2019年7月1日发布的《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《行动方案》)是自2013年7月16日工业和信息化部第24号令《电信和互联网用户个人信息保护规定》以来的数据安全保护要求的进一步强化和落地。
《行动方案》的工作目标之一是督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,在2019年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。工作目标之二是建立行业网络数据安全保障体系,行业网络数据安全管理和技术支撑平台基本建成,遴选网络数据安全技术能力创新示范项目,基础电信企业和重点互联网企业网络数据安全管理体系有效建立。
《行动方案》制定了为期一年、明确可执行的详细计划:不同于标准、规范,更强调具体任务的推动。方案分为四个阶段,将每阶段的责任方、工作任务进行了具体化,同时也强调了对典型经验做法进行推广,巩固相关工作成效的要求。这使得《行动方案》形成了一个执行力强,并不断迭代升级的长期计划。
五大亮点引人关注
《行动方案》主要亮点体现在以下五个方面。
一是《行动方案》要求加快完善网络数据安全制度标准。基于《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求的驱动,电信运营商从合规角度出发对数据安全保护的重要性有足够重视,但安全制度标准的不充分影响了这项工作的开展,例如对同一项敏感数据的分类分级和控制措施,在不同企业不同部门之间并不统一,极易发生因合作双方控制能力不同导致敏感数据泄露事件。制度标准的完善能够大幅促进数据安全保护的效果,有利于正常数据业务的健康发展,帮助各个企业步调一致统一行动。
二是《行动方案》将开展合规性评估和专项治理工作。包括网络数据安全风险评估、App违法违规专项治理、强化网络数据安全监督执法。此些举措划出了数据安全违规行为的红线,并以行政处罚、软件下架、企业纳入不良名单和失信名单的方式“迫使”企业必须重视数据安全保护。手段足以让违反数据安全的经营模式不复生存,让忽略数据安全的企业付出代价。
三是《行动方案》将强化行业网络数据安全管理,提出了四项具体意见:
首先,提出了数据资产“清单式”管理的要求,电信和互联网企业在实体资产、IT资产管理方面有着丰富的经验,但并没有对数据资产进行严格管理,若无法形成数据清单,也无法对针对数据的行为进行有效监控。数据资产管理的主要难点一方面是技术难度,另一方面是缺乏明确的标准和制度。
其次,《行动方案》明确了企业网络数据安全职能部门的设置,根据以往经验,某项工作开展困难的主要原因之一是企业重视不足,导致该职能科室权力小、人数少、话语权低。设立专门的网络数据安全职能部门是数据安全保护工作健康发展的必要步骤。
再次,《行动方案》提出了强化网络数据对外合作安全管理的要求,自从瑞智华胜、数据堂的案件发生以来,电信运营商对于数据合作业务从积极转向谨慎,但网络数据安全保护的本意是促进业务健康发展,数据合作业务应该在安全、合规的情况下有序进行。
最后,《行动方案》提出了行业网络数据安全应急管理的要求,指出了网络数据安全事件发生事前、事中、事后的要求,对恶性事件形成预案,不打无准备之仗。
四是《行动方案》在能力建设方面提出了手段建设、技术创新、专业化支撑队伍的要求。此项要求有利于数据安全产业的甲乙方共同发展,首先为企业开展数据安全类采购和研发指明了方向,也为高水平数据安全公司发挥其水平和能力提供绝佳机会。目前国内的数据安全类产品大多数沿用国外产品思路,视角和技术并不适合电信和互联网企业这种地域覆盖大、组织结构复杂、业务众多、发展迅速的经营模式,使得网络数据安全类产品严重碎片化、孤岛化,在实际应用中难以起到防护效果,正在逐步降低客户采购的意愿。
五是《行动方案》强调了社会监督和宣传交流,目前网络数据安全在电信和互联网企业中仍是少部分人的任务,而本质上数据安全与企业的经营模式、业务模式紧密相关,这方面区别于其他安全技术。网络数据安全必须得到企业决策者的充分重视,必须做到企业文化认可,从业者高度自律,具有全面的监督处罚机制。
企业需构建数据安全保护体系
数据安全保护关系到了企业切身利益,我们应认真对标《网络安全法》等相关行政命令的要求,形成企业自身的数据安全保护体系,从策略(规章制度及差距分析)、组织(部门与人)、技术(生产平台和数据安全保护技术)、运营(运转保障)等方面进行全面建设和不断提升。
我们需要正确面对现有业务模式和技术平台存在的数据安全问题,一些业务本身是侵犯隐私的,或者存在安全风险。例如已经全部下线的“短信保管箱“类业务,以及运营商普遍在业务环节中增加了二次认证和信息脱敏措施,都是在数据安全方面进步的表现。企业应该对存量业务进行评估、建立新业务评估的三同步机制(数据安全能力与业务功能同步规划、同步建设、同步运行)、人员管理、合作伙伴管理等机制的优化,避免新的数据安全事件发生。
另外,还要加强数据安全专职部门的设立,提升话语权,保持合理的人员配备。将敏感数据进行资产化管理,建立分类分级制度、采用自动化识别跟踪技术形成敏感数据清单,将敏感数据的异常分布与流动进行安全事件处置,对于敏感数据的访问行为增加身份认证和敏感行为审计等环节。
加强对合作伙伴的管理,建议采用数据安全能力评级和考核制度,降低数据扩散风险,以合作合同条款方式指明在数据安全方面的违约条款与责任。
建设立体的数据安全防护体系。例如,在数据泄露案例中,将数据泄露到外网存在多种途径,并且涉及数据不同环节的风险,单一技术手段无法覆盖所有主要途径。建议基于不同途径选择各领域最优技术搭建数据安全立体防御,以基于实战总结的经验作为数据保护技术手段的有效性评估标准。