基于量化考核指標的數據安全建設思路

張 輝

（衡水開放大學， 河北 衡水 053000）

在數字經濟時代，數據是企事業單位的核心資產。隨著網絡的大規模發展和各種應用的深入使用，數據泄密事件層出不窮，根據Risk Based Security發布的數據泄露報告，與2019年同期相比，2020年數據泄露事件發生的數量和泄漏的數據量均增加了50%以上，涉及的行業包括醫療保健行業、金融保險行業、教育行業、快遞行業等諸多領域；另有用戶發現5.38億條微博用戶信息在暗網出售，這些泄密大都以用戶身份信息和賬戶信息為主，甚至包括人臉識別數據。由此可見，隨著網絡技術的不斷應用，數據安全防護所面臨的風險相比以前也發生了根本性的變化。[1]

為了保護和合理利用數據，各國紛紛出臺了一系列政策和措施。2018年，歐盟出臺了《通用數據保護條例》，先后給Google、Facebook等諸多企業開出了天價罰單，被稱為史上最嚴監管條例；2021年6月10日我國正式頒布《數據安全法》，作為企業來給用戶提供更便捷的服務，在搜集大量的用戶信息后，由于各種原因導致數據泄露，不僅面臨巨大的經濟損失，嚴重的還要承擔相應法律責任。[2]

國家相繼出臺的法律文件和各種處罰措施，為網絡安全、數據安全工作的開展畫定了紅線，同時也給我們的工作提供了方向上的指引。為了保護數據安全，避免信息泄露和信息濫用帶來的損失，在企業內部，我們有必要建立一套合法合規的數據安全管理體系。例如，在《網絡安全法》中要求企業明確誰來擔當主體安全責任？誰來履行企業安全義務？哪些人對安全違規事件負責？在《數據安全法》中則明確主管部門在落實安全監管職責時有權利對組織、個人處理數據活動中存在較大數據安全風險的進行約談，并要求其做出整改，對有重大數據泄露并危害國家安全的行為依法追究刑事責任。我們要探討的正是一個基于安全責任及量化考核的數據安全建設思路。

一、企業數據安全現狀分析

在過去的幾十年間，信息化的發展逐步把企業的業務流程系統化、資產數字化。時至今日，隨著信息化的發展，網絡安全問題也愈演愈烈，數據資產的價值越來越高，數據安全問題也隨之影響到企業的生存競爭力，影響到人們的生活甚至生命。因此，數據安全建設工作勢在必行。然而，很多企業普遍面臨著以下五方面的問題。

1.梳理企業擁有的數據資產

要進行數據資產的梳理，至少明確以下五個問題：（1）企業擁有哪些重要數據和隱私數據？（2）這些數據到底有多重要？（3）這些數據分布在哪？（4）這些數據歸誰所有，誰在使用？誰是數據責任人？（5）與誰共享這些數據？是否應該共享，該如何共享？

2.確定數據安全建設的目標

數據安全工作的目標由誰來確定？如何確定？在這里，有以下四點建議：（1）數據安全整體目標應該與公司戰略目標一致；（2）除了在組織層面建立總體目標以外，還要在相關的職能和各個層次上都要建立數據安全目標；（3）盡可能地去量化這個目標，以便后期進行測量和評價；（4）最終目標應形成文件化資料，并定期評審。

3.把握數據安全建設工作的方向

數據安全建設首先要滿足國家政策、法律法規以及行業合規監管的要求，這便是數據安全建設的外部驅動力；同時，應著眼于企業內部高管層、業務層的視角，想之所想，思其所思，確保數據安全建設的工作方向與管理層的意志一致，與業務層的需求相融合，這便是數據安全建設的內部驅動力。

4.掌控數據安全政策推進的深度

對于企業內部多樣化的業務環境、業務需求，數據安全策略能否一概而論？能否一刀切？顯然不能，因為它的分支機構、分公司、子公司，有參股、控股也有全資的，這種“親子”關系的差異就決定了集團的數據安全策略在每一個分、子公司落地時產生差異是必然的，一刀切的后果就是要么策略要求太高，在分、子公司推動時“水土不服”，阻力太大無法落地；要么就是策略要求過于寬松，被各分、子公司欣然接收，但是達不到應有的數據安全保護級別。所以，對于業務類型多樣化、業務模式復雜化的大企業來說，就需要制定一個針對各分、子公司的差異化的、分等級的數據安全策略。

