关注ITValue，查看企业级市场最新鲜、最具价值的报道！

2017年6月1日，《网络安全法》正式开始实施。作为我国第一部全面规范网络空间安全管理问题的基础性法律，网安法不仅对网络行为明确了规范和法律责任，同时还对于如何建设网络安全提供了指引。尽管安全法的各种规范和要求，其实已经长期存在于各行业的行业标准和主管部门对社会网络行为的指引中，但对于企业安全部门甚至CIO来讲，网络安全的现实还是让其显得猝不及防。

如何相应《网络安全法》的要求，并逐步落实企业信息安全，在企业转型甚至逐渐云化的过程中，仍是企业面临的头等大事。为此，我们特意邀请阿里巴巴集团个人信息保护官、数据安全总监以及数据大学校长郑斌（花名：天明）分享了《网络安全法》对企业以及CIO来说，有哪些不得不关注的条款，以及CIO该如何应对才能保身。

阿里巴巴集团个人信息保护官/数据安全总监/数据大学校长，主导了国际、ISO标准《数据安全能力成熟度模型》（DSMM）的建设和产业落地。

以下为天明在ITValue微信群公开课【深V课堂】上的分享内容，经ITValue编辑整理：

今晚的分享主要有三个部分：

• 1.  《网络安全法》中对于数据的政策定位。

• 2.  《网络安全法》中有关的规定，尤其是涉及企业CIO相关的规定。

• 3.  结合阿里的实践，重点谈一下经过我们多年实践总结出来的《数据安全能力成熟度模型》（DSMM）方法论。

 

在科技发展大趋势下，我国已经将大数据作为国家基础性战略资源。在《网络安全法》第25条特别提到：国家建设网络与信息安全保障体系，提升网络与信息安全保护，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术，关键基础设施和重要领域信息系统及数据的安全可控。

这里特别提到对于关键基础设施和重要领域信息系统的数据安全可控的重要举措。《网络安全法》正是承载着国家对于数据的定义，数据是基础性战略资源，来要求所有从事互联网服务的企业，要遵从《网络安全法》。

数据安全意识与CIO互联

 

《网络安全法》里面主要有三个部分涉及到网络安全相关规范与责任：

• 1.  应用型的安全。

• 2.  信息内容的安全。

• 3.  数据的安全。

 

应用型的安全就是要确保系统是稳定、持续地提供服务，不能出现例如“今天开了一个网站骗了用户的钱财，卷了钱就走了这样的现象”，这肯定不行。

 

信息内容的安全就是不能出现各种反动、涉政、涉恐、涉暴、涉黄等这样的一些言论，主要涉及一些视频网站、音乐网站、社区、聊天工具等。

 

数据安全是非常重要的一点，国家对于数据的定位是基础性的战略资源。所以，我们在解读《网络安全法》里面要重点解读跟数据安全有关的条款。

 

在数据安全相关的条款里面，主要分为三个层次，从底往上依次是最基础的数据安全要得到保障、公众的个人信息保护（公众公民的个人利益，在信息权力上要得到保护）、国家层面的数据安全与保护。

 

首先，基础数据安全得到保障，所有的企业都要做到。

 

《网络安全法》第10条：维护网络数据的完整性、保密性和可用性。第21条：防止网络数据泄漏或者是被窃取、篡改。第27条：不得提供专门用于窃取网络数据等危害网络安全活动的程序、工具。第31条：一旦遭到破坏、丧失功能或者是数据泄漏，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。

 

这四条特别提到我们对于数据的安全要做到保障。

 

其次，个人信息保护相关方面。

《网络安全法》第40条到第44条，主要提到了在搜集、使用用户的权力，以及在销毁或者是违约的情况下，企业要尽到的一些责任。如：

 

• 第40条：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

• 第41条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

   网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。 

• 第42条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

 

• 第43条：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

• 第44条：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

 

最后，是国家层面的数据安全保护方面。

 

