和技术实现。而在数据安全保护的全生命周期里，各个环节都要重点注意合规的基线保障。如在数据采集时，应落实《网络安全法》等法律法规要求，参照《信息安全技术个人信息安全规范》关于用户个人信息收集的要求，严格遵循合法、正当、必要的原则，通过用户协议和隐私政策明示收集目的、方式和范围，并经用户自主选择同意。在数据传输和存储时，必须对敏感信息进行可靠的加密。在数据使用环节，采取必要的访问控制措施，用户个人信息对外披露使用去标识化措施等，降低数据泄露风险。

在开展第三方业务合作时，通过采取合同约束、信用管理等手段，加强业务合作方监督管理，于业务合作结束后督促业务合作方依照合同约定及时关闭数据接口、删除数据。最后，当数据满足销毁条件时，需要依照监管要求及合同约定删除，不超期留存，且删除后数据不可恢复。

当然，要想打造一个有力的数据安全防护体系，除了合规的基本要求外，还需要结合业务去定制、去创新。数据安全合规建设仅仅是我们跨出的第一步。从风险的角度去看，还应该具备敏感数据发现、敏感人群和敏感行为识别的能力。在存储加解密的服务中，要统一标准。对数据进行分类分级保护，也要对数据传输进行收口，尽可能的减少出口数量，从而部署更强有力的集中保护。在建设数据安全事件响应体系的时候，使用水印等技术提升事件溯源能力。扩大情报来源渠道，建立情报分析、研判、处置的快速响应机制。 保障措施搭建完毕，持续开展监测，对数据形态的监测、对数据流动的监测、以及敏感行为监测。打造一个符合公司数据业务场景的UEBA模型、开展数据安全红蓝对抗，这些都是值得去创新探索的方式。

结语：在当下的数据安全保护框架中，个人信息保护是最受大家关注的内容之一。但是，数据安全远不止个人信息安全。合规视角下的数据安全体系，保护的不仅仅是个人信息，还有商业秘密等其他数据的安全。我们应该结合各自企业自身的特点和偏好，针对性的去建设一个适合我们自己的数据安全防护体系。