5月18日,第六屆中國數據安全治理高峰論壇在京正式舉辦。此次峰會以“數安新征程 共探治理路”為主題,與會專家學者聚焦數據安全治理新形勢下的前瞻話題,展開精彩的分享與討論,共研數據安全治理新模式、新方法。
中國計算機學會計算機安全專業委員會榮譽主任嚴明指出,推動全球數據安全治理體系變革,構建新的數據安全國際規則和秩序已成為大勢所趨,我國數據安全頂層設計日臻健全,數據安全產業生態環境持續優化,數據安全治理正在不斷走實向深。
中國計算機學會計算機安全專業委員會副主任、中國科學院大學密碼學院院長荊繼武在致辭中表示,我國推進數據安全治理落地面臨諸多挑戰,必須加快探索構建由政府部門、企業、社會組織、網民等主體共同參與的數據安全協同治理體系,同心協力維護數據安全,夯實數字經濟持續健康發展的底座。
(資料圖片僅供參考)
01
尋求安全解法 加快構建新發展格局
中國科學院院士馮登國在“網絡空間可信身份戰略思考”的主題報告中談到,數字身份是數據安全治理的關鍵抓手,是網絡空間信任體系的核心支撐。全面構建個人、組織、設備、軟件、應用/服務、AI實體、數據等數字身份服務是時代發展的迫切需求。實現數字身份服務的自主可控和韌性,才能在遭遇攻擊和故障時保障網絡信任體系的正常運轉。
國家信息技術安全研究中心主任俞克群就新形勢下“如何加強數據安全能力”提出了若干建議。數據處理者要充分認識數據安全治理的重要性和特殊性,從數據安全視角重新審視網絡安全體系、重視數據安全管理,加強數據資產梳理和可視化,堅持數據安全風險管理思維,強化風險評估。以合規為基礎、以能力為手段、以評估為支撐,切實做好數據安全工作,共同維護和促進數據安全有序流動。
中國科學院信息工程研究所副所長王偉平在“人工智能時代,數據安全的挑戰與機遇”主題報告中指出,以ChatGPT為代表的生成式人工智能技術掀起了新一輪的技術浪潮。盡管AIGC可能會帶來人類生存、國家安全、個人信息保障等多方面威脅,但其多模態數據分析以及邏輯推理能力,在數據安全領域有著良好的應用前景。我們呼吁,各行各業要加強對個人AIGC安全風險意識宣貫,促進AIGC技術和安全防護技術的創新,加快AIGC安全相關法律法規與標準規范制定,為AIGC治理體系的構建提供理論支撐。
國家工業信息安全發展研究中心保障技術所所長李俊對2023年1月1日起實施的“《工業和信息化領域數據安全管理辦法(試行)》”進行深度解讀,并介紹了工業和信息化領域行業監管已經開展的工作,包括建立工業和信息化領域數據安全工作機制、構建行業數據安全管理政策制度體系、健全完善行業數據安全標準規范,分業開展數據安全監管實踐,建設數據安全保障技術能力等。
安華金和創始人兼CEO劉曉韜對本屆峰會發布的重要成果——《數據安全治理白皮書5.0》進行介紹。他表示,白皮書對“數據安全治理理念,數據安全治理框架,數據安全技術產品,數據安全治理實踐”均做出深度分析。數據安全治理不僅僅是安全保護問題,是數據+安全+治理三個維度的綜合性概念,首先要依托國家數據安全法律法規制定數據安全戰略,同時要有一體化的治理理念,形成管理體系、技術體系、運營體系三位一體的數據安全綜合體系,最終通過監督評價體系持續完善數據安全建設。
02
保障數字經濟穩健前行 促進產業高質量發展
工業和信息化部網絡安全產業發展中心副主任李新社指出,今年一月份,工業和信息化部、中央網信辦等十六部門印發了《關于促進數據安全產業發展的指導意見》,提出提升產業創新能力、壯大數據安全服務等7項任務,該指導意見對夯實我國數字經濟發展基礎、促進數據安全產業高質量發展具有非常重要的意義。