《网络安全法》第37条提到：关键信息基础设施运营的在中华人民共和国境内运营和产生的个人信息和重要数据，应当在境内存储。第51条强调：国家网信部门的责任，主要是网信办或者是各个地方的网信办。第52条是对于关键信息基础设施的要求。

 

在最底层（基础层）数据安全强调的是保密、完整和可用；在个人层面的信息保护，首先要做到数据的安全，然后要做到个人的信息控制权力，以及网络运营等相关尊重个人控制权力的义务。在国家数据安全层面同样要做到数据的安全，同时是重要数据的支配权，以及防止重要数据遭到二次使用，导致国家安全的危险。

 

这是数据安全在三个层次上的主要意识。而最底层说的是保密、完整和可用，这是获取信息安全的方面，是属于数据安全的子集，现代的数据安全应该是包含这三个层面。

 

我们重点强调个人信息层面和国家层面的数据安全意识。

 

第一，在个人信息层面的关注点特别提到的是与个人相关数据的权力，一共有七个环节，搜集个人信息的时候要授权同意。在处理、保存、删除、更正，以及在安全事件和使用方面，都特别赋予了个人对其个人信息非常强的控制权。

 

对于企业来讲，我们对于个人信息的保护原则主要是：

• 1.  以权力上的保障，采集用户或者是搜集用户的信息，要是非常明确的目的，叫目的明确原则。同时我们要给用户选择权，所以是选择同意的原则。

• 2.  遵守最少雇佣的原则。

• 3.  公开透明原则。

• 4.  个人信息保护主体参与的原则。所谓的参与就是有电话投诉或者是邮件、反馈渠道的参与。

 

同时，作为企业对于个人信息保护方面要尽到的安全义务，主要是刚才的三个性：保密性、完整性、可用性。

 

保密性是我们要确保这些数据不会随意泄漏。完整性是确保用户的数据在这里是完整的，不能有丢失，尤其是跟金钱相关的，账和钱财丢失了是要负责任的。可用性即确保系统能够稳定持续地提供服务。

 

第二，在国家层面的数据安全规范以及关注点，主要是对于重要数据的跨境流动的安全评估。重要数据的流动是要受到监管的。重要数据是什么呢？重点是指：与国家的安全、经济的发展以及社会公共利益密切相关的数据。

 

例如在企业我们也是会把企业内部的数据分成个人的数据（客户数据）、企业数据、业务数据、国家的数据，各大企业甚至央企的数据分类会多一点，还有特别管制的行业会多一些。

 

但是这种分类可能要做一些适当的调整，因为在过去国家的数据相对分类比较清晰，但在大数据的时代下，很多的数据搜集其实已经在国家政府的主管部门之外，而且很多企业掌握了独特的数据资源，这些数据资源也影响到了国家和公众利益的可能性。

 

所有的这些数据具备了双重属性，一方面是企业内部的个人数据或者是企业数据、业务数据，一方面同时也具备了国家数据的属性，这也是特别提醒各位CIO要特别注意的，在我们企业内部一定要把这一部分的数据区分出来，否则凡是涉及到国家的数据，我们一旦没有保护好的话，得到的惩罚甚至处罚是非常厉害的。

 

国内数据跨境传输或者是跨境的评估办法正在制定当中，大概的流程主要是由企业提供数据出境的申请，由网信部门指派相应的部门来进行评估，评估合适、风险可控就可以允许出镜，经过评估不合适，会禁止出境。

 

评估的标准主要包括个人信息是否是会侵害到我国公民的利益，同时也会看这个数据是否会侵害到社会的利益。很重要的一点，当企业数据的量大到一定的程度，能够反映中国大陆的一些经济运行的情况或者是社会治安、社会公共利益等相关的信息，是严禁出境的。

 

总结一下，国家在信息安全保护上相关的标准主要是两个部分：

 

第一是国家主权控制权。控制权的问题强调的是对个人信息保护的控制权，国家要对中华人民共和国境内的公民在个人信息的权力上起到保护的义务，也有三个标准：

 

