从左至右分别为中国软件评测中心网安中心部门副主任白利芳、中国信息安全研究院副院长左晓栋、 国家信息中心首席工程师李新友、蚂蚁集团天堑实验室负责人刘焱总监
重要数据的标准定义将于12月底之前正式征求社会意见
中国信息安全研究院副院长左晓栋在接受采访时表示,《数据安全法》(以下简称“数安法”)明确了我国要建立数据分类分级保护制度,但是具体到怎么分这一问题,数安法并没有明确的,而在由他参与起草的《网络数据安全管理条例(征求意见稿)》 (意见反馈截止时间为2021年12月13日)中,则正式明确了数据分为一般数据、重要数据、核心数据,与此同时,数据安全也成为该条例中的专设一章。这意味着我国的关于重要数据的安全管理制度已然成形。
随着数安法的实施以及网络数据安全管理条例的制定进程不断推进,左晓栋进一步表示,对重要数据识别的工作就成为当务之急且非常重要的工作,确定到底何为重要数据以及谁为监管对象就成为当务之急,毕竟在监管之下,一旦出了问题,对于重要数据和非重要数据而言,所涉及的法律义务是不同的,所涉及的法律责任也是不同的,其最终的结果也是完全不一样。
据他透露,针对重要数据的标准定义这一问题,目前已同全国信息安全标准化技术委员会秘书处进行了深入沟通,力争在12月底之前正式征求社会意见。
网络数据安全管理条例呼之欲出
生物识别技术滥用等问题有望被彻底遏制
关于近两年频繁被报道的生物特征识别技术滥用问题,左晓栋表示,网络数据安全管理条例中也专门针对这一情况做了清晰的规范,主要体现在两点:
1、在应用生物特征识别技术之前,必须要进行安全性以及必要性的评估。
2、不能将生物特征识别作为唯一的身份认证方式。
值得一提的是,上述两点都是必选项,这意味着无论是物业、商场还是其他场所,要想使用人脸识别这一生物特征识别技术作为进出凭证或其他用处,就必须要做相关评估,如自身无能力做好评估,也必须通过专业的第三方机构来协助完成相关评估报告。
相比之下,第2点更为值得关注,这意味着即便是经过了安全性和必要性的评估,也必须要提供其他方式,比如物业不能仅单一设置人脸识别的方式作为业主出入小区的方式,至少还需提供诸如刷卡等其他方式。对于部分管理者故意设置门槛间接强迫用户选择使用生物特征识别技术相关产品功能的状况,也有望在该条例执行后得到彻底扭转,左晓栋在这里强调道,如果这一条目在条例发布时得以设立,那么意味着管理者将不能靠各种手段去强迫用户接受单一生物特征识别这一方式,也不能故意在其他替代方式上增加使用难度及复杂度去间接强迫用户必须选用生物特征识别方式。
安全新形势下,亟需数据安全“复合”治理新模式
蚂蚁集团联合多个专业机构编写发布《数据安全复合治理与实践白皮书》
本次2021年网络安全创新发展高峰论坛中,由中国软件评测中心、国家信息中心《信息安全研究》与蚂蚁集团共同编写的《数据安全复合治理与实践白皮书》(以下简称“白皮书”)正式发布。
那么数据安全复合治理是一种什么样的模式?它所关注解决的数据安全问题集中在哪些方面呢?针对这一问题,我们也向蚂蚁集团天堑实验室负责人刘焱总监进行了了解。
数据安全复合治理,强调“复合”二字,该模式是经过蚂蚁集团结合过往的实践所总结出的一套方法论,从引导企业建设与升级数据安全治理体系的视角出发,以”战略要位、实战牵引、全员参与、技术破局“为指导 ,强调系统性、落地性,主要分为三大部分,分别是数据安全的战略、数据安全的运营管理以及数据安全治理科技。其主要亮点有:
