一、引言
为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
二、试点优秀单位工作经验
市水务局:《从理论到实践:如何有效执行网络数据安全风险评估》
随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规的相继出台,网络和数据安全保护的重要性日益凸显。作为首批试点实施单位,市水务局高度重视此项工作,并成立了局网络数据风险评估小组。该小组由局网信办和局属市供水事务中心相关领导亲自挂帅、全程参与,在严格遵守相关评估指引的基础上充分发挥协作精神、紧密配合,成功完成了本次评估试点工作。
经过此次实践,我们总结了下述有效执行网络数据安全风险评估的经验:
(一)加强前期准备与调研
网络数据安全风险评估是一项系统性、复杂性并存的工作。在开展工作之前,评估小组应精心制定详尽的评估计划与方案,明确评估工作的具体目标与要求,清晰界定评估范围与内容,并细化执行步骤,以确保评估工作既有明确的方向,又有具体的操作指引。其中,为确保评估工作切实、有效执行,评估计划与方案中要将各项工作任务细化分配到个人,并设立执行关键的时间节点;同时,要明确各项任务完成后应提交的交付文件,以确保评估过程的连贯性和规范性。
表1 评估人员职责分配建议表
此外,在调研环节,评估小组应秉持精准与深入并重的原则,对选定的业务、涉及的信息系统与数据内容进行仔细梳理,采用多种调研方法(如现场访谈、文档查验与收集等)相结合的方式,以全面掌握评估范围内的数据安全制度管理制定情况、业务和信息系统基本信息、数据资产与数据处理活动情况、安全防护措施执行现状,做到每项调研内容都有对应的资料支撑,为后续的评估复核提供可追溯性。
(二)加强风险点精细化管理
在调研工作基础上,评估小组应根据标准指南文件(《网络安全标准实践指南——网络数据安全风险评估实施指引》《信息安全技术 数据安全风险评估方法(征求意见稿)》)中的指导内容,针对所选定的评估对象,分别从数据安全管理、数据处理活动、数据安全技术以及个人信息处理4个方面筛选出合理的评估子项,逐一识别选定业务场景下存在的数据安全隐患。其中,为确保评估工作的质量和效率,评估小组应合理安排和监控评估对象的时间和进度,确保每个领域和每个评估项都得到充分的关注。同时,评估小组还应建立详细的评估记录制度,做到每项评估都有对应记录,以便对后续评估结果进行验证。
表2 评估记录示例表
数据安全风险清单的形成是基于评估记录中的未符合内容的细致筛选。在识别出风险点后,评估小组应逐一分析各风险点的产生原因、影响范围和潜在危害,并结合实际情况和技术能力,提出个性化整改建议。这些建议既要考虑技术层面的改进,如加强数据加密、完善访问控制等,又要兼顾管理层面的优化,如完善安全政策、加强员工培训等;不仅要具有理论指导意义,还要注重实际操作可执行性,以确保整改工作能够落地执行并取得实效。
(三)加强技术与业务相协同
在深入进行数据安全风险评估与整改的过程中,我们最大的感触是技术人员与业务人员应紧密合作。由于数据安全往往涉及技术细节和业务逻辑,因此两者之间的协同工作对于确保评估的准确性和有效性具有决定性作用。
在风险识别阶段,技术人员和业务人员需要共同理解和解读评估标准与指南文件。由于双方对于某些技术细节和业务规则可能存在不同的理解,往往会导致在评估过程中产生偏差。为了避免这种偏差,评估小组在识别数据安全风险时,应及时与相关业务系统的管理人员和使用人员进行深入沟通。这种沟通不仅确保了评估标准的一致性,还提高了评估的准确性。
