——《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案》解讀

2019年7月1日發(fā)布的《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案》（以下簡稱《行動方案》）是自2013年7月16日工業(yè)和信息化部第24號令《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》以來的數(shù)據(jù)安全保護要求的進一步強化和落地。
 

《行動方案》的工作目標之一是督促基礎(chǔ)電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)強化網(wǎng)絡(luò)數(shù)據(jù)安全全流程管理，及時整改消除重大數(shù)據(jù)泄露、濫用等安全隱患，在2019年10月底前完成全部基礎(chǔ)電信企業(yè)（含專業(yè)公司）、50家重點互聯(lián)網(wǎng)企業(yè)以及200款主流App數(shù)據(jù)安全檢查。工作目標之二是建立行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保障體系，行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理和技術(shù)支撐平臺基本建成，遴選網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)能力創(chuàng)新示范項目，基礎(chǔ)電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理體系有效建立。
 

《行動方案》制定了為期一年、明確可執(zhí)行的詳細計劃：不同于標準、規(guī)范，更強調(diào)具體任務(wù)的推動。方案分為四個階段，將每階段的責任方、工作任務(wù)進行了具體化，同時也強調(diào)了對典型經(jīng)驗做法進行推廣，鞏固相關(guān)工作成效的要求。這使得《行動方案》形成了一個執(zhí)行力強，并不斷迭代升級的長期計劃。
 

五大亮點引人關(guān)注
 

《行動方案》主要亮點體現(xiàn)在以下五個方面。
 

一是《行動方案》要求加快完善網(wǎng)絡(luò)數(shù)據(jù)安全制度標準�；�于《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)要求的驅(qū)動，電信運營商從合規(guī)角度出發(fā)對數(shù)據(jù)安全保護的重要性有足夠重視，但安全制度標準的不充分影響了這項工作的開展，例如對同一項敏感數(shù)據(jù)的分類分級和控制措施，在不同企業(yè)不同部門之間并不統(tǒng)一，極易發(fā)生因合作雙方控制能力不同導致敏感數(shù)據(jù)泄露事件。制度標準的完善能夠大幅促進數(shù)據(jù)安全保護的效果，有利于正常數(shù)據(jù)業(yè)務(wù)的健康發(fā)展，幫助各個企業(yè)步調(diào)一致統(tǒng)一行動。
 

二是《行動方案》將開展合規(guī)性評估和專項治理工作。包括網(wǎng)絡(luò)數(shù)據(jù)安全風險評估、App違法違規(guī)專項治理、強化網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督執(zhí)法。此些舉措劃出了數(shù)據(jù)安全違規(guī)行為的紅線，并以行政處罰、軟件下架、企業(yè)納入不良名單和失信名單的方式“迫使”企業(yè)必須重視數(shù)據(jù)安全保護。手段足以讓違反數(shù)據(jù)安全的經(jīng)營模式不復(fù)生存，讓忽略數(shù)據(jù)安全的企業(yè)付出代價。
 

三是《行動方案》將強化行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理，提出了四項具體意見：
 

首先，提出了數(shù)據(jù)資產(chǎn)“清單式”管理的要求，電信和互聯(lián)網(wǎng)企業(yè)在實體資產(chǎn)、IT資產(chǎn)管理方面有著豐富的經(jīng)驗，但并沒有對數(shù)據(jù)資產(chǎn)進行嚴格管理，若無法形成數(shù)據(jù)清單，也無法對針對數(shù)據(jù)的行為進行有效監(jiān)控。數(shù)據(jù)資產(chǎn)管理的主要難點一方面是技術(shù)難度，另一方面是缺乏明確的標準和制度。
 

其次，《行動方案》明確了企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全職能部門的設(shè)置，根據(jù)以往經(jīng)驗，某項工作開展困難的主要原因之一是企業(yè)重視不足，導致該職能科室權(quán)力小、人數(shù)少、話語權(quán)低。設(shè)立專門的網(wǎng)絡(luò)數(shù)據(jù)安全職能部門是數(shù)據(jù)安全保護工作健康發(fā)展的必要步驟。
 

再次，《行動方案》提出了強化網(wǎng)絡(luò)數(shù)據(jù)對外合作安全管理的要求，自從瑞智華勝、數(shù)據(jù)堂的案件發(fā)生以來，電信運營商對于數(shù)據(jù)合作業(yè)務(wù)從積極轉(zhuǎn)向謹慎，但網(wǎng)絡(luò)數(shù)據(jù)安全保護的本意是促進業(yè)務(wù)健康發(fā)展，數(shù)據(jù)合作業(yè)務(wù)應(yīng)該在安全、合規(guī)的情況下有序進行。
 

最后，《行動方案》提出了行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全應(yīng)急管理的要求，指出了網(wǎng)絡(luò)數(shù)據(jù)安全事件發(fā)生事前、事中、事后的要求，對惡性事件形成預(yù)案，不打無準備之仗。
 