多视角安全度量。企业在开展数据安全治理工作时,安全治理效果的量化评估是一个长期的痛点。由于安全治理是个体系化的风险管理工程,安全度量需要从多个评价视角入手才能全面衡量治理效果。一方面要对员工安全意识教育、防护建设覆盖等治理过程需要准确度量以体现安全工作进展与成果,另一方面从风险主体视角,以安全规范、安全基线等合规要求为输入,来衡量各类风险主体的风险浓度与严重性,并围绕风险分数开展场景化应用和通晒排名等运营模式,以提高主体的风险重视度。最终,还需要从攻防视角组织红蓝演练,对于治理体系的薄弱环节进行验证、对风险盲区进行发现,以真实客观评价安全治理体系的实战有效性,达到以攻促防、攻防相长的效果。总体上,在多视角安全度量体系的驱动下,企业得以看清当前安全水位,落实安全风险的精细化管理,持续提升安全水位,并保证自身体系的健壮性。
全员参与。数据与业务紧密交织,正式基于这一特点,蚂蚁集团在数据安全的风险管理上一直秉承一个理念:“数据安全不仅是安全团队的事情,而是每个公司员工都需要高度重视的事情”。因此,如何构建一个全员参与的风险治理体系就显得格外重要。蚂蚁集团通过“啄木鸟”行动等丰富、活泼的心智运营活动设计,充分调动全员主动参与积极性,有效实现不同特点人群的精确触达。
原生式安全。将数据安全的理念和要求融入到研发的过程中,保证产品在发布前已具备充分必要的数据保护措施,而不是出现数据安全问题以后,被动地修复和治理。同时可针对数据处理产品组件开展内部认证,推荐、保障研发团队使用安全、可靠的组件,对使用不符合内部认证标准的组件的产品和系统,督促其及时进行整改,以增强产品和系统的“天然免疫力”。
数据治理科技破局。传统的数据安全技术已无法应对当前复杂的业务场景和安全需求,因此我们需要高度重视数据安全治理科技的关键破局作用,不断加强系统、算法、数据和产品等领域的科技创新,推动数据安全治理技术能力与体系的持续完善。
从整体来看,数据安全复合治理体系具有体系化的特点,通过它的应用可以实现数据安全自我优化的一个复合治理体系,而此次白皮书的推出,对于企业如何做好数据安全治理相信会有很强的参考价值和指导意义。
中国信息安全研究院副院长左晓栋对数据安全复合治理模式的实践和创新给予了肯定,并表示由于数据安全与传统的网络安全之间在“系统环境、资产情况、行为安全、治理方式”方面存在较大差异,因此呼吁有更多的企业积极投身治理模式的创新、构建,为社会输出公共知识及产品,以科技创新及实践经验助推政策落地,保护社会利益,公民权益,促进企业良性发展。
中国评测:我国数据安全产业系列工作正在紧张有序推进
在采访现场,我们还了解到一个重磅信息——来自中国软件评测中心网安中心白利芳副主任向我们介绍到,我国数据安全产业系列工作正在有序推进,相关政策及配套文件正在加紧制定,预计明年会陆续推出。
据透露,数据安全产业发展指导意见(以下简称“指导意见”)由工业和信息化部主导,中国软件评测中心(以下简称“中国评测”)牵头,在工业和信息化部网络安全管理局的指导下联合部属兄弟单位、产业上下游企业,以及相关部门的产业经济专家、数据安全领域专家以及数据安全产业需求侧及供给侧的专家一同研究制定,目前已形成阶段性的成果。
白利芳副主任表示,目前与指导意见相关的配套文件也均在同步编制的过程中,如《数据安全产品和技术清单》、《数据安全重点技术和产品攻关指南》、《数据安全产业创新体系建设方案》等也在编制阶段。
可以看到,在《数据安全法》颁布并实施之后,数据安全产业作为新兴数字产业,将积极把握数字产业化和产业数字化发展机遇,为数字经济高质量发展、数据要素市场化配置提供关键保障。
后续我们将看到国家层面牵头出台或推动的一些列制度、机制和标准,体现出国家正在以全局性视角去看待数据安全治理,采取的是“自上而下”的数据安全治理工作路径。而此次软评中心联合国家信息中心《信息安全研究》、蚂蚁集团共同编写的白皮书所提出的数据安全“复合治理”模式,则是从企业内部数据安全有效落地、支撑国家数据治理工作的积极实践。数据安全治理作为一项体系化工程是夯实产业基础的重要举措,如何实现高水平的数据安全治理促进产业高质量发展是需要产业各方主体共同努力的方向之一。