5.任命數據安全官

對于大多數企業來說，領導層仍然沒有把數據安全當作他們的首要任務。密碼仍未加密存儲，敏感文件仍未加密發送，敏感數據仍然存儲在公共服務器上。除非公司董事會成員定期討論數據安全問題，否則就不夠重視它。因此，每個大型公司都應該聘請一位專門負責數據安全的C級高管暨首席數據安全官(CSO)，不僅負責公司整體的數據安全分析，還負責與數據相關的任何事情。[3]

CSO在公司領導層中扮演一個重要的角色，他會時刻考慮如何應對持續的威脅，如何減少公司IT系統遭受（大規模）網絡攻擊的風險，他的工作重心在于預防、發現和應對數據泄露，這需要所有部門的參與。從2021年開始CSO的人數正在上升，近三分之二的大公司開始著手聘請CSO，雖然這有粉飾門面的可能，但是CSO將在未來的公司發展中起到至關重要的作用。

二、業務系統流程分析

1.勾畫實際運轉的業務系統流程圖

對數據實施全生命周期的保護離不開業務流程的梳理，建議從如下四項工作梳理業務系統關系：（1）在業務流程圖中劃分安全域；（2）能聯合將流程細節講透徹的人在哪；（3）業務流程中利益相關人有哪些；（4）業務流程中出過的事故、事件細節如何。

2.明晰的業務系統流程分析

當前形勢是，數據責任人不明確，數據使用要求和保護需求不清晰；需要對數據實施全生命周期的保護，但隨著我們業務流程的復雜化、分工精細化，想找一個人把整個業務流程說清楚很困難；公司的數據資產價值越來越高，卻不知如何對它進行妥當的保護。因此，首先要了解需要保護的數據資產是什么，數據分布在什么環節，這些數據歸誰所有，誰在使用等。梳理清楚這些問題，我們才能進行有效的數據安全治理和監控。

3.對數據流風險點進行分析

CSO要充分發揮角色功能，全面把握風險點的存在。（1）是否把握實際運轉的網絡流程圖細節；（2）是否把握實際運轉的數據流程圖細節；（3）數據流程圖中的風險點有哪些；（4）風險點控制能施加多少種措施；（5）風險點控制已經施加了多少種措施。另外，企業數據業務流程出過什么樣的事故，取決于對流程圖中每個環節風險點的把握和風險控制措施。比如，某車險將到期，一個多月前就有保險公司打電話轟炸，可是等某一天續保后馬上就沒有銷售電話了，這足以表明數據泄露之快，車險數據的保密性得不到保證。

4.對數據分類、分級、分權操作

（1）業務系統中有哪些種類的數據；（2）業務系統總數據所有者分別是誰；（3）每種數據的生命周期節點是否缺少安全控制；（4）業務系統數據分別屬于哪個安全級別。

5.業務系統數據中賬戶擁有的具體權限分析

數據有哪些類別，分類、分級、分權，保護到什么程度，就權限而言，每個人應當如何進行職責分離，如何把權限劃分開，如何把管理人員調離崗位后的權限收回，針對這些問題就要對數據進行全面定義，由數據所有者來完成此項操作。

6.對數據異常規則進行分析

（1）業務中都有哪些違規違法或者異常事件；（2）業務安全事件發生時有什么樣的特征；（3）根據安全事件提煉的異常規則有哪些；（4）具體崗位如何進行異常規則的監控落地；（5）應用系統如何設置埋點監控異常。比如高校畢業證的數據信息，如果黑客對數據庫中兩條相鄰記錄操作造成非關鍵字段相同，通過數據異常規則分析，就能將判斷數據出現安全問題的概率大大提高。

三、數據安全治理與監控

1.責任矩陣梳理確認

（1）法律法規與客戶要求導出的企業責任有哪些；（2）外部責任引發的法律義務和經濟處罰有哪些；（3）外部源動力是否能百分之百傳導至企業內部各個節點；（4）高層的鍋如何變中層的碗，中層的碗又變員工的杯；（5）是否建立了部門級與崗位級責任矩陣。

2.數據法律責任簽署

（1）是否明確數據安全責任界面劃分；（2）是否根據業務現狀分析了數據安全法律責任；（3）是否結合法律法規明確了部門和崗位的法律責任；（4）是否進行法律責任宣貫并簽署個人的法律責任書；（5）是否將法律責任書細化到工作流程中。

