李尚號，王 勇

(公安部網(wǎng)絡(luò)安全等級保護評估中心，北京 100142)

0 引言

隨著信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)空間逐步成為人類生產(chǎn)生活的重要場所，數(shù)據(jù)作為人類在網(wǎng)絡(luò)空間中的行動痕跡，蘊含了豐富的信息。數(shù)據(jù)中所承載的價值對于國家穩(wěn)定、社會秩序、個人利益具有重要影響。核心數(shù)據(jù)更是已成為各國的戰(zhàn)略資產(chǎn)。根據(jù)《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示，截至2023年6月，我國網(wǎng)民規(guī)模達10.79億，互聯(lián)網(wǎng)普及率達76.4%。我國人口基數(shù)大、互聯(lián)網(wǎng)普及率高的基本國情勢必會帶來網(wǎng)民數(shù)據(jù)體量大、數(shù)據(jù)安全保護工作難度高等挑戰(zhàn)。

2021年《數(shù)據(jù)安全法》和《個人信息保護法》相繼頒布實施，代表著我國現(xiàn)行數(shù)據(jù)安全頂層法律法規(guī)日趨完善[1]，我國數(shù)據(jù)安全保護工作重心逐步從頂層立法向落地執(zhí)行轉(zhuǎn)移?！稊?shù)據(jù)安全法》規(guī)定信息系統(tǒng)進行數(shù)據(jù)處理活動，首先要遵循網(wǎng)絡(luò)安全等級保護制度，強調(diào)了網(wǎng)絡(luò)安全與數(shù)據(jù)安全的關(guān)聯(lián)關(guān)系和內(nèi)在邏輯。

網(wǎng)絡(luò)安全等級保護制度是中國目前體系最完整、技術(shù)最成熟、接受度和認可度最高、執(zhí)行力度最強、覆蓋范圍最全面的國家網(wǎng)絡(luò)安全基本制度體系，是《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》等國家網(wǎng)絡(luò)安全多項法律明確要求施行的，為保護數(shù)據(jù)和個人信息安全做出了重要貢獻。但是網(wǎng)絡(luò)安全保護制度以系統(tǒng)為定級對象，更加注重系統(tǒng)整體的網(wǎng)絡(luò)運行安全，對于數(shù)據(jù)的關(guān)注相對不足[2]。同時，等級保護中對于數(shù)據(jù)的保護偏向于傳統(tǒng)的靜態(tài)安全，未對于數(shù)據(jù)的全生命周期安全提出有效要求。面對新形勢下數(shù)據(jù)安全發(fā)展的新要求、新挑戰(zhàn)[3]，如何應(yīng)用好網(wǎng)絡(luò)安全等級保護制度對其進行全面保護是當(dāng)前數(shù)據(jù)安全工作的重點。

1 網(wǎng)絡(luò)安全等級保護與數(shù)據(jù)安全現(xiàn)狀

在《網(wǎng)絡(luò)安全法》頒布實施后，為了滿足新形勢下對網(wǎng)絡(luò)安全的要求，網(wǎng)絡(luò)安全等級保護相關(guān)標準也隨之修訂，形成了以《網(wǎng)絡(luò)安全等級保護基本要求》(以下簡稱《基本要求》)[4]和《網(wǎng)絡(luò)安全等級保護測評要求》(以下簡稱《測評要求》)[5]為核心的等保2.0標準體系。《基本要求》對數(shù)據(jù)的完整性、保密性、備份恢復(fù)和個人信息保護等提出了具體要求，《測評要求》則規(guī)定了相關(guān)數(shù)據(jù)保護有效性的檢驗手段。

通過近幾年的實施，等保2.0標準體系在我國網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護工作中發(fā)揮了巨大作用[6-7]，但是隨著數(shù)據(jù)安全保護工作的深入，《基本要求》中的相關(guān)內(nèi)容已無法滿足數(shù)據(jù)采集、傳輸、存儲、處理、交換和銷毀全生命周期的安全要求，迫切需要建立一套完整的數(shù)據(jù)安全保護方案。