• 1.  《个人信息安全规范》。这个已经报批了，很快就要发布。

• 2.  《个人信息安全影响评估指南》。这是便于指导企业做个人信息安全的影响评估的方法论。

• 3.  《个人信息标识化指南》。

 

第二是安全。安全类别有五个：

 

• 1.  大数据服务安全的要求，凡是提供大数据服务的平台、系统、产品，有一个安全的要求。

• 2.  《数据安全能力成熟度模型》，叫DSMM。

• 3.  数据交易服务安全要求，这个主要是覆盖数据交易、共享方面的安全要求。

• 4.  《大数据安全的管理指南》。

• 5.  《数据出境的安全评估指南》，就是刚才提到的数据出境安全评估的一整套流程。

《数据安全能力成熟度模型》，即DSMM

 

在国家提出既要保障数据的安全，又要促进大数据的发展，即国家提出“十三五”《大数据发展行动纲要》之际，促发展，保安全，并结合产业的需求，我们提出《数据安全能力成熟度模型》。

 

我们发现数据的流动和共享是一个好事情，它促进了信息的打通，也促成了分享的经济模式（包含一些新的商业模式），大数据的安全就成了新商业模式通道的一环。如果这些分享过程不安全、分享的模式不安全，那么新的商业模式就是不牢靠的。

 

因此，我们有这样一个结论：大数据环境下的数据安全是整个新的数字经济时代非常核心的一环。

 

同时我们认为大数据环境下的数据安全包含五大特点：

 

• 1.  由过去数据的保密工作属性变成了大数据经济秩序的保障，不再是一个简单的技术事情。

• 2.  从过去系统的防控聚焦到数据内容本身的防控。

• 3.  更加适应大数据技术的特点，灵活、实时地处理。

• 4.  从一个单一的组织安全保障变成了跨组织的安全联动保障，因为数据在流动，而且是跨组织地在流动，必须联动来保障。

• 5.  从过去技术的风险和操作风险的属性变成了更加综合，新增加了商业风险和法律风险这样的视角。

 

所以，大数据环境下的数据安全要更加综合，不是单一的视角，也不再是单纯的技术上的视角。我们提出来了以数据为中心的安全观，要全面的数据安全视角，主要是聚焦在数据层面，同时要聚焦在一家企业数据的合作伙伴这里。

 

首先，在聚焦数据上面主要是4个W：

• 1.  where，数据是在哪里的。

• 2.  what，我的数据是怎样的，每个数据都是什么含义，我都有哪些种类的数据，这些数据的安全等级是怎么样的，是否是和国家的机密相关的，是否是和个人信息相关的。

• 3.  who，谁在用数据，我们必须清楚地知道谁在用数据，要求我们要有清楚的数据负责人，能够追溯数据是谁在用的。

• 4.  why，为什么要用数据，因为只有明确的why，才能判定数据是否是合规的。

其次，数据的合作伙伴主要是几种角色：

 

一是数据的生产者。在公司内部的各条业务线产生数据的，我们叫业务的生产者。二是数据的提供者。三是跟你合作生产数据的伙伴。四是数据的管理者和控制者。五是数据的加工者和消费者。这些都是我们需要去关注的。

 

我们看到在不同的角色里面对安全的诉求是不一样的，对于数据使用方（消费者）来讲，他关心的是数据的来源必须是合法的，不能是黑市上采购的，不能是非法采集的。数据的来源如果是跨境的，是否符合数据来源国的规定？不能把违规、违法的风险转嫁到自身的头上，这是消费者关注的诉求。

 

同样在数据的提供方以及数据的解决方案或者是创新这几种角色方面，关注的是在提供数据服务的过程中，数据的应用应该是安全的，数据的传输要是安全的，数据的存储要是安全的。

 

在数据的生产者方面，就是制造数据的一方或者是有原始数据的人，关注的是我的数据权力是否得到了保障，数据是不是该销毁了？数据在共享的过程当中，我怎么样保证可控，以及我的数据是否有明确的或者是符合《网络安全法》规定的原则下的一些分级、分类的管理。

