本文内容整理自《資料安全與資料要素治理研讨會》中,清華大學軟體學院教授葉曉俊所做的《資訊安全技術 大資料服務安全能力要求》國家标準修訂思考的主題演講。
下面由我向大家介紹由清華大學牽頭制定的GB/T 35274-2017 《資訊安全技術 大資料服務安全能力要求》國家标準在本次修訂過程中我們的一些感想。今天彙報包括以下部分:1)标準修訂的背景2)标準修訂情況3)标準内容介紹4)标準修訂思考5)後續工作安排。
首先回顧該标準修訂的背景。2016年全國資訊技術安全标準化委員會(簡稱信安标委)成立大資料安全标準特别工作組,強調産業發展需要标準先行,這是因為2015年9月國務院印發了《促進大資料發展行動綱要》,另外還有一個很重要的但未公開的的是2016年國家主管部門組織了面向網絡安全審查的大資料安全自評估。因為這樣的産業化需求和國家安全保護目标,國家網際網路資訊辦公室(簡稱網信辦)希望大資料安全特别工作組制定相關的标準。經過信安标委的标準立項申請和大資料安全特别工作組的會議周評審,2016年大資料安全特别工作組有三個标準獲得立項。第一個是個人資訊安全保護規範,第二個是大資料服務安全能力要求,第三個是大資料安全管理指南。國家标準制修訂有一定的周期,一般來說過五年的标準都需要對标準适用性進行評估。是以在2021年年初,我們就啟動了這個标準修訂立項申請,2021年8月獲得信安标委标準修訂的立項通過通知。
今天的大會主題很好,因為資料安全和資料要素都是國家和産業界特别關注的。2016年GB/T 35274标準立項時形勢并沒有現在這麼好,因為有關大資料、資料安全、資料處理等相關的術語和定義還很不規範,當時制定該标準的很多法規檔案不具備。是以标準制定面臨很多挑戰。例如當時基本上沒有可參照的标準制定資料,缺乏法規來指導标準條款的組織。是以編制組采用的編制原則隻能是自主編制,好在國内阿裡巴巴、華為、騰訊等等很多這樣的國内網際網路平台企業在大資料服務方面做得比較好,他們的最佳實踐為标準編制提供了素材。第二,國家權威的測評機構在大資料安全評估方面也積累了一些相關資料,例如網信辦組織的雲安全審查方面做得比較好,安全審查工作參照的《資訊安全技術 雲計算服務安全能力要求》可指導本标準的編制,包括國内企業廣泛認可的ISO/IEC 27001資訊安全管理體系,美國NIST SP1500大資料安全互操作系列标準等都可以參照。最後需要指出的是大資料安全特别工作組同步主導編制的我國《大資料安全白皮書》也促進了本标準的編制工作。
GB/T 35274在20116年7月份立項後,經過近一年的努力,2017年6月形成送審稿,并于2017年12月正式頒布。在标準編制過程中,我們邀請了國内所有的從事大資料業務的網際網路平台企業,以便把他們的最佳實踐總結到本标準中,一方面是為了展現本标準是各企業大資料安全最佳實踐的總結,另一方面也是從網絡安全審查可操作性角度保障标準内容的實用性,以指導網信辦大資料安全評估、資料出境評估等相關的工作,包括從國家層面對國内網際網路平台的資料資源進行摸底、對其安全管控措施進行綜合評估等要求,同時指導其他大資料服務提供者按照這個資料服務能力建設他們的大資料系統。
以上是關于GB/T 35274标準制定背景和目标。本次修訂背景主要是法規依從性和标準的協調性。例如《網絡安全審查辦法》在我們制定GB/T 35274時還未頒布,在GB/T 35274實施過程中大家可看到網信辦不停地在疊代審查辦法,先後推出了三個版本。還有與我們标準特别相關的《資料安全法》《個人資訊保護法》,包括《網絡資料安全管理條例(征求意見稿)》等幾個條例近兩年也已經頒布。我們以前采用的自底向上、摸着石頭過河的GB/T 35274-2017制定方法需要換成為自頂向下的、依照法規要求的方式對本标準進行修訂。另外一個修訂背景是保證本協調性和一緻性。因為在2016年制定本标準過程中,大資料服務所需的底層技術與平台相關的網絡安全等級保護系列标準修訂還沒有完成。近五年,包括雲計算服務安全能力要求等标準修訂基本完成,還有《資訊安全技術 個人資訊安全保護規範》相關配套标準都已制定完成,包括近兩年信安标委圍繞《資料安全法》和《個人資訊保護法》啟動的如《資訊安全技術 網絡資料分類分級要求》等。特别提醒下,國家可能将《網絡資料分類分級要求》使之成為一個強制國家标準,是以,國家主管部門建議信安标委去掉“網絡”二字,标準名稱也修改為《資訊安全技術 資料分類分級》,這就說明國家很重視資料分類分級方面的工作。
