干货 | 清华大学叶晓俊《信息安全技术 大数据服务安全能力要求》国家标准修订思考
干货 | 清华大学叶晓俊《信息安全技术 大数据服务安全能力要求》国家标准修订思考
本文内容整理自《数据安全与数据要素治理研讨会》中,清华大学软件学院教授叶晓俊所做的《信息安全技术 大数据服务安全能力要求》国家标准修订思考的主题演讲。
下面由我向大家介绍由清华大学牵头制定的GB/T 35274-2017 《信息安全技术 大数据服务安全能力要求》国家标准在本次修订过程中我们的一些感想。今天汇报包括以下部分:1)标准修订的背景2)标准修订情况3)标准内容介绍4)标准修订思考5)后续工作安排。
首先回顾该标准修订的背景。2016年全国信息技术安全标准化委员会(简称信安标委)成立大数据安全标准特别工作组,强调产业发展需要标准先行,这是因为2015年9月国务院印发了《促进大数据发展行动纲要》,另外还有一个很重要的但未公开的的是2016年国家主管部门组织了面向网络安全审查的大数据安全自评估。因为这样的产业化需求和国家安全保护目标,国家互联网信息办公室(简称网信办)希望大数据安全特别工作组制定相关的标准。经过信安标委的标准立项申请和大数据安全特别工作组的会议周评审,2016年大数据安全特别工作组有三个标准获得立项。第一个是个人信息安全保护规范,第二个是大数据服务安全能力要求,第三个是大数据安全管理指南。国家标准制修订有一定的周期,一般来说过五年的标准都需要对标准适用性进行评估。因此在2021年年初,我们就启动了这个标准修订立项申请,2021年8月获得信安标委标准修订的立项通过通知。
今天的大会主题很好,因为数据安全和数据要素都是国家和产业界特别关注的。2016年GB/T 35274标准立项时形势并没有现在这么好,因为有关大数据、数据安全、数据处理等相关的术语和定义还很不规范,当时制定该标准的很多法规文件不具备。因此标准制定面临很多挑战。例如当时基本上没有可参照的标准制定资料,缺乏法规来指导标准条款的组织。因此编制组采用的编制原则只能是自主编制,好在国内阿里巴巴、华为、腾讯等等很多这样的国内互联网平台企业在大数据服务方面做得比较好,他们的最佳实践为标准编制提供了素材。第二,国家权威的测评机构在大数据安全评估方面也积累了一些相关数据,例如网信办组织的云安全审查方面做得比较好,安全审查工作参照的《信息安全技术 云计算服务安全能力要求》可指导本标准的编制,包括国内企业广泛认可的ISO/IEC 27001信息安全管理体系,美国NIST SP1500大数据安全互操作系列标准等都可以参照。最后需要指出的是大数据安全特别工作组同步主导编制的我国《大数据安全白皮书》也促进了本标准的编制工作。
GB/T 35274在20116年7月份立项后,经过近一年的努力,2017年6月形成送审稿,并于2017年12月正式颁布。在标准编制过程中,我们邀请了国内所有的从事大数据业务的互联网平台企业,以便把他们的最佳实践总结到本标准中,一方面是为了体现本标准是各企业大数据安全最佳实践的总结,另一方面也是从网络安全审查可操作性角度保障标准内容的实用性,以指导网信办大数据安全评估、数据出境评估等相关的工作,包括从国家层面对国内互联网平台的数据资源进行摸底、对其安全管控措施进行综合评估等要求,同时指导其他大数据服务提供者按照这个数据服务能力建设他们的大数据系统。
以上是关于GB/T 35274标准制定背景和目标。本次修订背景主要是法规依从性和标准的协调性。例如《网络安全审查办法》在我们制定GB/T 35274时还未颁布,在GB/T 35274实施过程中大家可看到网信办不停地在迭代审查办法,先后推出了三个版本。还有与我们标准特别相关的《数据安全法》《个人信息保护法》,包括《网络数据安全管理条例(征求意见稿)》等几个条例近两年也已经颁布。我们以前采用的自底向上、摸着石头过河的GB/T 35274-2017制定方法需要换成为自顶向下的、依照法规要求的方式对本标准进行修订。另外一个修订背景是保证本协调性和一致性。因为在2016年制定本标准过程中,大数据服务所需的底层技术与平台相关的网络安全等级保护系列标准修订还没有完成。近五年,包括云计算服务安全能力要求等标准修订基本完成,还有《信息安全技术 个人信息安全保护规范》相关配套标准都已制定完成,包括近两年信安标委围绕《数据安全法》和《个人信息保护法》启动的如《信息安全技术 网络数据分类分级要求》等。特别提醒下,国家可能将《网络数据分类分级要求》使之成为一个强制国家标准,因此,国家主管部门建议信安标委去掉“网络”二字,标准名称也修改为《信息安全技术 数据分类分级》,这就说明国家很重视数据分类分级方面的工作。
