数字经济时代,数据安全成为网络空间安全领域最受关注的热点问题。无论从法律要求、企业保护自身利益,还是对自己客户负责的角度说,一个组织构建自身的数据安全能力,成为极为紧迫的需求。但是,企业在建设自身数据安全能力时,离不开数据安全专业人员能力建设。企业数据安全人员能力不等同于传统网络系统安全人员的能力。过去几年,对很多企业数据安全能力的测评或咨询结果显示,缺乏数据安全专业人员是企业数据安全能力不足的关键短板之一。因此,企业或者任何组织需要怎样的数据安全人员能力,是一个需要引起足够重视的问题。

一、企业面临的数据安全问题十分复杂

数据正成为所有行业和企业不可或缺的生产资料。如今,数据的存在形式和使用方式都和过去有极大不同,数据不再仅仅是一个文件或者数据库里的完整记录,而是形式多样、非常碎片化并且在复杂的业务合作链条中快速流动。因此,今天的数据安全概念与过去有本质的不同。这种不同至少体现在以下几个方面:

一是业务环节复杂,应用多变。一架飞机或者一部手机的制造,以及一个软件系统的编写,都会用到各种元器件或者程序模块,人们已经意识到,存在日益严重的供应链安全问题。但是,人们对数据使用链的安全挑战了解还不多。如今,在网络上购买一件商品,数据需要流经商家、独立软件供应商、物流供应商(可能是多个)、支付支持方和平台服务方等环节,才能确保完成这个任务。这个“数据链”上的每个环节都可能出现数据安全问题,从而影响自己的客户、业务或者带来说不清的法律责任。同时,业务本身的各种活动、业务模式调整、支持业务的应用更新等的频率,都远超传统模式,会不断带来新问题,需要快速调整适应。

二是数据存储使用环境复杂。需要保护的数据,从采集或者产生,到中间的存储、使用以及最后的删除或销毁,涉及各种终端设备、在线业务系统和数据库、离线数据库和存储等不同的设备和网络环境,以及不同用户和权限管理等。

三是黑灰产对抗无孔不入。数据同样也日益成为黑灰产的生产资料,成为被窃取的目标。黑灰产的产业链日益完整,黑客攻击技术手段、大范围社会协作、收买内部人员甚至直接派遣卧底应聘等方式,无孔不入地窃取数据。

四是面对的法律要求复杂。很多国家相互效仿,不断出台与数据相关的各种法律政策。与此同时,对数据安全究竟该如何管理、如何与数字经济发展实现平衡等问题,全球处于摸索的混沌状态,法律政策也在不断调整中。

显然,企业的数据安全工作需要面对上述问题,对数据安全的专门人员能力要求也比较复杂,包括对业务以及数据流动的深度理解,数据防泄露、打标脱敏、数据管理、数据库审计及各种保护隐私相关技术,传统攻防技术,以及业务所在地或所服务的用户牵涉的法律合规等。

二、企业数据安全岗位人员能力要求

因为数据并不会仅仅存留在某个应用软件、某个设备或者某个数据库中,传统的以系统为中心的安全思路并不能满足企业的数据安全需求,而是必须转到“以数据为中心的安全”上来,即要对一个组织掌握的数据全面负责,无论这些数据是从哪些应用、设备、系统、业务中产生、存储或处理,或者涉及哪些不同的业务及人员。一种可能的办法是按照数据在组织内的生命周期进行梳理,实际上,这会涉及多个部门、多个岗位人员的支撑及互相配合。

参考数据安全能力成熟度模型(DSMM)标准的描述,组织内的相关岗位大概涉及数据管理岗、开发岗、信息安全岗、合规岗、人力资源岗、运维岗、审计岗及其他数据安全岗位等。这些岗位的数据安全相关能力要求,根据不同的数据生命周期阶段的安全需求,对可涉及岗位的数据安全能力要求有所不同,大致描述如下。

需要说明的是,DSMM本身按照能力成熟度分层,这里主要描述的是3级要求,而当前能达到DSMM 3级的组织其实还很少。

三、企业需要有数据安全官

可以看出,一个组织全面的数据安全人员能力要求是很复杂的,涉及很多方面。要想建设相对完善的数据安全能力,任何组织都需要一个抓总的数据安全岗位,可以称之为“数据安全官”。数据安全官负责整体统筹规划数据安全战略目标,实施策略,协调各部门共同协作进行体系化建设。原则上,任何一个企业或者机构组织,都需要有这样的岗位。

欧盟《通用数据保护条例》(GDPR)要求企业设置数据保护官(DPO),但是,DPO更偏向于高级咨询者和合规监督者,负责合规、监督、外部合作,提供数据相关处理建议、风险分析和解决建议等。

本文建议的数据安全官则更偏向于数据风险的治理者,除了负责合规监督外,还要根据一个组织的数据安全需求切实落地和提升数据安全能力建设,控制数据安全风险,因此,需要完成合规、内部协调和外部合作、数据安全战略统筹规划和方案设计与落地、数据安全能力建设和风险控制等,以提升组织的数据安全整体能力,并以达到最终保障数据安全效果为最终目标。中国是互联网业务形态最丰富的国家,也是数据安全面临的挑战最复杂的国家,因此,最有机会拿出最好的数据安全治理经验。数据安全官将是非常广泛的数据安全人才需求。

(本文刊登于《中国信息安全》杂志2019年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。