一、引言
为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
今天分享国泰君安证券股份有限公司试点工作经验,供大家学习参考。
二、试点优秀单位工作经验
聚焦智慧化数据中台,建立健全数据安全能力评估与提升体系
随着大数据时代来临,国家围绕数字经济、数据要素市场等做出一系列战略部署,明确将大数据战略上升为国家战略重点。“数据二十条”出台,将数据与土地等传统要素列为核心生产要素,并要求加快培育要素市场,强调重点提升社会数据资产价值。各行业数字化程度亦日益深化,绝大多数企业已逐渐意识到了数据的重要性,并积极获取数据,开展应用,积累了大量的数据资源。而对数据进行有效的安全管控则是企业释放数据资产价值的必要前提,如何组织好数据、保护好数据,已成为企业数据管理和应用的重要挑战。
为有效发现数据安全隐患,防范数据安全风险,保障数据有效保护、合法利用、有序流通,本次网络数据安全风险评估以《网络安全标准实践指南网络数据安全风险评估实施指引》《信息安全技术数据安全风险评估方法(征求意见稿)》等标准指南为基础,在试点工作组的指导下,聚焦智慧化数据中台,有序开展评估工作,并归纳总结了评估经验。
(一)有效识别外规要求,全面梳理评估清单
国家监管机构对信息科技风险的管控趋势逐年表现为强监管,我国相关法律法规立法进程亦持续深化,其中,《网络安全法》《数据安全法》《个人信息保护法》在整体数据安全保护体系中构建了三大法规支柱。此外,《证券期货业网络和信息安全管理办法》《证券期货业数据安全管理与保护指引》《证券公司网络和信息安全三年提升计划(2023-2025)》等行业监管要求及指引的不断出台,对证券公司的数据安全保护能力提出了更高的要求。全国网络安全标准化技术委员会也于2023年5月发布了《网络安全标准实践指南—网络数据安全风险评估实施指引》,对企业的网络数据安全风险评估工作进行了指导。
图1 国内数据安全相关法律法规及监管要求进程
聚焦网络数据安全相关风险的评估及管控,参照行业标准与领先实践,数据安全管理需要从数据生命周期的各阶段出发,对数据安全风险进行有效识别与跟踪,持续提升企业自身的管理及技术能力。
在评估准备阶段中,公司对外部法律法规、监管要求及标准指引进行了全面梳理,并以《网络安全标准实践指南—网络数据安全风险评估实施指引》作为主要参考范本,进行了300余条整体评估项的设计,构建了整体网络数据安全风险评估框架。
(二)明确锚定评估范围,迅速组建评估团队
本次评估以《网络安全标准实践指南网络数据安全风险评估实施指引》为主要范本,其评估项的颗粒度相对较细,涉及的安全域及子域相对较广。在给定的时间及资源配置下,为保障本次风险评估的质效、有效开展数据安全风险的深度排查,需科学选定评估范围,从集团整体业务中确定优先级较高的区域,开展针对性风险评估。公司在集团全域数据统一纳管及数据分类分级的基础上,对各业务与系统的数据及相关处理情况进行了初步研判。通过对数据量级、数据敏感程度、数据处理复杂程度、系统重要性、涉及风险类别等维度的综合判定,公司选定了慧化数据中台作为本次评估的重点对象,在当前行业数据分类分级的整体框架下,平台纳管数据最高等级为三级,并涉及数据的存储、使用、加工、传输、删除等多个环节。
在明确评估范围的同时,公司积极组建评估队伍。在项目启动阶段,我司即成立了本次评估项目的专项工作小组,并联合外部专业评估咨询团队,共同推进评估工作的开展。为保障风险评估各领域全覆盖,确保评估人员具备必要经验和技能,本次网络数据安全风险评估团队涵盖了数据安全专家、数据治理专家、数据合规专家、系统管理员、网络工程师、数据工程师等相关方,各团队间密切协调,确保了评估的规范性、全面性以及与公司管理目标的一致性。
(三)识别数据安全风险,构建风险管理闭环
识别评估数据安全风险,需以收集、传输、存储、使用、删除、销毁等环节为切入点,围绕管理要求、管控点、管理流程,应用并运营一系列技术手段。我司的数据安全保护体系围绕数据全生命周期,提供20种技术手段,涵盖身份认证、权限管控、操作管控、行为审计四大技术能力,通过多种技术手段组合或复用实现数据安全保护。这些技术手段涉及到数据全生命周期的各个环节,例如:在数据收集阶段,提供了网络准入及设备准入;在数据传输阶段,提供了透明传输加密、链路加密、端到端加密;在数据存储阶段,提供了数据库漏洞风险检测、数据库操作行为审计及管控等;在数据使用阶段,提供了堡垒机管控、动静态脱敏、API监测、自适应零信任、隐私计算等。
评估过程中,公司构建了网络数据安全风险识别与分析的整体流程框架,对四大类、300余项评估项逐一进行判别,并出具评估记录及问题项判定。在此基础上,评估团队根据安全类别及安全子类进行了风险项的聚合,并逐一进行了风险类别、风险危害程度(含针对社会秩序、组织权益、个人权益的影响程度)、风险发生可能性的综合性分析,进行各风险项的风险等级判定,形成风险分析清单。
图2 网络数据安全风险识别与分析
针对已识别的各项风险,评估团队针对性地提出了风险处置整改建议,并进一步提炼总结,对共性问题进行深度剖析,完成了整体风险概览的汇报工作。同时,评估团队亦将风险等级、风险紧迫性、风险整改周期、整改技术成本、整改人员投入等多个维度纳入考量范围,并绘制阶梯性整改计划。
未来,公司拟成立专项管理团队。一方面,对风险项进行整改情况的跟踪与再评估,推进网络数据安全风险的常态化管理。另一方面,将已验证的评估方法进一步推广至其他业务和系统板块,拓展网络数据安全管理半径,构建长效管理机制,持续保障公司网络数据的安全、稳定运行。