查看原文
其他

第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

The following article comes from 隐私护卫队 Author 李玲 尤一炜

4月28日,第十一期的数据保护官(DPO)沙龙迎来技术专场。本期沙龙在中国信息通信研究院举行,主题聚焦“网络与数据安全防护”。


从信息安全的基本概念及理论方法,到网络防护的技术措施和方案,三位主讲嘉宾中国信息通信研究院的专家陈湉、赵相楠和全知科技CEO方兴为沙龙成员们作了详细的介绍。


专家指出,当下数据已成为重要的生产资料,数据因流通而产生价值。企业在进行数据安全风险评估时,应重点考虑数据资产和数据应用场景的问题,通过可接受的成本达到安全的最大化。



数据应用场景是识别安全风险的主线


“攻城狮”眼中,信息安全是什么样的?


“在技术人员看来,没有绝对安全的系统,所有的防护措施都可以被攻破,只是时间成本问题。”中国信息通信研究院安全研究所数据安全研究部副主任陈湉说。


在承认这样的前提下,对组织进行信息安全风险评估则显得尤为重要。陈湉表示,“风险评估的目的是帮助组织发现系统的弱点,所面临的威胁,以及判断到底要采取什么样的安全措施,”


大数据时代,数据即资产。传统的信息安全理论应用于数据安全领域,又表现出哪些不同?


陈湉认为,传统的信息安全风险评估,更多关注的是系统资产的安全,数据安全风险评估更多关注数据资产本身的安全性,呈现出围绕数据资产、强调数据应用场景的特点。


具体而言,数据资产识别是一个“摸清家底”、对数据进行分级分类管理的过程,目的是为了知道组织有哪些数据类型、数据量是多少、数据所在的位置、数据由谁负责管理等。


需要注意的是,数据因流通而创造价值,这意味着数据资产在不断变化,数据在不同信息系统流转过程中,每个应用场景背后数据所处环境会发生变化,潜在的安全和合规风险也在变化。   

   

陈湉指出,数据应用场景是识别数据安全风险的主线。数据的应用场景与数据生命周期息息相关,不仅包括数据收集、传输等过程,还包括数据调取,加工分析、外发等处理活动。


“风险评估的最终目的,是用最为可接受的成本来达到安全的最大化。”陈湉说。


数据已成生产资料,绝对安全将影响效率 


“在绝对安全的环境下,数据将不能被有效使用,此时也无生产效率而言。” 作为网络安全领域的资深从业者,方兴对数据安全有着自己的深刻理解。


在他看来,传统信息安全是站在资产的维度考虑安全问题,因为人们认为计算机系统中最有价值的部分是存储知识、情报的系统,但现在随着人工智能和大数据的发展,数据已然成为基本的生产资料。


方兴说,一旦数据投入生产过程,企业面临的安全风险可能完全不一样。除了从资产角度考虑安全,企业还应从生产、业务、生态等视角顾及安全问题。


他进一步解释,在生产视角下,企业需要考虑资产安全、生产效率、社会影响三个维度,它们之间存在冲突,如果一个维度达到极致,另外两方可能出现问题。


 “生产角度是效率和可控之间的平衡,在保证效率的情况下,企业所制定的最佳安全策略应该是,当出现问题时,能够溯源分析,然后调整、改进、迭代,最后不断演进成最佳的安全体系。”


方兴把数据在各个组织交换传递分为两类,一是逻辑层的数据流动,二是物理层的数据流动。


在他看来,逻辑层的数据流动强调,数据在不同责任主体间或用于不同目的上的流动,比如以数据采集为目的的活动,采集方和被采集方是不同的数据主体。


物理层的数据流动则强调数据的存储方式、访问数据的技术手段等更多偏向技术层面的风险,比如数据访问权限的设置、系统是否存在漏洞等。


“基于数据安全的风险评估,更多的是物理层上的技术评估,但逻辑层会提出策略要求。”方兴表示,在弄清楚哪些应用场景及责任主体之后,就需要考虑合规问题,采取涉敏系统分级等措施。


他还表示,在这样场景中进行风险评估时,首先可以寻找所有的敏感数据暴露面,对此进行脆弱性分析;同时针对数据流向,为每个系统制定不同的访问权限,监测数据是否被异常主体访问,是否存在大量数据流向一个账号等等。此外,还需考察合规和管理的遵从性,确保制定的策略和规定是否落实。


企业数据安全关乎用户隐私


某基础电信企业的个人用户位置信息被窃取,且长期未被发现;某企业的二次短信验证机制存在逻辑绕过的情况,致使用户的敏感通话详单可被浏览;某互联网公司客服查询乘客订单信息的验证机制存在问题,导致相关人员可绕过认证批量任意查询客户的订单信息……


在当天的数据保护官沙龙上,结合具体测评案例,中国信息通信研究院西部分院安全业务部主任赵相楠提到了数据安全与用户个人信息保护的关系。


据赵相楠介绍,在为企业做风险评估时,一般围绕平台安全、主机安全、应用安全、日志安全和接口安全等方面,而实施的方式则包括人员访谈、资料查阅、系统调取和测试评估等。


他表示,人员访谈、资料查阅可生成系统的全景视图,了解业务的基本情况、网络安全防护情况等,实现对资产识别、数据应用场景的分析等。


在此基础上,赵相楠称,下一步则是进行系统调取、测试评估等主动性风险探测。比如,进入企业数据库和业务系统的后台,调取、查看运行结果、系统日志,或者采用人工或自动化测试工具进行技术测试,收集、查看输出的结果等。通过这样的方式,可检测人员访谈、资料调取获得信息的准确性,并且可对整个系统的安全防护能力,或数据安全防护手段的有效性进行验证。


据隐私护卫队了解,始办于去年6月的数据保护官沙龙,目前已举办了十一期。过去一年里,围绕国内外数据立法、网络爬虫、数据融合和隐私条款评审等热点话题,沙龙的学员们展开了研讨。


本期沙龙之所以开设数据安全的技术专场,据主办方介绍,这是为了帮助沙龙成员了解网络安全的基本概念和理论方法,从技术层面理解网络安全与数据安全的关系。




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存