云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
公司
政务行业数据安全体系化建设探索与实践
2024新奥门资料安全咨询讲武堂
讲武堂,带兵者研究武学之所。今设“2024新奥门资料安全咨询讲武堂”,与圈内人士共同聚焦、分享安全咨询领域的心得体会与实践经验。
本期聚焦政务行业数据安全建设痛点,提出体系化实践路径,欢迎大家文末留言探讨。
前言
2022年4月19日,中央全面深化改革委员会第二十五次会议审议通过了《关于加强数字政府建设的指导意见》,强调把数字技术广泛应用于政府管理服务,推动政府数字化、智能化运行,为推进国家治理体系和治理能力现代化提供有力支撑。2022年9月13日,国务院办公厅印发《全国一体化政务大数据体系建设指南》,强调要加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动。由此可见,数字化时代,数据的依法有效利用和共享,是数字政府建设的关键。
据以往政府数据安全实践表明,接触到数据团队较多、数据流程复杂、安全风险较大是其显著特点。所以如何在复杂权责背景下确保政务数据共享流通的合法合规,面临各类风险威胁时确保数据安全保护能力持续有效,是政务行业亟待解决的问题。
一、政务行业数据安全防护思路
随着数字政府的建设和深化改革,数据量激增,数据调用常态化,数据处理活动变得频繁,数据遍布各组件、系统、终端等,以网络和系统为中心和边界的防护思路已无法满足当下数据安全需求,无法从数据价值、数据类型以及业务关系的角度对数据资产进行梳理。以数据为中心的数据安全保护思路成为解决数据安全风险的关键,从数据生产、存储、确权、流通等全生命周期考虑,梳理数据流转节点,并基于流转过程发现风险、解决风险是有力的防护手段。
政务行业数据具有监管要求严格、风险点位多、流动及应用场景复杂等特点,以往单一依赖合规、单点安全工具安全建设思路无法全面保障政务数据的安全性。采用安全咨询规划视角,切实进行数据安全管理、技术、运营体系化建设,是政务行业数据安全防护的必经之路。
二、政务行业数据安全建设痛点分析研究
Part.1
数据安全建设职责划分不清,
呈现“九龙治水”的特点。
政务大数据局(政务服务数据管理局)内部划分出数据资源部以及网络安全部门,数据资源部门的主要职责是政务数据的管理,包括数据的采集、汇聚分析、共享管理等,网络安全部门的主要职责是基础网络环境的安全保障建设,但数据安全的职责却并不清晰,原因有二:其一是数据安全与业务结合紧密,与传统网络安全建设差距较大;其二是数据安全是数据治理的一部分,但又是网络安全的一部分,网络环境存在风险仍可导致数据风险。所以数据资源部开展数据治理工作,网络安全部门开展数据安全工作,两者之间存在不同程度的重复建设问题。
Part.2
数据分类分级实践难落地,
如何落实防护保障不明晰。
数据分类分级从国家到行业已发布相关的标准指南,但数据分类分级标准都停留顶层设计和框架阶段,对不同的业务场景的实践落地缺乏细则指导,分类分级是在平台上落地还是通过第三方工具落地难抉择,分类分级之后如何落实防护保障不明晰。
Part.3
各应用开发商的开发标准不一,
导致在业务系统层面存在很大的安全问题
数据是依托于网络环境和业务应用流通的,所以数据与业务应用结合较为紧密,但政务行业的业务系统均是委托第三方开发业务,各业务开发商对安全层面的考虑各不相同,所以存在不同程度的安全风险。同时,各业务系统大多数为业务协同及数据共享做设计,主要以开放API接口的方式进行数据和业务的调用,业务逻辑更为复杂,存在的安全风险就更大。
三、政务行业数据安全体系化建设路径探索和实践
基于以上的市场需求转变以及行业痛点分析,2024新奥门资料结合以往政务行业的项目经验,针对数据安全的体系化建设给出以下实践方案:
1、明确权责划分
以政务大数据局为例,明确网信部门与大数据局的职责划分,明确数据资源管理部门与网络安全部门的职责划分,根据首席数据官的设立,在数字政府建设安全小组,政务数据安全的职责在大数据局,同时数据资源管理部门与网络安全部门明确分工,针对不同的业务工作梳理角色矩阵,建立细粒度的职责划分。
2、数据安全合规评估
政务行业数据体量大,且数据敏感程度较高,所以开展数据安全工作需要以咨询的角度切入,开展数据安全评估,基于评估的结果进行数据安全体系化规划,此路径经实践检验,科学有效,可操作性强。数据安全合规评估以业务系统为单位,确定合规评估的范围,明确合规评估的依据,形成合规指标,开展差距分析,并形成合规评估报告。
3、开展数据分类分级工作
分类分级是数据全流程动态保护的基本前提,需要建立《政务数据分类分级指南》,基于《政务数据分类分级指南》的要求,多视角开展数据定级工作,在政务共享平台以数据共享的视角开展定级,例如“公开、有条件申请、审批通过可看……”等,同时基于安全防护的角度定级,不同级别的数据在存储、传输、共享等流程中需要采取加密、脱敏等措施。
4、数据安全体系化建设
根据分类分级的结果,不同级别的数据,采取不同的防护手段,通过全面了解数据安全威胁,建立数据安全解决方案,数据安全运营能力建设,实现数据安全运营流程化、集中化。同时,数据安全治理需要数据安全管理方建立管理能力和运营监管能力,数据安全运营方建立日常运营(监测和管理)能力,数据作业方建立监测和防护能力,从而构建运营体系、管理体系、技术体系相辅相成的行之有效的数据安全治理体系。
在管理制度建设层面,在考虑建设数据安全制度的同时,需要考虑客户已有的网络安全制度,充分考虑与现有的网络安全管理制度的融合。
在数据安全技术管控层面,基于数据业务流程与具体应用场景对不同级别的数据进行针对性技术防护。采取数据传输加密、存储加密、脱敏、水印、访问控制、审计、API接口鉴权及监控等技术措施,全面覆盖数据全生命周期过程。
在数据安全运营建设层面,建立数据安全运营“团队+机制+工具+服务”的数据安全运营体系,运营是数据安全建设最重要的一步,管理体系和技术体系是否能更好地落地依托于运营体系的建设,通过数据安全运营实现持续化的运营落地,形成闭环优化的机制。
总结
summary
对于政务行业,数据驱动政务业务发展是数字经济时代的显著特征,实现数据开发利用和安全合规的平衡是个重要问题,同时有规划地逐步构建数据安全能力,使得数据安全治理与数字经济的发展相辅相成,才是正确的数据安全治理之道。