此外,业务人员的参与对于整改建议的提出和实施也至关重要。他们更了解业务需求和流程,因此能够提出更加贴合实际、具有可行性的整改方案。同时,技术人员则可以从技术角度为整改建议提供技术支持和解决方案。这种跨部门的协作模式能确保整改建议的全面性和可执行性。
解放日报社:《新闻智能化数据安全创新路径探索》
在当前信息化的社会,数据已经成为新的生产力和竞争力,数据不仅是我们自身发展的重要资源,也承载了广大读者的信任和期望,解放日报社始终强调和重视数据安全工作,并积极投入资源和人力保障数据安全。在报社领导的高度重视和大力支持下,报社成立了专门的数据安全管理小组,并引入了第三方安全厂商,按照国家相关标准完成了数据安全风险评估,提升了报社在数据安全方面的整体建设水平。
(一)数据安全建设整体情况
解放日报社一直以来高度重视信息安全,并不断加强相关的技术和管理手段。目前,报社已拥有了一套相对健全的信息安全体系,包括网络安全、系统安全、人员安全、运维安全等多个方面的制度和措施,尽力保证在每个流程节点上,都有管理规章和监控记录。报社也制定了信息系统的数据分类分级制度,以确保不同等级数据的安全存储和传输。
在“数据安全管理”方面,报社制定了《信息安全管理总纲》和《信息安全管理策略》等制度,规定了网络和数据安全工作的组织架构、管理原则,明确了组织安全职责,包括领导小组职责、工作小组职责等,制度也规定了信息安全管理体系下所有信息安全活动,包括信息安全风险评估、信息资产管理、人力资源安全、物理环境安全等内容;
在“数据安全技术”方面,报社制定了《设备管理手册》,规范了解放日报集团上观新闻系统的日常维护、操作和使用;
在“数据处理活动”方面,报社制定了《信息安全检查制度》,规范了解放日报社信息安全检查工作的具体过程,明确各相关方的职责和工作内容;
在“个人信息安全”方面,报社制定了《解放日报社上观新闻信息泄漏事件应急预案》,说明了数据泄露安全事件的排查及处置方法,并给出了经验总结。
总之,解放日报社力求在网络和数据安全各个方面都有对应的规章制度可以遵循,并按安全制度规定进行日常工作,倡导“预防优于治理”,提前预防安全问题产生。
同时,在组织架构方面,报社建立了专门的信息安全团队,分为信息安全领导小组(负责决策)、信息安全管理小组(负责管理)和信息安全实施组(负责执行)。制定了相关政策、规范和技术标准,并配备了专业的技术人员进行安全活动的实施和服务的日常安全维护。工作成果主要包括体系建设制度、人员管理、安全培训材料和考核、运维管理、应急响应等方面的实践经验,这些历史积累,为此次试点工作提供了制度基础和实践基础。
(二)本次试点开展情况
为确保试点有序推进,报社明确试点工作的牵头部门为上观技术中心,并与各部门形成联动机制。技术中心通过与各业务部门密切合作,形成全员参与的工作格局,确保试点工作能够充分覆盖各个业务环节。
从数据安全风险评估实施流程来看,考虑到是第一次开展数据风险评估,经验不足,为了尽量保证结果和进度可控,我们决定限制评估的服务和数据范围,选择成熟的领域开展评估活动,因此本轮评估范围仅限解放日报上观新闻相关服务和数据。试点工作的推进计划分为几个关键步骤:
首先,技术中心对上观新闻的数据安全情况进行全面的信息调研,识别出存在的问题和潜在风险;
其次,结合以往的工作成果,对识别出的风险进行综合分析与评估;
最后,对评估发现的问题进行综合整改并形成可复用的经验总结。
整个安全评估过程可见下表。
表1 数据安全风险评估过程
在评估过程中,我们也遇到一些困难。例如在评估过程中对数据分类分级的具体标准出现了多次反复调整的情况,为此我们经过多次迭代,最终确定了分级标准的稳定版本。再如,部分整改策略需要逐步完善补充,无法一蹴而就,为此我们列出了详细的计划,按优先级递进整改。