在这样一个背景之下,编制组确定了本标准的修订目标,跟之前2017版定位不同,2017版是面向网络安全审查等工作制定的标准,同时信安标委在2017年也启动了一个面向大数据产业发展的配套标准GB/T 37988 《息安全技术 数据安全能力成熟度模型》制定工作。该能力程度模型是面向组织的,从组织建设、制度流程、技术工具和人员能力四个方面对GB/T 35274的能力要求进行了分级。
国家标准强调标准的协调性,结合数安法、个保法等法规中有关数据安全管理制度、数据安全风险管理等要求,我们这次对标准的结构做了很大的调整,核心内容除了保留原标准中的组织管理安全能力、数据处理活动安全能力,本次标准修订增加了数安法中特别强调数据服务风险安全管理能力要求。因此本次修订主要从大数据服务提供者角度规定其大数据服务安全能力建设要求。
这两张PPT简单介绍了本标准修订的基本过程,目前标准修订工作处于标准应用试点工作阶段。
作为一个国家安全标准,首先要按照标准定位满足主管部门的相关诉求,同时还要得到相关企业和用户的认可。自2021年7月份标准修订立项成功后,编制组按照大数据安全特别工作组标准制修订工作程序,分别在标准会议周对工作草稿、工作组稿、征求意见稿进行介绍,并多次邀请相关专家进行评审。在标准试点应用验证过程中,工信部网络安全局等相关机构都很重视本标准,特别是数据服务风险管理部分,按照相关的法规对标准结构和标准条款补充很多合规性的反馈建议。
关于标准内容,个人理解最核心的是术语选择及其定义,以及该标准与其他标准的关系。2016年制定本标准时,《数据安全法》还未提出,有关数据安全和网络安全关系也不清晰。在2021年《数据安全法》中已明确指出,数据安全应当在网络安全保护制度上再对数据进行安全保护,并给出了数据安全定义和数据处理相关的活动。因此在规范性文件里,本次修订特别强调要把网络等级保护基本要求标准加进去,并添加了面向组织数据安全管理相关的信息安全管理体系要求标准。另外,目前数字经济、大数据环境下的数据概念,包括数据处理概念已不同于传统数据库中的数据和数据处理。因此在规范性文件中我们也补充了《信息技术 术语》标准。增加这三个规范性标准,使得该标准与其他标准协调性更好。
第三章有关术语和定义是标准通用结构。本次修订我们对这部分内容做了较大的调整。因为我们认为术语和定义部分务必要对标准题目做解释。例如在2016年制定本标准时特别强调数据生命周期,但新颁发的《数据安全法》里不怎么提数据生命周期,这是因为数据生命周期一般是针对某个对象、某个组织或某个系统。所以我们删除了数据生命周期术语。另外原标准的数据服务、数据交换、数据共享等都不合适。因此本次修订删除了这些术语。此外,大数据经过多年的发展,业界对大数据平台、大数据应用、大数据系统、大数据服务有了新的认识度,因此我们也与时俱进对这些术语进行了完善。特别要提出来的是,在《数据安全法》和《个人信息保护法》中数据处理有几个核心活动定义并未明晰,因此在本标准中我们明确的补充了数据采集、数据使用、数据加工等术语定义。
对于术语定义不合适的术语,比如大数据系统是否包含它所管理和控制的数据资产?编制组经过多次研讨,认为大数据服务提供者应该有大数据系统,而大数据系统应该包含其服务所需的数据资源,因此在大数据系统定义中隐含了通过数据供应链提供的数据概念。这个PPT是关于新增加的术语定义样例,我们明确定义了数据使用和数据加工,下面的注对其两个术语的外因进行了解释,明确了数据使用和数据加工的不同。有关新加的数据处理活动几个核心概念,在现行相关的国标中我们还没有看到,但在《数据安全法》《个人信息保护法》当中是很重要的概念,所以我们认为有必要定义。欣慰的是在GB/T 35274-2017标准中我们定义的大数据平台、数据供应链被新修订的GB∕T 25069-2022《信息安全技术 术语》采纳,说明我们上一版本制定还是比较成功,因为这些术语在大数据安全特别工作组相关标准中已被大量引用。我们也希望本次修订增加的术语在未来相关标准中被认可。
下面我们介绍下标准内容结构的修订情况。修订前的第四章包括三个子标题:总体要求、标准分级和标准结构。。这次我们去除了前两节内容,对第三部分的标准结构内容进行了完善。