推動數據安全產業發展,認證、評估是重要的抓手。2022年,國家網信辦會同市場監管總局推出了數據安全管理認證及個人信息保護認證;近日,全國信安標委秘書處組織對《網絡安全標準實踐指南——網絡數據安全風險評估實施指引(征求意見稿)》面向社會公開征求意見,受到業界的廣泛關注。國家信息技術安全研究中心主任俞克群表示,認證、評估和審計,屬于質量體系、質量保證的組成部分,并不是數據安全獨有的。在數據安全領域,認證是對運營單位在數據處理活動中的標準、規范的遵從情況進行評價;審計是對組織能力的評價,它更強調在法律要求框架下,是否構建了一個規范的體系,以及是否按照規范的體系、制度在運行。相對來說評估更偏重于技術層面,在執行數據處理活動中,技術體系和技術系統是否存在風險,這個風險可能帶來的損失情況。數據處理者可以結合實際需要選擇應用。實施層面,認證和審計均由第三方有資質的機構實施。對于風險評估而言,數據處理者自身是風險評估的責任主體,可以自行實施,也可以請專業機構實施。
數據安全產業是我國數字經濟的重要基礎,目前數據安全產業發展尚處于起步推進階段,如何加快推進數據安全產業發展是需要研究的重要課題。中國科學院信息工程研究所副所長王偉平表示,首先,國家和行業管理部門要加強合規牽引,引導各行業各領域加大數據安全投入力度,為產業發展創造一個良好的市場環境。第二,要大力發展數據安全技術,特別是加強基礎理論研究,以及與AI等新技術的結合。第三,產學研機構應加強合作,加大數據安全人才的培養和供給。科技+人才是整個產業良性發展的必要條件。華北電力大學能源電力大數據研究院院長李建彬表示,促進數據安全產業發展須在原有的產業規模基礎之上尋求新的更廣闊的發展空間。在數據要素化戰略驅動下,未來在數據安全領域,數據要素保護將成為新的發展空間。圍繞數據的交易、共享、流通而引發的數據安全的產品形態,服務形態,運營形態,都在前所未有的快速發展;其次隨著數據安全政策的逐步完善,如何幫助數據處理者在達到合規要求的前提下降低成本,這也是數據安全產業發展的新空間;第三,數據安全保險是推動整個數據安全產業發展的重要抓手。
數據安全產業發展中數據安全治理是重要環節,針對如何解決目前行業落地數據安全治理的困境,安華金和創始人兼CEO劉曉韜認為,數據安全治理強調多元共治。從行業管理部門的維度,建議抓緊研究出臺數據分類分級的具體標準規范;其次,結合數據生命周期和場景應用需求,制定相應的數據安全建設指導意見;第三,研究編制行業數據安全評估檢查指標體系,這將對行業的數據安全工作起到扎實的推進作用。從國家數據安全管理部門的維度,希望加大監管力度,加快推進評估、認證、審計等制度的宣貫及實施推進,避免形式化,并且進一步加強執法的力度,促使全社會各行業各領域提高數據安全風險意識,重視數據安全工作;從產業供給側,數據安全企業要修煉內功,堅持專業化發展,將技術能力、產品能力、服務能力融入到用戶的業務和數據管理過程中;同時,一些新型技術需要企業與科研院校深度合作對接,加強科研創新成果轉化,這都將有力促進整個產業的發展進步。
03
探索最佳實踐 完善治理路徑
國家計算機網絡應急技術處理協調中心高級工程師林星辰在“數據安全風險評估實踐初探”主題報告中表示,開展數據安全評估及數據安全保護,歸根結底是為了促進數據要素有效流動、促進數據的開發和利用。開展數據安全評估首先要識別數據與數據處理活動,其次要發現數據安全的風險問題,最后分析數據安全的風險并進行判斷,在此過程中也會用到風險分析工具、數據資產探測工具、數據分類分級工具、數據接口探測工具、個人信息去標識化效果檢測工具等。中國軟件評測中心政務數據安全合規聯合實驗室副主任白惠文博士對公共數據分類分級管理給出了實踐案例參考。可以分為七個步驟,即資產梳理、數據分類、數據分級、標識審核、分級管控、成效評價,最后進行動態更新反饋到分類分級,再進行重新的循環管理,從而形成閉環。其中分類可以用融合疊加或標簽映射的方法,分級采取矩陣映射方式,分級管控要同時考慮管理和技術兩方面,通過更加可靠的手段保障公共數據安全。