在具体实施评估工作时,考虑到具体实施的工作小组人力不足且工作量较大,我们也引入了第三方的安全评估机构协助完成数据安全风险评估工作,评估机构制订了详细完整的评估检查项表格,从“数据安全管理情况”“数据处理活动情况”“数据安全技术情况”“个人信息保护情况”4个方面,涵盖管理制度、日常安全活动、应用安全评估、个人隐私策略等240多项具体的评估检查项,通过现场访谈、工具扫描、日志审计等多种方式完成安全评估的实施工作,最终形成了一份评估表格。这份评估表格成为我们当前开展数据安全工作的重要参考标准和记录,也是后续改进数据安全工作的重要依据。
表2 数据安全风险评估检查项(示例)
本次评估共发现安全问题30余项,主要集中在数据安全台账缺少、数据分类分级实施不够细致以及个人信息缺乏安全标识等方面,我们也体会到,数据安全是功夫在平时的工作,也是长期的系统工程,需要不断学习和改进,并与日常工作结合,在数据采集、流转、处理、删除的各个环节都应考虑环境风险、个人信息保护、数据泄露等可能的安全隐患并采取规避和保障措施,才能做好数据安全工作。
通过本次试点工作,解放日报社在数据安全建设方面取得了一些成果,不仅识别了潜在的安全隐患,也提升了全员对数据安全的认知水平。未来,解放日报社将加强技术中心与各业务部门之间网络和数据安全工作的合作,完善数据安全管理体系,为报社的信息系统和数据服务打造更为坚固的保障墙。
复旦大学附属中山医院:《数据安全风险评估中的数据资产管理与技术验证实践经验》
(一)院内试点业务场景概述
复旦大学附属中山医院(以下简称“中山医院”)成立于1937年,是国家卫生健康委员会委属事业单位,同时是复旦大学附属的三级甲等综合性教学医院。在医学中心、医学科创中心等建设任务的引领下,中山医院不仅积极响应国家战略,还通过大数据和人工智能战略,构建了基于混合云的现代信息基础设施,实施了大数据平台建设和数据治理。
在本次风险评估试点工作中,挑选了两个不同的医疗典型场景作为评估对象,一个是“上海中山医院APP”,另一个是“科研专病库”。上述两个场景是医院中极具代表性的面向不同使用角色、不同使用场景、开放程度截然不同的典型代表场景。
上海中山医院APP
“上海中山医院APP”是中山医院面向患者提供的在线预约挂号、查询、复诊等场景下的对外服务的应用,属于患者在线查询数据和移动应用调用数据的典型代表场景。
科研专病库
“科研专病库”是院内利用现有的大数据平台上搭建的专病库数据平台,面向内部医生提供对特定的病例分析、专项病研究结果,属于临床研究、医生调用数据的典型代表场景。
通过对这两个场景开展风险评估试点工作,可以帮助院内团队沉淀并提取同类型场景的数据安全评估经验,为后续开展其他系统的数据安全检查工作提供技术支撑和实践经验。同时通过对试点工作中发现的安全问题进行安全加固的专项课题研讨,有助于切实提升这两个场景的数据安全能力水平,实现以评促建的建设模式。
(二)试点工作内容概述
本次试点工作中,调研团队主要采取问卷调研+技术验证的两个方式来进行现有数据安全措施情况的摸底。
在问卷调研方面,主要参考依据为《TC260-PG-20231A 网络安全标准实践指南——网络数据安全风险评估实施指引》,项目团队通过专题研讨的方式,对指南问题调研项进行了详细的梳理和问题初筛,将明显不适用项,如:云数据安全、数据公开等问题项等进行剔除,进一步精简评估问题项。通过前期细致的解读和理解,将整个问题项缩减了近3/4,每个场景中基本可能只需要在详细调研100+项问题即可以快速判断是否存在高危风险问题。