在這樣一個背景之下,編制組确定了本标準的修訂目标,跟之前2017版定位不同,2017版是面向網絡安全審查等工作制定的标準,同時信安标委在2017年也啟動了一個面向大資料産業發展的配套标準GB/T 37988 《息安全技術 資料安全能力成熟度模型》制定工作。該能力程度模型是面向組織的,從組織建設、制度流程、技術工具和人員能力四個方面對GB/T 35274的能力要求進行了分級。
國家标準強調标準的協調性,結合數安法、個保法等法規中有關資料安全管理制度、資料安全風險管理等要求,我們這次對标準的結構做了很大的調整,核心内容除了保留原标準中的組織管理安全能力、資料處理活動安全能力,本次标準修訂增加了數安法中特别強調資料服務風險安全管理能力要求。是以本次修訂主要從大資料服務提供者角度規定其大資料服務安全能力建設要求。
這兩張PPT簡單介紹了本标準修訂的基本過程,目前标準修訂工作處于标準應用試點工作階段。
作為一個國家安全标準,首先要按照标準定位滿足主管部門的相關訴求,同時還要得到相關企業和使用者的認可。自2021年7月份标準修訂立項成功後,編制組按照大資料安全特别工作組标準制修訂工作程式,分别在标準會議周對工作草稿、工作組稿、征求意見稿進行介紹,并多次邀請相關專家進行評審。在标準試點應用驗證過程中,工信部網絡安全局等相關機構都很重視本标準,特别是資料服務風險管理部分,按照相關的法規對标準結構和标準條款補充很多合規性的回報建議。
關于标準内容,個人了解最核心的是術語選擇及其定義,以及該标準與其他标準的關系。2016年制定本标準時,《資料安全法》還未提出,有關資料安全和網絡安全關系也不清晰。在2021年《資料安全法》中已明确指出,資料安全應當在網絡安全保護制度上再對資料進行安全保護,并給出了資料安全定義和資料處理相關的活動。是以在規範性檔案裡,本次修訂特别強調要把網絡等級保護基本要求标準加進去,并添加了面向組織資料安全管理相關的資訊安全管理體系要求标準。另外,目前數字經濟、大資料環境下的資料概念,包括資料處理概念已不同于傳統資料庫中的資料和資料處理。是以在規範性檔案中我們也補充了《資訊技術 術語》标準。增加這三個規範性标準,使得該标準與其他标準協調性更好。
第三章有關術語和定義是标準通用結構。本次修訂我們對這部分内容做了較大的調整。因為我們認為術語和定義部分務必要對标準題目做解釋。例如在2016年制定本标準時特别強調資料生命周期,但新頒發的《資料安全法》裡不怎麼提資料生命周期,這是因為資料生命周期一般是針對某個對象、某個組織或某個系統。是以我們删除了資料生命周期術語。另外原标準的資料服務、資料交換、資料共享等都不合适。是以本次修訂删除了這些術語。此外,大資料經過多年的發展,業界對大資料平台、大資料應用、大資料系統、大資料服務有了新的認識度,是以我們也與時俱進對這些術語進行了完善。特别要提出來的是,在《資料安全法》和《個人資訊保護法》中資料處理有幾個核心活動定義并未明晰,是以在本标準中我們明确的補充了資料采集、資料使用、資料加工等術語定義。
對于術語定義不合适的術語,比如大資料系統是否包含它所管理和控制的資料資産?編制組經過多次研讨,認為大資料服務提供者應該有大資料系統,而大資料系統應該包含其服務所需的資料資源,是以在大資料系統定義中隐含了通過資料供應鍊提供的資料概念。這個PPT是關于新增加的術語定義樣例,我們明确定義了資料使用和資料加工,下面的注對其兩個術語的外因進行了解釋,明确了資料使用和資料加工的不同。有關新加的資料處理活動幾個核心概念,在現行相關的國标中我們還沒有看到,但在《資料安全法》《個人資訊保護法》當中是很重要的概念,是以我們認為有必要定義。欣慰的是在GB/T 35274-2017标準中我們定義的大資料平台、資料供應鍊被新修訂的GB∕T 25069-2022《資訊安全技術 術語》采納,說明我們上一版本制定還是比較成功,因為這些術語在大資料安全特别工作組相關标準中已被大量引用。我們也希望本次修訂增加的術語在未來相關标準中被認可。
下面我們介紹下标準内容結構的修訂情況。修訂前的第四章包括三個子标題:總體要求、标準分級和标準結構。。這次我們去除了前兩節内容,對第三部分的标準結構内容進行了完善。