四是《行動方案》在能力建設(shè)方面提出了手段建設(shè)、技術(shù)創(chuàng)新、專業(yè)化支撐隊伍的要求。此項要求有利于數(shù)據(jù)安全產(chǎn)業(yè)的甲乙方共同發(fā)展，首先為企業(yè)開展數(shù)據(jù)安全類采購和研發(fā)指明了方向，也為高水平數(shù)據(jù)安全公司發(fā)揮其水平和能力提供絕佳機會。目前國內(nèi)的數(shù)據(jù)安全類產(chǎn)品大多數(shù)沿用國外產(chǎn)品思路，視角和技術(shù)并不適合電信和互聯(lián)網(wǎng)企業(yè)這種地域覆蓋大、組織結(jié)構(gòu)復(fù)雜、業(yè)務(wù)眾多、發(fā)展迅速的經(jīng)營模式，使得網(wǎng)絡(luò)數(shù)據(jù)安全類產(chǎn)品嚴重碎片化、孤島化，在實際應(yīng)用中難以起到防護效果，正在逐步降低客戶采購的意愿。
 

五是《行動方案》強調(diào)了社會監(jiān)督和宣傳交流，目前網(wǎng)絡(luò)數(shù)據(jù)安全在電信和互聯(lián)網(wǎng)企業(yè)中仍是少部分人的任務(wù)，而本質(zhì)上數(shù)據(jù)安全與企業(yè)的經(jīng)營模式、業(yè)務(wù)模式緊密相關(guān)，這方面區(qū)別于其他安全技術(shù)。網(wǎng)絡(luò)數(shù)據(jù)安全必須得到企業(yè)決策者的充分重視，必須做到企業(yè)文化認可，從業(yè)者高度自律，具有全面的監(jiān)督處罰機制。
 

企業(yè)需構(gòu)建數(shù)據(jù)安全保護體系
 

數(shù)據(jù)安全保護關(guān)系到了企業(yè)切身利益，我們應(yīng)認真對標《網(wǎng)絡(luò)安全法》等相關(guān)行政命令的要求，形成企業(yè)自身的數(shù)據(jù)安全保護體系，從策略（規(guī)章制度及差距分析）、組織（部門與人）、技術(shù)（生產(chǎn)平臺和數(shù)據(jù)安全保護技術(shù)）、運營（運轉(zhuǎn)保障）等方面進行全面建設(shè)和不斷提升。
 

我們需要正確面對現(xiàn)有業(yè)務(wù)模式和技術(shù)平臺存在的數(shù)據(jù)安全問題，一些業(yè)務(wù)本身是侵犯隱私的，或者存在安全風險。例如已經(jīng)全部下線的“短信保管箱“類業(yè)務(wù)，以及運營商普遍在業(yè)務(wù)環(huán)節(jié)中增加了二次認證和信息脫敏措施，都是在數(shù)據(jù)安全方面進步的表現(xiàn)。企業(yè)應(yīng)該對存量業(yè)務(wù)進行評估、建立新業(yè)務(wù)評估的三同步機制（數(shù)據(jù)安全能力與業(yè)務(wù)功能同步規(guī)劃、同步建設(shè)、同步運行）、人員管理、合作伙伴管理等機制的優(yōu)化，避免新的數(shù)據(jù)安全事件發(fā)生。
 

另外，還要加強數(shù)據(jù)安全專職部門的設(shè)立，提升話語權(quán)，保持合理的人員配備。將敏感數(shù)據(jù)進行資產(chǎn)化管理，建立分類分級制度、采用自動化識別跟蹤技術(shù)形成敏感數(shù)據(jù)清單，將敏感數(shù)據(jù)的異常分布與流動進行安全事件處置，對于敏感數(shù)據(jù)的訪問行為增加身份認證和敏感行為審計等環(huán)節(jié)。
 

加強對合作伙伴的管理，建議采用數(shù)據(jù)安全能力評級和考核制度，降低數(shù)據(jù)擴散風險，以合作合同條款方式指明在數(shù)據(jù)安全方面的違約條款與責任。
 

建設(shè)立體的數(shù)據(jù)安全防護體系。例如，在數(shù)據(jù)泄露案例中，將數(shù)據(jù)泄露到外網(wǎng)存在多種途徑，并且涉及數(shù)據(jù)不同環(huán)節(jié)的風險，單一技術(shù)手段無法覆蓋所有主要途徑。建議基于不同途徑選擇各領(lǐng)域最優(yōu)技術(shù)搭建數(shù)據(jù)安全立體防御，以基于實戰(zhàn)總結(jié)的經(jīng)驗作為數(shù)據(jù)保護技術(shù)手段的有效性評估標準。

標簽： 數(shù)據(jù)安全 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。