在技术工具验证方面,院内充分意识到了数据安全风险评估工作,需要在传统网络安全检测工具(漏扫、渗透等)的基础之上,有效利用数据安全检测的技术手段,规避仅通过调研问卷,依旧会存在主观意识、评估结果不可保障、过度依赖人员能力等问题。这次工作中,多方调研并实际采用了数据安全的专项技术工具,比如:数据跨平台过程交互管理检测系统、数据资产自动化梳理平台等。通过实际测试验证,有效证明合理利用好这些数据安全技术检测平台,可以节省大量人工验证的成本,提升检测评估的效率和准确性。
比如,在数据资产梳理和分类分级打标这部分工作中,前期在保障不影响业务的情况下,引入数据资产自动化梳理平台,通过平台自动化的完成数据打标签工作,然后再对打标的结果进行人工二次的复核,“科研专病库”和“上海中山医院APP”共计近3万多个字段,整体梳理完毕的时间耗时不到1天,大幅度提高了效率。此外,因为“上海中山医院APP”会涉及到大量的API接口调用HIS数据的场景,API接口的安全性和通过API接口流转数据的记录的全面有效性非常关键。试点工作小组通过数据跨平台过程交互管理检测系统对该场景下的API接口安全的专项验证有效地获取了当前应用开放接口、数据调用规模、调用方式等一系列的安全监测。因为这次的典型业务场景中,均会涉及到三方应用开发商,所以试点工作团队利用检测系统内置的数据权限脚本,进行了权限技术探查工作,通过技术探测的结果,发现不同应用开发商对于本身的数据安全管理权限存在明显的差异,这对于后续指导进行供应商安全管理提供支撑依据。
(三)试点优秀经验说明
1、数据资产管理平台:数据资产梳理和分类分级
在进行数据安全风险评估的过程中,通过引入数据资产管理平台,有效地对“上海中山医院APP”和“科研专病库”两个业务系统进行了数据识别和分级打标的工作。引入的数据资产管理平台不仅降低了根据院内实际的数据安全分级诉求的人工梳理成本,提高了自动化程度和处理效率,而且输出了详尽的数据分类分级报告。这些报告为后续的数据安全评估工作和重要数据的定期梳理上报工作提供了坚实的技术支撑,帮助全面认识和评估系统内包含的数据类型,包括哪些数据属于敏感数据,并实现了敏感数据的自动识别与分级。
此外,团队通过深入学习和解读数据分类分级政策法规和标准规范,不仅沉淀了行业知识和标准,形成了完善的分类分级方法论,还转化为中山医院匹配院内业务的系统发现模版和智能化识别数据的打标模型。一方面,能够更针对性地发现目标数据,通过快速落地和反复迭代完成数据分类分级工作,另一方面,结合数据流动使用场景,推动规划建立了一套常态化的分类分级流程和机制,真正做到既能满足合规诉求又能保障自身数据价值的未来需求。
在本次风险评估试点工作中,平台基于医疗行业分类分级模版,生成了丰富多维的可视化资产数据,包括业务类型数、数据库、数据表、字段等,强化了资产分类分级数据的可视化。这让院内可以更直观地了解数据资产对应的业务类型、分类结果、字段分级、敏感指数等,为数据安全合规提供了基础支撑,并加强了对重要数据和个人信息合规性的可视化图表分析,如图所示。
图1 数据资产梳理可视化示意图
2、数据跨平台过程交互管理检测系统:API安全监测、数据权限检查
由于本次挑选的“上海中山医院APP”内部数据流通主要是通过API的方式调用。因此,通过引入技术手段对数据通过API方式进行交互和数据取数用数行为是验证调研结果准确性的重要环节。本次引入的数据跨平台过程交互管理检测系统,具备对于API接口本身的安全检测能力、API调取数据的可视能力,并且内置了多种数据权限的探测脚本,可以直观展示当前的用户权限情况。
试点心得
(1)选择专业的API数据流转监测工具:选择专业的API数据流转监测工具至关重要。这样的工具通常能够自动化地发现并测试API端点,包括但不限于检查身份验证、授权检查、数据加密、以及针对常见漏洞的测试。