關于如何保障數據流通安全,中國信息安全測評中心高松博士談到,解決數據泄漏問題的主要思路是管理+技術+運營,技術包括分類分級、數據風險評估、數據安全監測等。數據流通安全保障技術還在不斷發展,需要加強核心技術攻關,包括優化升級數據識別、分類分級、數據脫敏、數據權限管理等共性基礎技術,加強隱私計算、數據流分析等關鍵技術攻關。研究大數據場景下輕量級安全傳輸存儲、隱私合規檢測、數據濫用分析等技術。此外,還需進一步發展構建數據安全產品體系,推出一些具有行業領域特色需求的精細化、專業型數據安全產品;布局新興領域融合創新,加快數據安全技術與人工智能、車聯網,包括ChatGPT等進行融合創新,不斷賦能數據安全技術。
當下,各行業各領域數據安全治理依然面臨巨大挑戰,數據安全治理工作任重道遠。北京市政務信息安全保障中心高級工程師李媛對政務數據安全治理思路和實踐做出分享,她表示,要想做好政務數據的發展應用需要解決三方面問題,一是要做到數據匯聚和共享開放,需要通過平臺化的方式讓數據進行流通;二是做好數據應用,真正發揮數據的價值,提升政府精細化治理;第三個方面也是最重要的,一定要把數據在共享開放和應用過程中安全保障的措施做到位,并對數據本身和數據權益方面進行相應的保護和合理應用。國家金融科技測評中心陳聰博士強調,金融機構開展數據安全保護的出發點首先是符合監管要求,其次機構自身提高用數賦能、提升服務能力、促進機構數字化轉型都有數據治理的需求,因此大家進行了非常積極的探索。在實踐中,首先做好數據資產梳理、數據分類分級,理清機構現有的數據管控能力,在此基礎上建立未來的整體數據安全規劃,通過建設實施、運營推廣、績效評估、改進優化,最終形成包括管理體系、技術體系和運營體系在內的系統科學的數據安全治理體系。
國網智能電網研究院有限公司數字化所副所長張濤表示,我國正在大力推進新型電力系統的建設,新型電力系統是一個具有海量數據的復雜系統,需要保護的對象包括工業控制終端、融合終端等存在差異,防護手段千差萬別,面臨的數據安全挑戰巨大。電力數據安全治理的目標是促進數據流通共享,從管理措施、技防措施和支撐保障三個維度開展安全建設,同時遵循依法合規、可視可控、智能協調、動態演進四項原則;按照“業務場景全覆蓋、安全管控全流程、人員管控全到位、安全防護全周期,業務過程全監測”的五全思路,針對數據采集、傳輸、存儲、處理、共享、銷毀六個階段采取不同的管控技術,完成治理的實施。
暨南大學網絡空間安全學院副院長裴廷睿表示,當前,教育行業落地數據安全法律法規政策要求不足、數據安全意識有待全面提升、數據安全防護體系不夠完善、安全事件屢有發生。教育行業主管部門、地方主管部門、招考部門、高校和教培機構的系統和數據具有不同的特點,防護的重點也不同。開展數據安全工作應逐步建立完善、細化的適應機構發展的數據安全管理制度和數據分類分級管理機制,并通過相應的數據安全管控體系進行落地。首先進行分類分級標識、定期對數據庫等重要防護對象開展安全風險評估;其次要主動防護、保證底線防守、進行事后審計,對數據運維工作做到有效管控。
天翼安全科技有限公司產品總監張鑫表示,電信領域是業內發布數據安全行業規范標準較早的行業,當前面臨著安全合規、分類分級、防護思路、新型業務、支撐服務五大挑戰。應對這些挑戰,中國電信通過制定行之有效的數據安全制度規范、開展全員數據安全賦能與專業人才培養、建立長期動態的數據安全能力設施開展了積極的實踐。中國電信將不斷強化自身的數據安全治理水平,持續推動數據安全技術創新,建立覆蓋全場景的數據安全能力體系,積極推進數據安全規范標準制定,打造數據安全協同生態,共筑數字化時代的數據安全。
