阿里巴巴資料安全專家:3個維度4個層級解讀《網安法》|乾貨

NO IMAGE

                                            0?wx_fmt=gif&wxfrom=5&wx_lazy=1 關注ITValue,檢視企業級市場最新鮮、最具價值的報道!

0?wx_fmt=png

2017年6月1日,《網路安全法》正式開始實施。作為我國第一部全面規範網路空間安全管理問題的基礎性法律,網安法不僅對網路行為明確了規範和法律責任,同時還對於如何建設網路安全提供了指引。儘管安全法的各種規範和要求,其實已經長期存在於各行業的行業標準和主管部門對社會網路行為的指引中,但對於企業安全部門甚至CIO來講,網路安全的現實還是讓其顯得猝不及防。

 

如何相應《網路安全法》的要求,並逐步落實企業資訊保安,在企業轉型甚至逐漸雲化的過程中,仍是企業面臨的頭等大事。為此,我們特意邀請阿里巴巴集團個人資訊保護官、資料安全總監以及資料大學校長鄭斌(花名:天明)分享了《網路安全法》對企業以及CIO來說,有哪些不得不關注的條款,以及CIO該如何應對才能保身。

0?wx_fmt=jpeg

 阿里巴巴集團個人資訊保護官/資料安全總監/資料大學校長,主導了國際、ISO標準《資料安全能力成熟度模型》(DSMM)的建設和產業落地。

 

以下為天明在ITValue微信群公開課【深V課堂】上的分享內容,經ITValue編輯整理:

 

今晚的分享主要有三個部分:

  • 1.  《網路安全法》中對於資料的政策定位。

  • 2.  《網路安全法》中有關的規定,尤其是涉及企業CIO相關的規定。

  • 3.  結合阿里的實踐,重點談一下經過我們多年實踐總結出來的《資料安全能力成熟度模型》(DSMM)方法論。

 

在科技發展大趨勢下,我國已經將大資料作為國家基礎性戰略資源。在《網路安全法》第25條特別提到:國家建設網路與資訊保安保障體系,提升網路與資訊保安保護,加強網路和資訊科技的創新研究和開發應用,實現網路和資訊核心技術,關鍵基礎設施和重要領域資訊系統及資料的安全可控。

 

這裡特別提到對於關鍵基礎設施和重要領域資訊系統的資料安全可控的重要舉措。《網路安全法》正是承載著國家對於資料的定義,資料是基礎性戰略資源,來要求所有從事網際網路服務的企業,要遵從《網路安全法》。

資料安全意識與CIO互聯


 

《網路安全法》裡面主要有三個部分涉及到網路安全相關規範與責任:

  • 1.  應用型的安全。

  • 2.  資訊內容的安全。

  • 3.  資料的安全。

 

應用型的安全就是要確保系統是穩定、持續地提供服務,不能出現例如“今天開了一個網站騙了使用者的錢財,捲了錢就走了這樣的現象”,這肯定不行。

 

資訊內容的安全就是不能出現各種反動、涉政、涉恐、涉暴、涉黃等這樣的一些言論,主要涉及一些視訊網站、音樂網站、社群、聊天工具等。

 

資料安全是非常重要的一點,國家對於資料的定位是基礎性的戰略資源。所以,我們在解讀《網路安全法》裡面要重點解讀跟資料安全有關的條款。

 

資料安全相關的條款裡面,主要分為三個層次,從底往上依次是最基礎的資料安全要得到保障、公眾的個人資訊保護(公眾公民的個人利益,在資訊權力上要得到保護)、國家層面的資料安全與保護。

 

首先,基礎資料安全得到保障,所有的企業都要做到。

 

《網路安全法》第10條:維護網路資料的完整性、保密性和可用性。第21條:防止網路資料洩漏或者是被竊取、篡改。第27條:不得提供專門用於竊取網路資料等危害網路安全活動的程式、工具。第31條:一旦遭到破壞、喪失功能或者是資料洩漏,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施。

 

這四條特別提到我們對於資料的安全要做到保障。

 

其次,個人資訊保護相關方面。


《網路安全法》第40條到第44條,主要提到了在蒐集、使用使用者的權力,以及在銷燬或者是違約的情況下,企業要盡到的一些責任。如:

 

