一文详解:数字政府如何开展数据安全工作
“数字政府建设要满足人民对美好生活向往”
——人民网评
今天,我们在网上办事有多简单?
以前需多次现场办理的,现在可能“最多跑一次”,甚至“一次都不用跑”了;很多事情可以“一网通办”、“跨省通办”;部分政务更是达到了可以“秒批、秒办”的速度。
网上办事如此便捷,得益于相关数据的共享交换和合理利用。然而,数据在给民众和相关行业带来便利的同时,由于其高度集中、共享开放,数据安全的隐患和风险也在陡然加剧。数据安全事件日益频发,更给各级政府敲响了警钟。
习 近 平 总 书 记近日在主持中央全面深化改革委员会第二十五次会议时强调,要全面贯彻网络强国战略,把数字技术广泛应用于政府管理服务,推动政府数字化、智能化运行,为推进国家治理体系和治理能力现代化提供有力支撑。会议指出,要始终绷紧数据安全这根弦,加快构建数字政府全方位安全保障体系,全面强化数字政府安全管理责任。
数据安全工作的重要性自然不言而喻,那么,各级政府单位的数据安全工作具体该怎么开展呢?对此,深信服结合思路与实践两个方面分享了几点建议。
1 以公共数据安全作为数据安全的主要工作方向
什么是公共数据?公共数据指的是国家机关、事业单位,以及其他依照法律法规授权、具有管理公共事务职能或服务的组织,在依法履行公共管理职责或公共服务过程中收集和产生的数据。综合各地数据相关政策中的定义来看,公共数据的范围很大,超越了过去的政务数据边界定义。
相对于一般性的数据资源,公共数据的质量和信息价值更高,不仅可以助力政府提供更高质量的公共服务、让企业和群众办事更方便,同时,还能提升政府的治理能力。由于包含大量个人隐私数据和政务重要信息,公共数据集中、统一管理后,数据安全问题更加突出,因此政府在数据安全工作开展过程中,以公共数据安全为核心工作范围,能够更好地保障数据安全。
2 以公共数据的业务场景作为安全规划建设的主要切入点
传统基于数据全生命周期流程的数据安全分析,能够对安全能力分析得更加完整。但其不足在于,很难将其与公共数据的相关业务场景和组织相结合。例如,到底该由哪个部门来负责数据采集安全?又由哪个部门来负责数据共享安全?
深信服认为,公共数据安全建设应当以业务场景视角为切入点,这样能更好地梳理出安全需求的范围及边界,从而更有效地匹配安全能力的建设和投入。主要场景有以下六类:公共服务场景、数据开发利用场景、跨部门共享交换场景、大数据基础设施运行维护场景、应用开发测试场景、数据资源管理场景。
3 充分调动组织内三类“主力军”的数据安全职责
我们可以把开展公共数据安全工作组织的角色分为两类,一类是统筹与保障跨组织间数据共享交换安全的大数据资源管理部门,主要负责大数据平台数据归集后的数据安全及相关安全管理措施与标准规范建设等工作。另一类是各行业主管部门,负责统筹领域或组织内的公共数据安全建设工作。
为了更好地保障跨组织间的公共数据流转与利用,公共数据安全保护工作应在大数据资源管理部门的统筹下充分协同。
在组织内部,深信服认为,具备数据资源管理职能、应用开发测试职能及网络安全管理职能的部门或团队应作为“主力军”,承担主要的数据安全保护任务,其他部门则负责协同推进。
其中,组织内的数据资源管理部门需要统筹数据资源管理及数据安全管理的标准规范和管理措施,是数据安全管理的核心部门;在组织开展数据安全工作时,业务应用侧会有大量数据安全组件的开发集成工作,应用开发测试部门扮演着非常重要的角色;网络安全部门作为共性数据安全能力建设、运行及安全运营部门,负责对数据安全工作提供基础共性支撑并持续开展风险监测。
数字政府下的公共数据安全实践
政府在具体的数据安全建设体系落地实践中该怎么做呢?开展工作前,需要明确《数据安全法》、《网络安全法》、《个人信息保护法》和等级保护2.0之间的关系。开展工作时,首先,建设单位需要结合具体的业务场景、数据属性、合规适用等进行需求分析。其次应当通过自上而下的治理模式构建数据安全保障体系。
数据安全落地实践“五步走”——
第一步:了解被保护数据资产,定义数据保护场景
在开展公共数据保护工作的初始阶段,组织需要以职能范围、业务发展方向、合规要求等作为输入,明确需要保护的数据资源基本信息,如位置、类别等,确定数据保护涉及的业务场景,如:数据共享交换场景、大数据基础设施运行维护场景、数据资源管理场景等等,并可以通过梳理敏感数据的流转过程,实现对应场景下的数据安全风险与合规的需求分析。
第二步:构建数据安全能力蓝图,进行差距评估
在明确了涉及数据安全保护的场景后,就可以基于数据安全的总体目标开展规划设计,定义数据安全工作的能力蓝图、主要任务与重点工程。数据安全的能力蓝图是一种从能力视角对工作目标进行分解的框架,在蓝图的基础上可以基于数据安全目标开展现状调研与差距分析工作,梳理组织现在的数据安全能力上的差距。
第三步:识别并明确数据安全保护责任部门
基于所定义的安全能力蓝图,可以进一步分析这些场景下主要的责任部门,检视各部门所具备的资源是否可以支撑数据安全目标的达成。明确参与数据安全保护的部门,其目的是为了确保数据安全的需求可以分解至相关能力的部门来承接,比如:想要完成应用的数据安全能力改造就需要由组织开发测试部门来参与;数据安全的运营工作就需要由安全部门的运营团队的职能来覆盖。
数据安全部分组织职能责任示例:
第四步:开展数据安全制度、标准和技术措施的建设
按照重要性、成本、优先级等多种因素推动切合实际的工作落地。例如,推进数据安全制度建设,一方面要推动公共数据安全行政管理职能的落地,另一方面要加强数据安全标准的制定,从而在制度保障上对数据的管理、操作、维护做出规范,对数据安全风险进行有效控制。当然也可以基于实际的重点任务开展应用数据安全技术措施建设、数据脱敏/去标识化等技术能力建设。
第五步: 持续推动数据资产的安全管理与数据风险的安全运营
落实公共数据安全的常态化运营工作,以数据资产安全管理为例,需要持续对公共数据资产进行发现、分类分级、标记等元数据管理工作,这些工作常常建立在数据血缘管理、数据唯一性管理、数据质量管理等等数据治理活动中。而数据分析安全运营则如同网络漏洞威胁监测预警一样,需要对存在可疑数据访问权限、敏感数据泄漏等进行持续性安全监测与响应,并基于问题持续推动数据安全工作改进。
总结
立足公共数据,以业务场景作为切入点,是未来引领、推动政府数字化转型的一个方向。
但目前,公共数据安全在国内仍处于起步阶段,以上思路与实践更多从规划视角出发。组织单位在开展数据安全工作时,仍需要结合实际的业务场景去进行,用理论推动实践,用实践来修正或补充理论,方能形成属于自己的方法论和实践经验。
深信服数据安全解决方案基于《数据安全法》和《个人信息保护法》等法律法规的要求和实际的数据安全风险场景,通过人工智能和机器学习等先进技术,为政府、教育、医疗等各个行业用户提供面向业务场景的数据安全建设体系,让数据使用变得更加合规、安全。