从数据安全视角思考国务院《关于加强数字政府建设的指导意见》
6月23日,国务院正式印发了《关于加强数字政府建设的指导意见》(以下简称《指导意见》),对开创数字政府建设新局面作出全面部署。
文件明确了数字政府建设的指导思想、基本原则和主要目标,从构建协同高效的数字化履职能力体系、构建数字政府全方位安全保障体系等七个方面明确了重点工作任务。目标到2025年,与政府治理能力现代化相适应的数字政府顶层设计更加完善、统筹协调机制更加健全,政府数字化履职能力、安全保障、制度规则、数据资源、平台支撑等数字政府体系框架基本形成;到2035年,与国家治理体系和治理能力现代化相适应的数字政府体系框架更加成熟完备。
《指导意见》作为数字政府的宏观指导文件,是创新政府治理理念与方式、形成数字治理新格局、推进国家治理体系和治理能力现代化的重要举措,从全方面对政府数字化工作作出要求。世平信息基于自身业务视角,从数据安全治理出发,对于《指导意见》中相关内容进行深度思考。
政策解读
从《指导意见》提出的要求来看,我国数字政府体系框架与数据安全关联度最为密切的主要有两个方面:
● 其一,在构建全方位安全保障体系方面,主要包括构建安全管理责任协同联动机制、落实数据和关键信息基础设施安全制度要求、建立健全数据分类分级保护、提升安全保障能力以及提高自主可控水平等内容 ;
● 其二,在构建开放共享的数据资源体系方面,主要包括推进全国⼀体化政务大数据体系建设,加强数据治理,依法依规促进数据高效共享和有序开发利用,充分释放数据要素价值。
从第一点的具体要求来看,要切实做到国家秘密、工作秘密、商业秘密、个人隐私和个人信息的保护,建立健全问责机制、联动机制等,必须构建起能够适应于不同场景的分类分级体系。世平信息的解决思路是建立健全分类分级的类目体系。
01、建立分类分级类目体系的必要性
随着《数据安全法》的出台实施和全国各省级数据管理部门数据安全条例及数据分类分级标准的先后发布,业界和用户对于数据安全实施的基础都有了基本的共识,即先有数据分类分级标准,才能切实保护好各个应用场景数据的安全。
目前已发布的数据分类分级标准中,主要以数据字段级的分类分级为主,为各种数据字段打上类别、级别标签,并以此作为数据授权矩阵的基础。然而,在实际工作开展过程中,我们也发现同一类敏感数据(如个人信息),其在不同的业务领域中对应的级别并不统一,仅用两个基础维度来定义每一条公共数据往往无法完整地定义出敏感数据的真实级别。
对此,世平信息的思路是基于标签类目体系的概念,即数据资产可复用,面向业务可理解,数据价值可衡量。标签类目体系是中台概念的核心落地点,通过“标签”这种载体将数据资源转化为业务能理解的资产形态,将数据拆解成最小粒度单元,使其具备某一对象下的共有属性,又兼备丰富多样的自有属性。通过标签这种组织方式可以自然地实现对数据资产管理、使用、衡量的全链路闭环。构建数据分类分级的类目体系,从字段级的分类分级进一步优化到库表结构级、条目级的分类分级,形成三维的管理模式,可同时应对同一数据在不同业务场景下的安全防护、同一业务场景中不同数据的安全防护。
该思路也符合《指导意见》中对于建立健全数据分类分级保护、加强数据全生命周期安全管理和技术防护的相关要求。
02、数据要素价值释放后的安全防护
我国高度重视数据要素市场培育。从2014年大数据首次写入政府工作报告,到“十三五”期间大数据相关的政策文件密集出台,为数据作为生产要素在市场中进行配置,提供了政策土壤。
► 2020年4月,《关于构建更加完善的要素市场化配置体制机制的意见》将数据纳入了生产要素的范围,明确要用市场化配置来激活数据这一生产要素;
► 2020年5月,《关于新时代加快完善社会主义市场经济体制的意见》提出要加快培育发展数据要素市场、建立数据资源清单管理机制、完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值。
为加快形成数据要素市场体系、促进数字经济高质量发展,“十四五”规划对我国发展数据要素市场化指明了方向,推动数据要素市场逐步规范化、制度化、体系化发展;再到如今《指导意见》的出台实施,对充分释放数据要素价值,营造良好数字生态,建立健全数据要素市场规则,完善数据要素治理体系提出了明确要求。
数据要素作为继土地、资本、技术、劳动力后的第五大生产要素,其具备的特殊属性,要求必须加强数据资源的开放共享。数据越多价值越大,越分享价值越大,越不同价值越大,越跨行业、区域、国界价值越大。因此,实施数据开放共享,优化治理基础数据库,不断完善数据权属界定、开放共享、交易流通等标准和措施,促使数据资产重复使用、多人共同使用、永久使用,加快推动各区域、部门间数据共享交换,显得十分必要,这也符合《指导意见》中的多跨和数据共享要求。
业务思考
数据在跨层级、跨地域、跨系统、跨部门、跨业务流动过程中以及政府数据和社会数据的融合后,急需一套标准数据安全治理的方法论,来面对纷杂的数据安全治理场景。世平信息凭借多年数据安全治理经验,对各类数据安全场景进行全面分析,发现无论是数据中心、数据中台或者各类业务应用系统,其数据安全治理的核心关键在于建立可执行的数据分类分级标准,追溯数据来源,根据管理策略进行数据安全措施部署。
世平信息的思路是首先抛开数据所在的场景,如数据中心、中台、后台、应用等,将数据流动的过程具象化为“3+2”个业务域,即存储域、服务域、终端域以及对内、对外2个传输域,并将数据生命周期管控的6个阶段融合各业务域中。
形成该方法论后,再反推到各场景中,根据各业务域的数据安全防护要求,分析各类场景中对应安全要点的数据源、业务特征、分类分级类目体系等,打造适应该场景的防护措施、防护规则、技术工具等。
分类分级类目体系与业务域治理方法论,是近几年来世平信息通过学习和理解国家相关法律法规、政策指导文件、安全技术发展趋势和自身项目经验所思考、归纳的产物。作为长期专注于数据安全领域的高新技术企业,世平信息将持续在业内深耕并为数字政府体系框架的构建提供优质的产品、解决方案和服务。