  • 第40條:網路運營者應當對其收集的使用者資訊嚴格保密,並建立健全使用者資訊保護制度。

  • 第41條:網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。

     網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與使用者的約定,處理其儲存的個人資訊。 

  • 第42條:網路運營者不得洩露、篡改、毀損其收集的個人資訊;未經被收集者同意,不得向他人提供個人資訊。但是,經過處理無法識別特定個人且不能復原的除外。

網路運營者應當採取技術措施和其他必要措施,確保其收集的個人資訊保安,防止資訊洩露、毀損、丟失。在發生或者可能發生個人資訊洩露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知使用者並向有關主管部門報告。

 

  • 第43條:個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人資訊的,有權要求網路運營者刪除其個人資訊;發現網路運營者收集、儲存的其個人資訊有錯誤的,有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。

  • 第44條:任何個人和組織不得竊取或者以其他非法方式獲取個人資訊,不得非法出售或者非法向他人提供個人資訊。

 

最後,是國家層面的資料安全保護方面。

 

《網路安全法》第37條提到:關鍵資訊基礎設施運營的在中華人民共和國境內運營和產生的個人資訊和重要資料,應當在境記憶體儲。第51條強調:國家網信部門的責任,主要是網信辦或者是各個地方的網信辦。第52條是對於關鍵資訊基礎設施的要求。

 

在最底層(基礎層)資料安全強調的是保密、完整和可用;在個人層面的資訊保護,首先要做到資料的安全,然後要做到個人的資訊控制權力,以及網路運營等相關尊重個人控制權力的義務。在國家資料安全層面同樣要做到資料的安全,同時是重要資料的支配權,以及防止重要資料遭到二次使用,導致國家安全的危險。

 

這是資料安全在三個層次上的主要意識。而最底層說的是保密、完整和可用,這是獲取資訊保安的方面,是屬於資料安全的子集,現代的資料安全應該是包含這三個層面。

 

我們重點強調個人資訊層面和國家層面的資料安全意識。

 

第一,在個人資訊層面的關注點特別提到的是與個人相關資料的權力,一共有七個環節,蒐集個人資訊的時候要授權同意。在處理、儲存、刪除、更正,以及在安全事件和使用方面,都特別賦予了個人對其個人資訊非常強的控制權。

 

對於企業來講,我們對於個人資訊的保護原則主要是:

  • 1.  以權力上的保障,採集使用者或者是蒐集使用者的資訊,要是非常明確的目的,叫目的明確原則。同時我們要給使用者選擇權,所以是選擇同意的原則。

  • 2.  遵守最少僱傭的原則。

  • 3.  公開透明原則。

  • 4.  個人資訊保護主體參與的原則。所謂的參與就是有電話投訴或者是郵件、反饋渠道的參與。

 

同時,作為企業對於個人資訊保護方面要盡到的安全義務,主要是剛才的三個性:保密性、完整性、可用性。

 

保密性是我們要確保這些資料不會隨意洩漏。完整性是確保使用者的資料在這裡是完整的,不能有丟失,尤其是跟金錢相關的,賬和錢財丟失了是要負責任的。可用性即確保系統能夠穩定持續地提供服務。

 

第二,在國家層面的資料安全規範以及關注點,主要是對於重要資料的跨境流動的安全評估。重要資料的流動是要受到監管的。重要資料是什麼呢?重點是指:與國家的安全、經濟的發展以及社會公共利益密切相關的資料。

 

例如在企業我們也是會把企業內部的資料分成個人的資料(客戶資料)、企業資料、業務資料、國家的資料,各大企業甚至央企的資料分類會多一點,還有特別管制的行業會多一些。

 

但是這種分類可能要做一些適當的調整,因為在過去國家的資料相對分類比較清晰,但在大資料的時代下,很多的資料蒐集其實已經在國家政府的主管部門之外,而且很多企業掌握了獨特的資料資源,這些資料資源也影響到了國家和公眾利益的可能性。

 

所有的這些資料具備了雙重屬性,一方面是企業內部的個人資料或者是企業資料、業務資料,一方面同時也具備了國家資料的屬性,這也是特別提醒各位CIO要特別注意的,在我們企業內部一定要把這一部分的資料區分出來,否則凡是涉及到國家的資料,我們一旦沒有保護好的話,得到的懲罰甚至處罰是非常厲害的。

 

國內資料跨境傳輸或者是跨境的評估辦法正在制定當中,大概的流程主要是由企業提供資料出境的申請,由網信部門指派相應的部門來進行評估,評估合適、風險可控就可以允許出鏡,經過評估不合適,會禁止出境。

 