崗位意識和責任是業績的一部分，要做到量化考核，有必要建立一套合適的管理方法。按照某一標準針對不同的單位和部門進行考核的一刀切的管理方式是不可取的，應該按照不同級別和不同需求，要求各部門主動申報屬于哪個安全級別，比如一、二、三、四級，然后按照級別進行檢查；如果該部門對自己報送的安全級別過低，檢查時就會暴露問題，相應地就會縮減部門的預算或者相關績效的發放，那各部門就會爭先恐后的提高自己的安全級別，這就變成了數據安全工作源動力。

3.數據預警指標體系

（1）哪些指標能夠反映數據安全態勢；（2）是否將重要指標設置監控措施并實現預警；（3）是否實現預警指標根據安全事件映射了對應關系；（4）是否建立了預警指標體系對應的應急預案；（5）是否對預警指標體系應急預案進行了演練。

數據預警指標體系，前面我們提到知曉了風險點在哪里，明晰了異常規則是什么，就可以借力埋點進行數據異常預警；很多預警都是借助外部的安全設備，比如防火墻、行為監控等各種安全設備，但還是沒有徹底解決問題，于是我們要做內嵌式網絡安全，把安全做在應用系統里面，設置一些埋點；比如QQ異地登錄，這便是埋點，很多應用程序都可以設置埋點，一旦發現埋點被觸發，我們就知道數據出問題了。因此我們需要建立數據預警體系，多個埋點就形成了監控指標，這些指標的變化就能幫助我們監控數據安全。

4.分級分權量化考核

（1）是否建立了自上而下的安全管理機制；（2）是否在企業內部建立自主定級按需保護體系；（3）各部門各分支機構是否按需申報安全建設等級；（4）是否周期性按申報級別開展各部門審查；（5）在業績匯報會上是否實現安全業績與業務業績掛鉤。

以業績為導向，通過劃分組織、量化分權、權力下沉，建立科學、規范的分級分權量化考核體系，充分挖掘和發揮各層級對數據安全體系的認知水平和管理機制，進而實現數據安全管理方面的突破和精進。

5.安全水平螺旋上升

（1）是否將安全水平的變化趨勢匯報給高層；（2）是否建立優秀的安全貢獻者獎勵計劃；（3）針對違規者是否采用適合本地文化的懲罰；（4）是否建立可全面推廣的安全流程最佳實踐；（5）是否建立詳細的安全事件檔案庫。

從早期的水平管理、上下級管理，發展到如今倡導的斜向管理，企業的發展也要求數據安全形成一條柵格形狀和周期性審查機制，這樣就能實現與業績掛鉤，因此，數據安全建設一定是螺旋式上升的。[4]

另外，企業需要培養優秀的數據安全工作者，以及本地化的企業文化，逐步建立起數據安全事件庫。數據安全事件庫反映著各個部門、業務、人員相關聯的特點，而實際上，很多企業沒有將數據安全事件統計出來形成數據庫并存放。假設某專職數據安全員，經過一段時間處理針對性的安全事件后，提升了自身能力水平，跳槽到別家公司，先期沒有對安全事件做統計整理，那么該崗位的繼任者將繼續面對類似的安全事件發生，若公司有數據安全事件庫建立的流程并得到真正落實，那以后的安全事故就會越來越少，這樣就形成了內部管理、外部監控的良性局面。

四、結語

2021年我國頒布的《數據安全法》明確了國家數據安全管理機制和三個層級構成，對實現規范數據管理活動、保障數據安全、促進數據開發利用等起到了指導性作用，建立健全數據安全制度、建立數據分級分類保護制度和數據安全審查制度，形成數據安全風險評估、報告、信息共享、監測預警機制，建立數據安全應急處置機制；對企業提出明確要求，增強企業內外數據管理，針對數據的重要程度、敏感程度對數據進行分級分類，并采取不同級別不同程度的保護措施，加強數據安全應急處置，消除安全隱患，否則將可能同時面臨較大經濟賠償和嚴重的行政處罰；我國電子商務發展迅速，新時代大型電商企業在運營過程中，更要注重數據安全的建設，保護好網絡數據，防范個人數據和個人隱私的泄露，否則將會面臨生死存亡的危機。

由此可見，我國數據安全領域仍舊任重道遠，只有通過有效的技術手段和相關政策法規的完美結合，才能從根本上解決數據安全與數據泄露的保護問題。當然，安全也不是絕對的，在進攻和防守永不停歇的安全領域，只有不斷地進行管理提升和技術創新，才能有效保障數據的安全。