(2)定制化检测策略:根据不同的应用场景和API特性,定制化检测策略。例如,对于敏感数据交换较多的API,增加数据加密和权限验证的检测力度;对于公开API,重点检测防止SQL注入、跨站脚本(XSS)等常见的网络攻击。
(3)持续监控与评估:API接口的传输信息、传参在业务使用过程中经常容易有变更或失活。因此对数据调用的API接口进行实时、持续地监控和评估尤为重要。通过自动化工具实现对API获取数据的接口的持续监控,确保任何变更都能即时被检测和评估,以保障API安全性。
(4)整合到CI/CD流程:将API安全检测整合到持续集成/持续部署(CI/CD)流程中,确保在软件开发生命周期的每个阶段都能进行安全检测,及时发现并修复安全漏洞。
3、数据权限探查的应用经验
数据权限控制是数据安全的另一个关键环节,确保只有授权用户才能访问特定的数据。数据跨平台过程交互管理检测系统里内置的权限探查脚本可以帮助审查和管理数据库和文件系统的权限设置。
试点心得
(1)自动化权限审查:引入系统后,通过内置的探测脚本,可以自动化地审查数据库和文件系统的权限配置。这包括检查哪些用户或角色具有对特定数据的访问权限,是否存在过度授权的情况。
(2)精细化权限管理:通过系统的帮助,实施了更加精细化的权限管理策略。例如,根据最小权限原则,确保用户仅能访问其执行职责所必需的数据,避免不必要的数据访问风险。
(3)定期权限审计:定期使用系统的数据权限脚本进行权限审计,检查和纠正权限配置的偏差。这帮助及时发现和解决潜在的数据访问安全问题。
(4)整合到数据安全架构中:将系统探测出的数据权限结果与数据安全架构和策略相整合,确保数据访问控制的策略得到有效执行,并与组织的数据安全需求保持一致。
通过上述经验的应用,不仅提高了数据通过API接口方式进行交换的安全性,而且加强了业务、人员获取敏感数据的身份管理、权限控制,从而全面提升了数据安全管理的水平,也为后续的数据安全工作提供参考指导。
国泰君安证券股份有限公司:《聚焦智慧化数据中台,建立健全数据安全能力评估与提升体系》
随着大数据时代来临,国家围绕数字经济、数据要素市场等做出一系列战略部署,明确将大数据战略上升为国家战略重点。“数据二十条”出台,将数据与土地等传统要素列为核心生产要素,并要求加快培育要素市场,强调重点提升社会数据资产价值。各行业数字化程度亦日益深化,绝大多数企业已逐渐意识到了数据的重要性,并积极获取数据,开展应用,积累了大量的数据资源。而对数据进行有效的安全管控则是企业释放数据资产价值的必要前提,如何组织好数据、保护好数据,已成为企业数据管理和应用的重要挑战。
为有效发现数据安全隐患,防范数据安全风险,保障数据有效保护、合法利用、有序流通,本次网络数据安全风险评估以《网络安全标准实践指南 网络数据安全风险评估实施指引》《信息安全技术 数据安全风险评估方法(征求意见稿)》等标准指南为基础,在试点工作组的指导下,聚焦智慧化数据中台,有序开展评估工作,并归纳总结了评估经验。
(一)有效识别外规要求,全面梳理评估清单
国家监管机构对信息科技风险的管控趋势逐年表现为强监管,我国相关法律法规立法进程亦持续深化,其中,《网络安全法》《数据安全法》《个人信息保护法》在整体数据安全保护体系中构建了三大法规支柱。此外,《证券期货业网络和信息安全管理办法》《证券期货业数据安全管理与保护指引》《证券公司网络和信息安全三年提升计划(2023-2025)》等行业监管要求及指引的不断出台,对证券公司的数据安全保护能力提出了更高的要求。全国网络安全标准化技术委员会也于2023年5月发布了《网络安全标准实践指南—网络数据安全风险评估实施指引》,对企业的网络数据安全风险评估工作进行了指导。