評估的標準主要包括個人資訊是否是會侵害到我國公民的利益,同時也會看這個資料是否會侵害到社會的利益。很重要的一點,當企業資料的量大到一定的程度,能夠反映中國大陸的一些經濟執行的情況或者是社會治安、社會公共利益等相關的資訊,是嚴禁出境的。

 

總結一下,國家在資訊保安保護上相關的標準主要是兩個部分:

 

第一是國家主權控制權。控制權的問題強調的是對個人資訊保護的控制權,國家要對中華人民共和國境內的公民在個人資訊的權力上起到保護的義務,也有三個標準:

 

  • 1.  《個人資訊保安規範》。這個已經報批了,很快就要釋出。

  • 2.  《個人資訊保安影響評估指南》。這是便於指導企業做個人資訊保安的影響評估的方法論。

  • 3.  《個人資訊標識化指南》。

 

第二是安全。安全類別有五個:

 

  • 1.  大資料服務安全的要求,凡是提供大資料服務的平臺、系統、產品,有一個安全的要求。

  • 2.  《資料安全能力成熟度模型》,叫DSMM。

  • 3.  資料交易服務安全要求,這個主要是覆蓋資料交易、共享方面的安全要求。

  • 4.  《大資料安全的管理指南》。

  • 5.  《資料出境的安全評估指南》,就是剛才提到的資料出境安全評估的一整套流程。

《資料安全能力成熟度模型》,即DSMM


 

在國家提出既要保障資料的安全,又要促進大資料的發展,即國家提出“十三五”《大資料發展行動綱要》之際,促發展,保安全,並結合產業的需求,我們提出《資料安全能力成熟度模型》。

 

我們發現資料的流動和共享是一個好事情,它促進了資訊的打通,也促成了分享的經濟模式(包含一些新的商業模式),大資料的安全就成了新商業模式通道的一環。如果這些分享過程不安全、分享的模式不安全,那麼新的商業模式就是不牢靠的。

 

因此,我們有這樣一個結論:大資料環境下的資料安全是整個新的數字經濟時代非常核心的一環。

 

同時我們認為大資料環境下的資料安全包含五大特點:

 

  • 1.  由過去資料的保密工作屬性變成了大資料經濟秩序的保障,不再是一個簡單的技術事情。

  • 2.  從過去系統的防控聚焦到資料內容本身的防控。

  • 3.  更加適應大資料技術的特點,靈活、實時地處理。

  • 4.  從一個單一的組織安全保障變成了跨組織的安全聯動保障,因為資料在流動,而且是跨組織地在流動,必須聯動來保障。

  • 5.  從過去技術的風險和操作風險的屬性變成了更加綜合,新增加了商業風險和法律風險這樣的視角。

 

所以,大資料環境下的資料安全要更加綜合,不是單一的視角,也不再是單純的技術上的視角。我們提出來了以資料為中心的安全觀,要全面的資料安全視角,主要是聚焦在資料層面,同時要聚焦在一家企業資料的合作伙伴這裡。

 

首先,在聚焦資料上面主要是4個W:

  • 1.  where,資料是在哪裡的。

  • 2.  what,我的資料是怎樣的,每個資料都是什麼含義,我都有哪些種類的資料,這些資料的安全等級是怎麼樣的,是否是和國家的機密相關的,是否是和個人資訊相關的。

  • 3.  who,誰在用資料,我們必須清楚地知道誰在用資料,要求我們要有清楚的資料負責人,能夠追溯資料是誰在用的。

  • 4.  why,為什麼要用資料,因為只有明確的why,才能判定資料是否是合規的。

其次,資料的合作伙伴主要是幾種角色:

 

一是資料的生產者。在公司內部的各條業務線產生資料的,我們叫業務的生產者。二是資料的提供者。三是跟你合作生產資料的夥伴。四是資料的管理者和控制者。五是資料的加工者和消費者。這些都是我們需要去關注的。

 

我們看到在不同的角色裡面對安全的訴求是不一樣的,對於資料使用方(消費者)來講,他關心的是資料的來源必須是合法的,不能是黑市上採購的,不能是非法採集的。資料的來源如果是跨境的,是否符合資料來源國的規定?不能把違規、違法的風險轉嫁到自身的頭上,這是消費者關注的訴求。

 

同樣在資料的提供方以及資料的解決方案或者是創新這幾種角色方面,關注的是在提供資料服務的過程中,資料的應用應該是安全的,資料的傳輸要是安全的,資料的儲存要是安全的。