為落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》中對數(shù)據(jù)安全的保護要求，延續(xù)并完善網(wǎng)絡(luò)安全等級保護制度，公安行標《網(wǎng)絡(luò)安全等級保護數(shù)據(jù)安全基本要求》《網(wǎng)絡(luò)安全等級保護數(shù)據(jù)安全測評要求》相繼立項，按照數(shù)據(jù)全生命周期規(guī)劃四個等級的安全保護要求和測評要求。等級保護數(shù)據(jù)安全系列標準相互配合，對構(gòu)建等級保護數(shù)據(jù)安全測評體系、掌握我國數(shù)據(jù)安全狀況和防護水平、促進國家數(shù)據(jù)安全保障能力全面提升，具有重大意義。

2 數(shù)據(jù)安全保護工作流程分析

《網(wǎng)絡(luò)安全法》從系統(tǒng)運行安全、網(wǎng)絡(luò)信息安全角度提出了數(shù)據(jù)管理要求，管理對象側(cè)重個人信息和關(guān)鍵信息基礎(chǔ)設(shè)施收集產(chǎn)生的數(shù)據(jù)，管理范圍側(cè)重數(shù)據(jù)采集、存儲等環(huán)節(jié)?！稊?shù)據(jù)安全法》在此基礎(chǔ)上作了進一步擴充，將任何以電子或其他方式記錄的信息，全方面、全流程地納入數(shù)據(jù)安全保護范疇。因此《數(shù)據(jù)安全法》是對《網(wǎng)絡(luò)安全法》的補充和延續(xù)，是網(wǎng)絡(luò)安全保護工作的繼承和發(fā)展。

據(jù)統(tǒng)計，網(wǎng)絡(luò)安全事件中大約有70%的比例是為了獲取或者破壞其中的數(shù)據(jù)。網(wǎng)絡(luò)安全的最終目的是保護數(shù)據(jù)安全，數(shù)據(jù)安全依賴于維護網(wǎng)絡(luò)安全，數(shù)據(jù)安全與網(wǎng)絡(luò)安全是一體兩面、不可分割的，因此網(wǎng)絡(luò)安全保護工作和數(shù)據(jù)安全保護工作具有深度耦合的基礎(chǔ)。

通過上述分析不難看出，數(shù)據(jù)安全保護工作并不是獨立存在的，而是應(yīng)該與網(wǎng)絡(luò)安全等級保護工作緊密結(jié)合、同步開展。網(wǎng)絡(luò)安全等級保護工作包括定級、備案、安全建設(shè)整改、等級測評和安全檢查五個主要環(huán)節(jié)[8]，與此對應(yīng)數(shù)據(jù)安全保護工作也應(yīng)當(dāng)按照定級、備案、安全建設(shè)整改、數(shù)據(jù)安全測評、安全檢查五個階段開展工作。如此不僅可以充分發(fā)揮網(wǎng)絡(luò)安全等級保護制度的經(jīng)驗優(yōu)勢，快速推進數(shù)據(jù)安全保護工作，還能夠最大程度地減輕企業(yè)合規(guī)工作壓力，進而促進等級保護工作的良性循環(huán)。

3 數(shù)據(jù)安全保護工作具體實施

為確保等級保護工作與數(shù)據(jù)安全保護工作能夠緊密結(jié)合、同步開展，本文將按照數(shù)據(jù)安全定級、數(shù)據(jù)安全備案、安全建設(shè)整改、數(shù)據(jù)安全測評、安全檢查五個關(guān)鍵動作，分析數(shù)據(jù)安全保護工作與等級保護工作同步實行的必要性與可行性，并提出具體實施方法。

3.1 數(shù)據(jù)安全定級

數(shù)據(jù)的收集、處理、存儲都依賴于所屬的信息系統(tǒng)，因此數(shù)據(jù)定級工作應(yīng)當(dāng)隨信息系統(tǒng)定級同步開展。與等級保護系統(tǒng)定級類似，確定數(shù)據(jù)等級時應(yīng)考慮數(shù)據(jù)泄露、破壞對公民、法人和其他組織的合法權(quán)益，社會秩序、公共利益，國家安全造成的侵害程度，并將信息系統(tǒng)的數(shù)據(jù)級別作為信息系統(tǒng)保護等級確定的考慮因素。

不同于網(wǎng)絡(luò)安全系統(tǒng)等級的五個等級，數(shù)據(jù)按照其重要程度和影響程度，可分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個等級。不同保護等級的信息系統(tǒng)能夠承載的數(shù)據(jù)級別不同，具體對照如表1所示。