关于标准第五章我们只保留了组织管理相关的核心内容。原标准第五章的标题是基础服务能力要求,本次修订只保留了面向组织管理的策略与规程、组织与人员管理和数据和系统资产管理,将服务规划与管理、数据供应链和合规性管理三部分内容调整到后续章节,只保留跟组织信息安全管理相关的核心内容。
第五章除了标准结构调整以外,里面的标准条款内容也做了较大的修改。例如原标准当中的策略与规程包括五条一般要求和两条增强要求,修订后的策略与规程包括十个条款要求,每个条款里又包含了多个子条款。总的来说策略与规程在修订过程中,主要是围绕《数据安全法》健全全流程数据安全管理制度要求丰富了相关的内容。就本次修订来讲,编制组围绕数据安全相关国家法律法规和管理条例,包括近几年的数据安全事件,尽量的将法规要求的内容体现在条款中,以保证标准内容的合规性和合法性。
第六章内容是关于数据处理活动安全能力。2016年第六章的标题是数据服务安全能力,需要补充说明的是,2016年6月标准立项时第六章标题是数据生命周期安全能力,但在研制过程中认为不同组织、不同的服务其数据生命周期是不一样的,因此在标准中不宜使用数据生命周期。在讨论数据服务安全能力主要包括哪些活动时,发现相关的标准规范对数据生命周期有不同的界定,编制组经过协商认定本标准应包括数据采集、传输、存储、处理、交换以及销毁六个阶段。这六个阶段后来也被信安标委很多相关标准采用。即使如此,我们这次修订还是按照数据安全法等相关的法规,将原有数据处理六个阶段修改为数安法要求的八个数据处理活动,对原标准中的数据服务条款内容进行了重组。
第七章是关于数据服务风险管理安全能力,主要是解决跨数据活动(即数据活动组合)层面,面向组织业务和数据安全运营相关服务风险的管理安全要求。大数据服务过程中各种数据活动的数据操作组合引起数据运营或数据操作等安全风险。本章主要是按照大数据服务中数据业务流转过程和数据处理活动安全能力要求,从风险识别、安全防护、安全监测、安全检查、安全响应和安全恢复六个环节建立数据服务风险管理的安全能力,采取风险应对措施确保大数据系统运营中的数据服务及其数据资产始终处于安全保护状态,以便对跨数据活动或数据在不同IT空间流动的数据安全风险进行管控。
最后想讨论下本标准修订过程中我们的思考。首先是标准评估对象覆盖的范围要清晰。本标准面向有大数据平台、大数据应用和大数据服务所需数据资源的组织。大数据平台不同于数据库管理系统,传统数据库安全主要指保护用户数据的保密性,数据完整性和可用性分别通过数据库事务特性和数据库管理系统的事务日志、数据备份、日志归档等数据冗余或系统冗余实现,但大数据平台安全功能要求还在变化中,这是因为大数据平台底层存储模型还在不断优化中,有关事务特性还未被大多数平台所支持,包括大数据服务能力要素等都未形成共识。因此大数据平台的安全技术能力要求需界定清楚才能在标准条款中中写清楚,目前第六章和第七章要求条款中未能体现这些技术内容。
第二个大的方面是大数据内涵到底是什么?以前我们讲大数据是以4V特征这种外延来定义的,这种4V特征其实是从信息技术角度出发描述的,但要定义大数据安全概念还是不够的,还要从数据价值维度考虑数据语义空间中的安全问题。最后是数据是有生命周期的,需要考虑数据处理不同活动中的各种法律法规的安全要求。因此我们在讨论大数据服务安全能力要求时,需要从传统的信息安全、数据驱动服务引起的功能安全以及大数据系统中个人信息保护三个维度将大数据安全内涵和数据内涵综合考虑去描述相关的能力要求。
总之,对制定一个标准规范来说,首先要把评估对象及相关的术语概念搞清楚,相关标准及其关系定位好才能有效的组织标准内容。标准是最佳实践的总结,因此需要广泛的进行交流,邀请相关的专家进行评审。目前本标准已进入送审稿完善阶段,后面编制组将结合本次试点工作的反馈对标准条款进行完善,编制组也希望通过本次修改,为我国数据安全法、个人信息保护法落地做一些力所能及的工作。正像我们前期通过GB/T 37988-2019制定和实施促进组织数据安全管理能力的提升,未来我们也想通过对GB/T 37988标准的修订促进组织数据要素治理,确保组织数据安全管理的合法性和合规性。数据要素治理和数据安全标准化工作一直在路上,我们会继续努力共同产业我国大数据产业的发展,促进大数据安全技术进步。以上是我的个人汇报,谢谢大家。