04
體系化建設數據安全 有效提升治理水平
數據安全治理的核心思路是機構組織從戰略層面由上而下達成數據安全目標共識,關注數據全生命周期安全,重視管理與技術措施并舉,并能夠根據安全形勢、技術發展和演進趨勢動態變化,對數據安全體系進行持續優化。數據安全風險評估是《數據安全法》確定的數據安全保障基礎制度之一,也是發現風險、確定分類分級保護要求、落實整改要求、促進數據合規的重要基礎,是數據安全體系化建設的重要一環。
國家計算機網絡應急技術處理協調中心高級工程師林星辰表示,數據的重要性,也就是分類分級,是數據安全風險評估首要關注的重點,評估的目的是為了促進數據的有序安全流動,發現風險,知道風險是什么才可以去制定相應的管控措施,并且分類分級、風險評估的結果一定要和后續的管控策略掛鉤。數據安全體系建設面臨的最大挑戰,歸納起來就是一個關鍵詞,數據素養,亟須全方位提升各行業各領域對數據安全工作的認識。
北京市政務信息安全保障中心高級工程師李媛表示,目前風險評估工作中遇到的最大問題就是對評估對象認識不清,區別于傳統的風險評估,數據安全風險評估的對象是數據及數據處理活動。在政務領域開展數據安全評估工作,首先要幫助被評估單位梳理數據流圖,針對不同的數據處理環節,梳理清楚主要的資產及訪問控制措施,從而形成可視化的動態數據流動路徑;然后基于路徑分析可能面臨的風險和合規問題,這是比較體系化的評估思路。數據安全體系建設的初期,就應考慮建立一種考核、評價、檢查的機制,從外部促進數據安全體系的逐步完善。
國家金融科技測評中心陳聰博士表示,金融數據安全評估要做到向上銜接、向下兼容。與上位法做好銜接,同時要兼容考慮金融機構的性質、業務場景的特性等,結合場景對數據做深入的分析。要想做好數據安全治理工作,建立良好的組織協調機制必須先行,這會使得項目推進更加順暢,也會有更好的起點。
國網智能電網研究院有限公司數字化所副所長張濤表示,風險評估從管理維度上,要關注數據安全規章制度是否健全,數據的研發單位、數據使用、數據運維等職責是否明確;在技術維度,要關注數據流轉過程,關注數據和應用的接口。目前,數據安全技術和業務的融合還存在差距,如何把數據安全新技術新產品與業務場景緊密結合,而不是外掛式的安全,實現保障業務安全穩定運行的同時促進數據流通,這是目前面臨的一大挑戰,也是未來的發展方向。
山東財經大學網絡信息中心主任李德生表示,高校的風險評估工作處于摸索階段。由于高校的數據類別大同小異,建議行業管理部門牽頭成立專門的團隊,真正把高校數據面臨的風險、業務流程梳理清楚,借助國家評估機構的力量提升數據安全評估效率。此外,教育數據安全治理落地較為滯后,數據安全重視程度不足、指導分類分級、風險評估等具體工作的行業標準規范尚未出臺,人才培養短缺,我們呼吁把數據安全體系建設以及評估結果納入高校綜合考核指標里,這將極大促進教育行業數據安全治理工作的落地。
本屆峰會由中國計算機學會計算機安全專業委員會、工業信息安全產業發展聯盟、中國網絡安全產業聯盟數據安全工作委員會、中關村網絡安全與信息化產業聯盟、中國信息產業商會信息安全產業分會、北京工業互聯網技術創新與產業發展聯盟主辦,國家工業信息安全發展研究中心、中國電子技術標準化研究院、中國信息安全測評中心、國家信息技術安全研究中心、中國軟件評測中心支持,北京安華金和科技有限公司、中關村網絡安全與信息化產業聯盟數據安全治理專業委員會承辦,天融信科技集團協辦。
關鍵詞:
營業執照公示信息