表1 數(shù)據(jù)級別與網(wǎng)絡(luò)安全等級對照表

3.2 數(shù)據(jù)安全備案

數(shù)據(jù)安全備案應(yīng)當(dāng)在等級保護備案制度、標準、流程的基礎(chǔ)上擴充數(shù)據(jù)相關(guān)要求，完善目前現(xiàn)有的等級保護備案平臺，不增加工作流程負擔(dān)，只需增加數(shù)據(jù)基本信息、數(shù)據(jù)處理信息、數(shù)據(jù)安全情況的報送。通過數(shù)據(jù)安全備案使公安機關(guān)摸清定級系統(tǒng)的數(shù)據(jù)保護情況，掌握數(shù)據(jù)種類與量級。

數(shù)據(jù)安全責(zé)任單位依據(jù)相關(guān)標準規(guī)范開展數(shù)據(jù)識別工作，識別運營范圍內(nèi)的數(shù)據(jù)類別、級別和相關(guān)內(nèi)容，識別數(shù)據(jù)后邀請外部專家進行評審，確定最終數(shù)據(jù)識別結(jié)果。數(shù)據(jù)識別完成后，數(shù)據(jù)安全責(zé)任單位通過等級保護備案平臺向公安機關(guān)申報備案，提交備案材料等待公安機關(guān)審核，需要備案的數(shù)據(jù)信息至少應(yīng)包括表2中的內(nèi)容。

表2 數(shù)據(jù)備案信息

公安機關(guān)應(yīng)對數(shù)據(jù)信息和安全情況進行審核，通過審核的應(yīng)當(dāng)將備案結(jié)果與信息系統(tǒng)等級保護備案結(jié)果關(guān)聯(lián)。

3.3 安全建設(shè)整改

網(wǎng)絡(luò)系統(tǒng)在規(guī)劃、建設(shè)階段應(yīng)充分考慮數(shù)據(jù)安全保護需求，在等級保護的基礎(chǔ)上，結(jié)合數(shù)據(jù)全生命周期不同階段的保護需求，設(shè)計數(shù)據(jù)安全保護方案，形成數(shù)據(jù)安全保護策略，構(gòu)建數(shù)據(jù)安全保護體系。

數(shù)據(jù)安全責(zé)任單位應(yīng)依據(jù)評估、檢查發(fā)現(xiàn)的安全問題及風(fēng)險進行數(shù)據(jù)安全建設(shè)整改工作，根據(jù)數(shù)據(jù)安全相關(guān)標準規(guī)范，結(jié)合安全問題及實際情況，對相關(guān)風(fēng)險點進行整改。整改完成后應(yīng)對整改結(jié)果進行自評估，并將安全問題列表、整改方案及實施情況、整改結(jié)果和整改后殘余風(fēng)險的處置情況等報送給公安機關(guān)。

3.4 數(shù)據(jù)安全測評

依托成熟完善的等級保護測評體系，在原有等級保護工作的基礎(chǔ)上增加數(shù)據(jù)安全測評內(nèi)容，開展數(shù)據(jù)安全測評工作。數(shù)據(jù)安全測評工作包括調(diào)研、方案編制、現(xiàn)場測評、分析與報告編制四個階段，四個階段工作可與等級保護測評同步展開，也可根據(jù)需求開展單獨的數(shù)據(jù)安全測評。具體工作內(nèi)容和流程如圖1所示。

圖1 等級保護測評與數(shù)據(jù)安全測評工作流程

(1)調(diào)研階段

在進行等級測評工作的同時，測評機構(gòu)依據(jù)相關(guān)標準規(guī)范對數(shù)據(jù)安全開展測評，通過查閱相關(guān)資料、填寫數(shù)據(jù)調(diào)研表格、現(xiàn)場溝通調(diào)研等方式對信息系統(tǒng)的數(shù)據(jù)基本情況進行調(diào)研，形成數(shù)據(jù)資產(chǎn)調(diào)研表，調(diào)研表中應(yīng)包括以下內(nèi)容：