 

所有这些角色都有共同的安全诉求就是个人信息的保护。

 

阿里巴巴看到了各方的诉求，同时也结合了自身的实践，我们提炼了这样一个模型，叫《数据安全能力成熟度模型》，简称DSMM，叫Data Security Maturity Model。它是用来针对组织在信息安全领域一个能力的评估标准。

 

对于评估的级别划分为五级，最低档次是一级，最高是五级。三级属于安全可控的程度；一级是完全零散的，没有正式执行；二级是开始有意识要做，而且也有一些逐步的体系在做；三级是在二级搭的体系之上有一个全面完善的管控体系，以及安全的体系；四级是不但有这些体系，还能够去衡量在这个体系下每个模块所带来风控的效果。

 

既然叫《数据安全能力成熟度模型》，它的能力体现在四个方面：第一组织上的建设；第二人员上的能力；第三制度流程；第四技术工具。

 

同时我们认为一个组织要在数据安全能力上做评估，需要从四个角度来看，一是组织上有没有重构的保障；二是组织的设计是否是合理的，是否有足够资质的人员来参与；三是流程和制度是否完善；四是技术和工具是否是犀利、可靠。

 

这些评价是围绕着数据的生命周期来展开，分别是数据的产生、存储、使用、传输、共享和销毁。一共是34个过程，在每个阶段下还有再往下的安全过程，是六大生命阶段，每个阶段都有安全要求。

 

截止目前这个模型在标准层面来看，既是行业标准，也是国家标准和国际标准同时推进。

 

作为国家标准，9月份已经由国家信息安全标准委员会、大数据安全特别工作组向全社会公布《征求意见稿》，10月底就将搜集所有的意见进行修改完善，最终发布国标。

 

作为国际标准，我们在2017年的4月份在ISO上成功立项，也是国内互联网（国内信息领域）在ISO里面的第一个立项标准。

 

作为行业标准，我们在国家通信以及在国际电信联盟的行业里面也是成功立项。

 

同时在行业实践上，目前在10多个重点行业、30多个典型企业已经完成了成熟度模型的评估实践验证，正在进行中的实践企业有80多家，分别是由17家服务商来帮忙推进的，以及在阿里巴巴和贵阳大数据中心建立了一个贵阳的大数据实验室，由这个实验室帮忙评估50家这样的企业，进行能力成熟度模型的评估。

 

在实践过程中，我们和行业以及合作伙伴取得了四点数据安全的共识：

 

• 1.  数据安全是商业的基础。无论是已经在大数据业务上有所作为，还是在准备发力的机构，都清楚地意识到大数据业务的发展离不开坚实的大数据安全的基础。

  
  

• 2.  以数据为中心的安全。大部分组织机构的安全工作是集中于对于网络层面的防护，但是并没有针对于以数据为核心的保护。所以，在这种安全应对的思路需要转变。

  
  

• 3.  大数据下的数据安全必须具有产业生态的视角。整个大数据环境下，数据的流通和共享是个趋势，我们聚焦在数据本身的同时，还要关注到数据的流动，以及在流动过程中的安全挑战。

• 4.  数据安全技术的创新和产品需求的迫切性。这个意思就是过去在信息安全领域所用的手段已经不够了，因为在过去信息安全领域的假设前提今天已经破坏了，过去的信息安全领域假设的前提是在一个封闭的系统环境下、企业的组织边界下去展开的防护手段和产品技术能力，但是今天是在开放、互联的环境下，所以我们的技术必须要创新。

钛媒体最强T-EDGE来了，长按图片二维码或是点击阅读原文，抢购早鸟票！

中国最大的技术高管实名社区，提供互联网时代最全面权威、也最前沿有趣的B2B市场信息解读。

点击【阅读原文】，进入ITValue社区，与CIO们一起脑力激荡！

我们只提供有价值的干货！

长按二维码
关注ITValu