随着《数据安全法(草案)》公开征求意见,业界针对数据安全进行了广泛讨论。安全建设方依据数据安全法找寻商机,保障责任方以数据安全法为指引讨论对如何进行建设。显然供需双方都在围绕数据安全法,探讨以数据为中心的安全防护体系建设必要性和可能性。
作为数据安全从业者,在数据安全大海中开辟新的航道,发现新的大陆,提升自我及企业的核心竞争力是必要且持续的。随着数据安全法后续的正式颁布,将会起到大海航行指南针、产业发展风向标的作用,有助于整个数据安全产业蓬勃发展。所以研读和深入交流数据安全法是对每一位安全从业人员大局观的一次更新。
本文结合自身经验,从市场发展、安全建设方、保障责任方三个角度出发,抽离出数据安全法中所需关注点,并对关注内容加以延伸,使其更加具有可落地性和可思考性。
一、市场发展
草案中对数据安全与发展有明确描述(第十二条至第十八条),其总结而言可为五个化,即数字经济化、体系标准化、安全专业化、交易规范化、教育体系化。
数字经济化:数字在经济化过程中需要安全作为保障,信息化是数字经济化过程中的基础底座,所以网络安全和信息化是一体之两翼,必须统一谋划。如20119年2月,山东省政府办公厅发布了《数字山东发展规划(2018-2022年)》,从夯实基础支撑、培育数字经济、创新数字治理、发展数字服务、实施重点突破等五个方面作为重点任务。其基本原则为,以数字基础设施、数据资源体系、网络安全(此处为广义的网络安全)保障为支撑,以数字产业化和产业数字化为核心,以政府治理和惠民服务数字化应用为重点,全面提升数字经济时代山东发展的核心竞争力和综合实力。
体系标准化:强化数据安全标准体系建设,围绕数据安全建立一系列标准规范,拉齐安全防护能力。现今业界很多安全厂商参与数据安全相关的标准规范建设,通过参与规范建设,一是对行业安全建设起到指引作用,二是加强品牌宣传力和建设壁垒。
安全专业化:通过安全检测评估、认证等服务的专业化,加强事前体系认证、事中检测评估、事后业服务专等多个方面安全能力。如中国信息安全测评中心联合天融信开发的针对数据安全人才的培养认证,注册数据治理安全人员(CISP—DSG),其目的是加强数据安全治理相关人员的技术、管理等多方面专业化能力。
交易规范化:培育数据交易市场,加强数据交易过程中的技术体系与管理体系建设。现今数据交易市场非常多元化,有政府、企业,有免费也有收费。
教育体系化:加强与学校的数据安全结合,建立多元的培训体制,丰富多元的授课内容,将安全能力下沉,以便更加体系化和系统化。
二、保障责任方
保障责任方更加关注草案中第十九条至第四十条。十九条至二十四条为数据安全制度章节,从主管单位、企业等多个体系进行了制度要求,其大致内容为确立数据分级分类管理以及风险评估体系,检测预警和应急处置等数据安全管理各项基本制度;二十五条至三十三条大致内容为从管理、技术、风险检测、风险评估、数据收集、审查备案、数据跨境等多个方面提出了相关要求;三四条至四十条是以政务数据为主,从赋能社会发展、收集原则、管理制度、数据审查、数据开放等方面提出了相关要求。
目前普遍的是针对数据安全法如何有效落地的问题,该现象深层原因是网络安全向数据安全转变过程中,针对数据安全体系化了解不足所导致,如分类分级如何建设?分类分级如何与现有技术体系及未来技术体系有效结合?风险评估体系如何建设、如何运维等。以上所列举的问题,其还是数据安全防护体系化的点状表现,如果不能从全局鸟瞰,工作还会非常被动。
三、安全建设方
安全建设方需剥丝抽茧般梳理条款内容,寻找现有产品满足点,以期作为自身产品的建设依据(切入点)。同时还需要投入更多的人力、物力、财力研究规划自身的安全体系,提升产品线的广度和深度,抢占安全市场先机。整体而言,由安全法的延展可整体可分三种类型,即战略型、项目型和产品型。
战略型会从全盘考虑,会有新战略方向、会开辟新的业务线,比如调整集团网络与数据安全的研发投入比,强化数据安全能力,抢着某些相对空白的市场领域;将现有隐形的经验转换成显性的知识,通过培训的形式输出整体价值(目前网络安全居多,如渗透测试等),与安全链的最下游(人)进行有效结合,输出自身的产品理念、产品功能、品牌认可等。
项目型包括产品型。项目型需依托”数字+“等大环境下的窗户期,帮助保障责任方建立贴身安全铠甲,摘掉安全紧箍咒,让业务在安全的环境下运行,让安全价值支撑业务价值。
产品型则更多考虑产品的功能、性能、场景应用等多个维度,以期支撑项目型、战略型的有效落地。
针对项目型,现阶段安全建设方可从四个方面进行针对性建设。全流程制度体系建设、分类分级、数据生命周期为基础的安全保障体系、及建立持续动态的完善机制。具体关联关系如下图。
数据分类分级在整个数据安全防护过程中起到承上启下的作用,是制度体系建设、技术体系建设及运维体系建设的粘合剂,以分类分级和枢纽将不同体系进行有效集合,提升数据安全防护体系的协同能力、定向能力、运维效率等(具体管理体系建设、分类分级可见之前相关文章)。
上图建设内容,为输出整体价值(安全价值为辅助价值,起到支撑业务价值的作用),而非单点产品价值,从建设工期、人员能要求、项目难度、项目额度,产品型无法与其相比。
四、总结
随着数据安全法后续颁布,将正式揭开数据安全序幕,以数据为中心的安全建设,才刚刚开始!