“數字政府建設要滿足人民對美好生活向往”
——人民網評
今天,我們在網上辦事有多簡單?
以前需多次現場辦理的,現在可能“最多跑一次”,甚至“一次都不用跑”了;很多事情可以“一網通辦”、“跨省通辦”;部分政務更是達到了可以“秒批、秒辦”的速度。
網上辦事如此便捷,得益于相關數據的共享交換和合理利用。然而,數據在給民眾和相關行業帶來便利的同時,由于其高度集中、共享開放,數據安全的隱患和風險也在陡然加劇。數據安全事件日益頻發,更給各級政府敲響了警鐘。
習 近 平 總 書 記近日在主持中央全面深化改革委員會第二十五次會議時強調,要全面貫徹網絡強國戰略,把數字技術廣泛應用于政府管理服務,推動政府數字化、智能化運行,為推進國家治理體系和治理能力現代化提供有力支撐。會議指出,要始終繃緊數據安全這根弦,加快構建數字政府全方位安全保障體系,全面強化數字政府安全管理責任。
數據安全工作的重要性自然不言而喻,那么,各級政府單位的數據安全工作具體該怎么開展呢?對此,深信服結合思路與實踐兩個方面分享了幾點建議。
1 以公共數據安全作為數據安全的主要工作方向
什么是公共數據?公共數據指的是國家機關、事業單位,以及其他依照法律法規授權、具有管理公共事務職能或服務的組織,在依法履行公共管理職責或公共服務過程中收集和產生的數據。綜合各地數據相關政策中的定義來看,公共數據的范圍很大,超越了過去的政務數據邊界定義。
相對于一般性的數據資源,公共數據的質量和信息價值更高,不僅可以助力政府提供更高質量的公共服務、讓企業和群眾辦事更方便,同時,還能提升政府的治理能力。由于包含大量個人隱私數據和政務重要信息,公共數據集中、統一管理后,數據安全問題更加突出,因此政府在數據安全工作開展過程中,以公共數據安全為核心工作范圍,能夠更好地保障數據安全。
2 以公共數據的業務場景作為安全規劃建設的主要切入點
傳統基于數據全生命周期流程的數據安全分析,能夠對安全能力分析得更加完整。但其不足在于,很難將其與公共數據的相關業務場景和組織相結合。例如,到底該由哪個部門來負責數據采集安全?又由哪個部門來負責數據共享安全?
深信服認為,公共數據安全建設應當以業務場景視角為切入點,這樣能更好地梳理出安全需求的范圍及邊界,從而更有效地匹配安全能力的建設和投入。主要場景有以下六類:公共服務場景、數據開發利用場景、跨部門共享交換場景、大數據基礎設施運行維護場景、應用開發測試場景、數據資源管理場景。
3 充分調動組織內三類“主力軍”的數據安全職責
我們可以把開展公共數據安全工作組織的角色分為兩類,一類是統籌與保障跨組織間數據共享交換安全的大數據資源管理部門,主要負責大數據平臺數據歸集后的數據安全及相關安全管理措施與標準規范建設等工作。另一類是各行業主管部門,負責統籌領域或組織內的公共數據安全建設工作。
為了更好地保障跨組織間的公共數據流轉與利用,公共數據安全保護工作應在大數據資源管理部門的統籌下充分協同。
在組織內部,深信服認為,具備數據資源管理職能、應用開發測試職能及網絡安全管理職能的部門或團隊應作為“主力軍”,承擔主要的數據安全保護任務,其他部門則負責協同推進。
其中,組織內的數據資源管理部門需要統籌數據資源管理及數據安全管理的標準規范和管理措施,是數據安全管理的核心部門;在組織開展數據安全工作時,業務應用側會有大量數據安全組件的開發集成工作,應用開發測試部門扮演著非常重要的角色;網絡安全部門作為共性數據安全能力建設、運行及安全運營部門,負責對數據安全工作提供基礎共性支撐并持續開展風險監測。
數字政府下的公共數據安全實踐
政府在具體的數據安全建設體系落地實踐中該怎么做呢?開展工作前,需要明確《數據安全法》、《網絡安全法》、《個人信息保護法》和等級保護2.0之間的關系。開展工作時,首先,建設單位需要結合具體的業務場景、數據屬性、合規適用等進行需求分析。其次應當通過自上而下的治理模式構建數據安全保障體系。
數據安全落地實踐“五步走”——
第一步:了解被保護數據資產,定義數據保護場景
在開展公共數據保護工作的初始階段,組織需要以職能范圍、業務發展方向、合規要求等作為輸入,明確需要保護的數據資源基本信息,如位置、類別等,確定數據保護涉及的業務場景,如:數據共享交換場景、大數據基礎設施運行維護場景、數據資源管理場景等等,并可以通過梳理敏感數據的流轉過程,實現對應場景下的數據安全風險與合規的需求分析。
第二步:構建數據安全能力藍圖,進行差距評估
在明確了涉及數據安全保護的場景后,就可以基于數據安全的總體目標開展規劃設計,定義數據安全工作的能力藍圖、主要任務與重點工程。數據安全的能力藍圖是一種從能力視角對工作目標進行分解的框架,在藍圖的基礎上可以基于數據安全目標開展現狀調研與差距分析工作,梳理組織現在的數據安全能力上的差距。
第三步:識別并明確數據安全保護責任部門
基于所定義的安全能力藍圖,可以進一步分析這些場景下主要的責任部門,檢視各部門所具備的資源是否可以支撐數據安全目標的達成。明確參與數據安全保護的部門,其目的是為了確保數據安全的需求可以分解至相關能力的部門來承接,比如:想要完成應用的數據安全能力改造就需要由組織開發測試部門來參與;數據安全的運營工作就需要由安全部門的運營團隊的職能來覆蓋。
數據安全部分組織職能責任示例:
第四步:開展數據安全制度、標準和技術措施的建設
按照重要性、成本、優先級等多種因素推動切合實際的工作落地。例如,推進數據安全制度建設,一方面要推動公共數據安全行政管理職能的落地,另一方面要加強數據安全標準的制定,從而在制度保障上對數據的管理、操作、維護做出規范,對數據安全風險進行有效控制。當然也可以基于實際的重點任務開展應用數據安全技術措施建設、數據脫敏/去標識化等技術能力建設。
第五步: 持續推動數據資產的安全管理與數據風險的安全運營
落實公共數據安全的常態化運營工作,以數據資產安全管理為例,需要持續對公共數據資產進行發現、分類分級、標記等元數據管理工作,這些工作常常建立在數據血緣管理、數據唯一性管理、數據質量管理等等數據治理活動中。而數據分析安全運營則如同網絡漏洞威脅監測預警一樣,需要對存在可疑數據訪問權限、敏感數據泄漏等進行持續性安全監測與響應,并基于問題持續推動數據安全工作改進。
總結
立足公共數據,以業務場景作為切入點,是未來引領、推動政府數字化轉型的一個方向。
但目前,公共數據安全在國內仍處于起步階段,以上思路與實踐更多從規劃視角出發。組織單位在開展數據安全工作時,仍需要結合實際的業務場景去進行,用理論推動實踐,用實踐來修正或補充理論,方能形成屬于自己的方法論和實踐經驗。
深信服數據安全解決方案基于《數據安全法》和《個人信息保護法》等法律法規的要求和實際的數據安全風險場景,通過人工智能和機器學習等先進技術,為政府、教育、醫療等各個行業用戶提供面向業務場景的數據安全建設體系,讓數據使用變得更加合規、安全。