 

在資料的生產者方面,就是製造資料的一方或者是有原始資料的人,關注的是我的資料權力是否得到了保障,資料是不是該銷燬了?資料在共享的過程當中,我怎麼樣保證可控,以及我的資料是否有明確的或者是符合《網路安全法》規定的原則下的一些分級、分類的管理。

 

所有這些角色都有共同的安全訴求就是個人資訊的保護。

 

阿里巴巴看到了各方的訴求,同時也結合了自身的實踐,我們提煉了這樣一個模型,叫《資料安全能力成熟度模型》,簡稱DSMM,叫Data Security Maturity Model。它是用來針對組織在資訊保安領域一個能力的評估標準。

 

對於評估的級別劃分為五級,最低檔次是一級,最高是五級。三級屬於安全可控的程度;一級是完全零散的,沒有正式執行;二級是開始有意識要做,而且也有一些逐步的體系在做;三級是在二級搭的體系之上有一個全面完善的管控體系,以及安全的體系;四級是不但有這些體系,還能夠去衡量在這個體系下每個模組所帶來風控的效果。

 

既然叫《資料安全能力成熟度模型》,它的能力體現在四個方面:第一組織上的建設;第二人員上的能力;第三制度流程;第四技術工具。

 

同時我們認為一個組織要在資料安全能力上做評估,需要從四個角度來看,一是組織上有沒有重構的保障;二是組織的設計是否是合理的,是否有足夠資質的人員來參與;三是流程和制度是否完善;四是技術和工具是否是犀利、可靠。

 

這些評價是圍繞著資料的生命週期來展開,分別是資料的產生、儲存、使用、傳輸、共享和銷燬。一共是34個過程,在每個階段下還有再往下的安全過程,是六大生命階段,每個階段都有安全要求。

 

截止目前這個模型在標準層面來看,既是行業標準,也是國家標準和國際標準同時推進。

 

作為國家標準,9月份已經由國家資訊保安標準委員會、大資料安全特別工作組向全社會公佈《徵求意見稿》,10月底就將蒐集所有的意見進行修改完善,最終釋出國標。

 

作為國際標準,我們在2017年的4月份在ISO上成功立項,也是國內網際網路(國內資訊領域)在ISO裡面的第一個立項標準。

 

作為行業標準,我們在國家通訊以及在國際電信聯盟的行業裡面也是成功立項。

 

同時在行業實踐上,目前在10多個重點行業、30多個典型企業已經完成了成熟度模型的評估實踐驗證,正在進行中的實踐企業有80多家,分別是由17家服務商來幫忙推進的,以及在阿里巴巴和貴陽大資料中心建立了一個貴陽的大資料實驗室,由這個實驗室幫忙評估50家這樣的企業,進行能力成熟度模型的評估。

 

在實踐過程中,我們和行業以及合作伙伴取得了四點資料安全的共識:

 

  • 1.  資料安全是商業的基礎。無論是已經在大資料業務上有所作為,還是在準備發力的機構,都清楚地意識到大資料業務的發展離不開堅實的大資料安全的基礎。

  • 2.  以資料為中心的安全。大部分組織機構的安全工作是集中於對於網路層面的防護,但是並沒有針對於以資料為核心的保護。所以,在這種安全應對的思路需要轉變。

  • 3.  大資料下的資料安全必須具有產業生態的視角。整個大資料環境下,資料的流通和共享是個趨勢,我們聚焦在資料本身的同時,還要關注到資料的流動,以及在流動過程中的安全挑戰。

  • 4.  資料安全技術的創新和產品需求的迫切性。這個意思就是過去在資訊保安領域所用的手段已經不夠了,因為在過去資訊保安領域的假設前提今天已經破壞了,過去的資訊保安領域假設的前提是在一個封閉的系統環境下、企業的組織邊界下去展開的防護手段和產品技術能力,但是今天是在開放、互聯的環境下,所以我們的技術必須要創新。

0?wx_fmt=gif

鈦媒體最強T-EDGE來了,長按圖片二維碼或是點選閱讀原文,搶購早鳥票!

0?wx_fmt=png

中國最大的技術高管實名社群,提供網際網路時代最全面權威、也最前沿有趣的B2B市場資訊解讀。

點選【閱讀原文】,進入ITValue社群,與CIO們一起腦力激盪!

我們只提供有價值的乾貨!

640?wx_fmt=jpeg

長按二維碼
關注ITValu