關于标準第五章我們隻保留了組織管理相關的核心内容。原标準第五章的标題是基礎服務能力要求,本次修訂隻保留了面向組織管理的政策與規程、組織與人員管理和資料和系統資産管理,将服務規劃與管理、資料供應鍊和合規性管理三部分内容調整到後續章節,隻保留跟組織資訊安全管理相關的核心内容。
第五章除了标準結構調整以外,裡面的标準條款内容也做了較大的修改。例如原标準當中的政策與規程包括五條一般要求和兩條增強要求,修訂後的政策與規程包括十個條款要求,每個條款裡又包含了多個子條款。總的來說政策與規程在修訂過程中,主要是圍繞《資料安全法》健全全流程資料安全管理制度要求豐富了相關的内容。就本次修訂來講,編制組圍繞資料安全相關國家法律法規和管理條例,包括近幾年的資料安全事件,盡量的将法規要求的内容展現在條款中,以保證标準内容的合規性和合法性。
第六章内容是關于資料處理活動安全能力。2016年第六章的标題是資料服務安全能力,需要補充說明的是,2016年6月标準立項時第六章标題是資料生命周期安全能力,但在研制過程中認為不同組織、不同的服務其資料生命周期是不一樣的,是以在标準中不宜使用資料生命周期。在讨論資料服務安全能力主要包括哪些活動時,發現相關的标準規範對資料生命周期有不同的界定,編制組經過協商認定本标準應包括資料采集、傳輸、存儲、處理、交換以及銷毀六個階段。這六個階段後來也被信安标委很多相關标準采用。即使如此,我們這次修訂還是按照資料安全法等相關的法規,将原有資料處理六個階段修改為數安法要求的八個資料處理活動,對原标準中的資料服務條款内容進行了重組。
第七章是關于資料服務風險管理安全能力,主要是解決跨資料活動(即資料活動組合)層面,面向組織業務和資料安全營運相關服務風險的管理安全要求。大資料服務過程中各種資料活動的資料操作組合引起資料營運或資料操作等安全風險。本章主要是按照大資料服務中資料業務流轉過程和資料處理活動安全能力要求,從風險識别、安全防護、安全監測、安全檢查、安全響應和安全恢複六個環節建立資料服務風險管理的安全能力,采取風險應對措施確定大資料系統營運中的資料服務及其資料資産始終處于安全保護狀态,以便對跨資料活動或資料在不同IT空間流動的資料安全風險進行管控。
最後想讨論下本标準修訂過程中我們的思考。首先是标準評估對象覆寫的範圍要清晰。本标準面向有大資料平台、大資料應用和大資料服務所需資料資源的組織。大資料平台不同于資料庫管理系統,傳統資料庫安全主要指保護使用者資料的保密性,資料完整性和可用性分别通過資料庫事務特性和資料庫管理系統的事務日志、資料備份、日志歸檔等資料備援或系統備援實作,但大資料平台安全功能要求還在變化中,這是因為大資料平台底層存儲模型還在不斷優化中,有關事務特性還未被大多數平台所支援,包括大資料服務能力要素等都未形成共識。是以大資料平台的安全技術能力要求需界定清楚才能在标準條款中中寫清楚,目前第六章和第七章要求條款中未能展現這些技術内容。
第二個大的方面是大資料内涵到底是什麼?以前我們講大資料是以4V特征這種外延來定義的,這種4V特征其實是從資訊技術角度出發描述的,但要定義大資料安全概念還是不夠的,還要從資料價值次元考慮資料語義空間中的安全問題。最後是資料是有生命周期的,需要考慮資料處理不同活動中的各種法律法規的安全要求。是以我們在讨論大資料服務安全能力要求時,需要從傳統的資訊安全、資料驅動服務引起的功能安全以及大資料系統中個人資訊保護三個次元将大資料安全内涵和資料内涵綜合考慮去描述相關的能力要求。
總之,對制定一個标準規範來說,首先要把評估對象及相關的術語概念搞清楚,相關标準及其關系定位好才能有效的組織标準内容。标準是最佳實踐的總結,是以需要廣泛的進行交流,邀請相關的專家進行評審。目前本标準已進入送審稿完善階段,後面編制組将結合本次試點工作的回報對标準條款進行完善,編制組也希望通過本次修改,為我國資料安全法、個人資訊保護法落地做一些力所能及的工作。正像我們前期通過GB/T 37988-2019制定和實施促進組織資料安全管理能力的提升,未來我們也想通過對GB/T 37988标準的修訂促進組織資料要素治理,確定組織資料安全管理的合法性和合規性。資料要素治理和資料安全标準化工作一直在路上,我們會繼續努力共同産業我國大資料産業的發展,促進大資料安全技術進步。以上是我的個人彙報,謝謝大家。