數(shù)據(jù)基礎(chǔ)信息：數(shù)據(jù)所屬單位信息、數(shù)據(jù)責(zé)任方信息、安全負責(zé)人信息。

數(shù)據(jù)基本信息：數(shù)據(jù)分類分級結(jié)果、量級、類型、范圍、存儲位置及期限、重要程度。

相關(guān)數(shù)據(jù)資產(chǎn)：相關(guān)設(shè)備、數(shù)據(jù)應(yīng)用、管理軟件等信息。

數(shù)據(jù)處理情況：數(shù)據(jù)處理、流動、共享、銷毀等相關(guān)情況。

(2)方案編制階段

測評機構(gòu)根據(jù)數(shù)據(jù)基本情況的調(diào)研結(jié)果，分析承載數(shù)據(jù)對象信息系統(tǒng)的業(yè)務(wù)流程，明確數(shù)據(jù)活動涉及的資產(chǎn)，確定本次測評的數(shù)據(jù)對象范圍，最終形成數(shù)據(jù)安全測評方案，方案中應(yīng)對項目背景、測評對象、選用指標、測評方法、風(fēng)險規(guī)避措施、工作計劃等進行詳細說明。

(3)現(xiàn)場測評階段

測評機構(gòu)依據(jù)相關(guān)標準規(guī)范和測評方案抽選的測評指標對信息系統(tǒng)數(shù)據(jù)的采集、存儲、處理、傳輸、交換、銷毀等活動開展測評，通過現(xiàn)場訪談和核查、結(jié)合工具檢查的方式測評數(shù)據(jù)全生命周期活動中是否存在合規(guī)風(fēng)險、安全風(fēng)險，安全測評內(nèi)容包括但不限于以下：

數(shù)據(jù)活動合規(guī)性：數(shù)據(jù)收集、存儲、處理、傳輸、交換、銷毀等活動是否符合相關(guān)法律法規(guī)要求，是否存在過度收集、數(shù)據(jù)濫用、跨境共享等相關(guān)行為。

數(shù)據(jù)管理活動：核查組織架構(gòu)和數(shù)據(jù)管理人員配置的合理性，數(shù)據(jù)安全管理制度的完備性，數(shù)據(jù)安全管理流程的完整性，個人信息保護管理制度及措施的有效性等。

數(shù)據(jù)技術(shù)措施：數(shù)據(jù)的保密性、完整性、真實性相關(guān)保護措施是否有效，訪問控制及認證措施強度、密碼技術(shù)應(yīng)用是否合理，數(shù)據(jù)活動的審計是否覆蓋全面，數(shù)據(jù)資產(chǎn)識別是否準確完備等。

(4)分析與報告編制階段

測評機構(gòu)依據(jù)相關(guān)標準規(guī)范和現(xiàn)場測評結(jié)果對信息系統(tǒng)現(xiàn)有的數(shù)據(jù)安全措施進行分析，分析存在的安全風(fēng)險并提出整改建議，得出數(shù)據(jù)安全測評結(jié)論，形成數(shù)據(jù)安全測評報告。

3.5 安全檢查

公安機關(guān)依法開展監(jiān)督檢查工作，依據(jù)國家相關(guān)法規(guī)對信息系統(tǒng)數(shù)據(jù)進行分類、分級合規(guī)性檢查，審查這些重要數(shù)據(jù)在采集、存儲、傳輸或使用上的安全性和合規(guī)性。對信息系統(tǒng)中的各類網(wǎng)絡(luò)安全威脅、信息系統(tǒng)脆弱漏洞環(huán)節(jié)等方面進行檢測，評估出業(yè)務(wù)信息系統(tǒng)的數(shù)據(jù)風(fēng)險點和風(fēng)險閾值，控制信息數(shù)據(jù)安全風(fēng)險，消除數(shù)據(jù)安全隱患，實現(xiàn)數(shù)據(jù)安全的可知、可管、可控。

4 結(jié)論

網(wǎng)絡(luò)基礎(chǔ)環(huán)境承載數(shù)據(jù)和個人信息，數(shù)據(jù)和個人信息依托網(wǎng)絡(luò)基礎(chǔ)環(huán)境，維護網(wǎng)絡(luò)安全的目的是保護數(shù)據(jù)和個人信息安全，保護數(shù)據(jù)和個人信息安全有賴于維護網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全與數(shù)據(jù)安全相互依存、密不可分，數(shù)據(jù)安全保護工作與網(wǎng)絡(luò)安全等級保護工作同步開展具有內(nèi)在邏輯與工作基礎(chǔ)，而脫離基礎(chǔ)環(huán)境和信息系統(tǒng)的數(shù)據(jù)安全保護工作將缺乏底層支撐與有力抓手。因此當(dāng)前形勢下，將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全等級保護制度是快速推進我國數(shù)據(jù)安全建設(shè)的有效手段。