图1 国内数据安全相关法律法规及监管要求进程
聚焦网络数据安全相关风险的评估及管控,参照行业标准与领先实践,数据安全管理需要从数据生命周期的各阶段出发,对数据安全风险进行有效识别与跟踪,持续提升企业自身的管理及技术能力。
在评估准备阶段中,公司对外部法律法规、监管要求及标准指引进行了全面梳理,并以《网络安全标准实践指南—网络数据安全风险评估实施指引》作为主要参考范本,进行了300余条整体评估项的设计,构建了整体网络数据安全风险评估框架。
(二)明确锚定评估范围,迅速组建评估团队
本次评估以《网络安全标准实践指南 网络数据安全风险评估实施指引》为主要范本,其评估项的颗粒度相对较细,涉及的安全域及子域相对较广。在给定的时间及资源配置下,为保障本次风险评估的质效、有效开展数据安全风险的深度排查,需科学选定评估范围,从集团整体业务中确定优先级较高的区域,开展针对性风险评估。公司在集团全域数据统一纳管及数据分类分级的基础上,对各业务与系统的数据及相关处理情况进行了初步研判。通过对数据量级、数据敏感程度、数据处理复杂程度、系统重要性、涉及风险类别等维度的综合判定,公司选定了慧化数据中台作为本次评估的重点对象,在当前行业数据分类分级的整体框架下,平台纳管数据最高等级为三级,并涉及数据的存储、使用、加工、传输、删除等多个环节。
在明确评估范围的同时,公司积极组建评估队伍。在项目启动阶段,我司即成立了本次评估项目的专项工作小组,并联合外部专业评估咨询团队,共同推进评估工作的开展。为保障风险评估各领域全覆盖,确保评估人员具备必要经验和技能,本次网络数据安全风险评估团队涵盖了数据安全专家、数据治理专家、数据合规专家、系统管理员、网络工程师、数据工程师等相关方,各团队间密切协调,确保了评估的规范性、全面性以及与公司管理目标的一致性。
(三)识别数据安全风险,构建风险管理闭环
识别评估数据安全风险,需以收集、传输、存储、使用、删除、销毁等环节为切入点,围绕管理要求、管控点、管理流程,应用并运营一系列技术手段。我司的数据安全保护体系围绕数据全生命周期,提供20种技术手段,涵盖身份认证、权限管控、操作管控、行为审计四大技术能力,通过多种技术手段组合或复用实现数据安全保护。这些技术手段涉及到数据全生命周期的各个环节,例如:在数据收集阶段,提供了网络准入及设备准入;在数据传输阶段,提供了透明传输加密、链路加密、端到端加密;在数据存储阶段,提供了数据库漏洞风险检测、数据库操作行为审计及管控等;在数据使用阶段,提供了堡垒机管控、动静态脱敏、API监测、自适应零信任、隐私计算等。
评估过程中,公司构建了网络数据安全风险识别与分析的整体流程框架,对四大类、300余项评估项逐一进行判别,并出具评估记录及问题项判定。在此基础上,评估团队根据安全类别及安全子类进行了风险项的聚合,并逐一进行了风险类别、风险危害程度(含针对社会秩序、组织权益、个人权益的影响程度)、风险发生可能性的综合性分析,进行各风险项的风险等级判定,形成风险分析清单。
图2 网络数据安全风险识别与分析
针对已识别的各项风险,评估团队针对性地提出了风险处置整改建议,并进一步提炼总结,对共性问题进行深度剖析,完成了整体风险概览的汇报工作。同时,评估团队亦将风险等级、风险紧迫性、风险整改周期、整改技术成本、整改人员投入等多个维度纳入考量范围,并绘制阶梯性整改计划。
未来,公司拟成立专项管理团队。一方面,对风险项进行整改情况的跟踪与再评估,推进网络数据安全风险的常态化管理。另一方面,将已验证的评估方法进一步推广至其他业务和系统板块,拓展网络数据安全管理半径,构建长效管理机制,持续保障公司网络数据的安全、稳定运行。
来源:个人信息与数据保护实务评论
