政务数据安全合规评估要点及实践.docxVIP

政务数据安全合规评估要点及实践 陈永刚 赵增振 陈 岚1(国家信息中心 北京 100045) 2(上海观安信息技术股份有限公司 上海 202203)近年来，国家高度重视数据安全问题，针对数据安全的法律法规陆续出台，相关工作机制逐步明确.其中政务数据由于其涉及面广、影响程度高，成为相关法律法规和政策文件关注的焦点，也成为国家监管的重点.政务数据共享开放在“一网通办”“跨省通办”、政务“秒批”“秒办”“城市大脑”等场景中广泛应用，有力地提高了公众办事效率，提升了社会治理水平.然而，政务业务和数据的融合加大了数据安全防护的难度，政务数据相关系统面临着巨大的安全威胁和风险[1]：一方面乌克兰危机网络对抗给予了我们重要警示，网络空间已成为现代战争的重要领域，存有大量政务数据的关键信息基础设施是网络战的首要攻击目标；另一方面，黑客组织、犯罪团伙和不法分子长期对政务数据实施网络攻击，窃取重要数据，地下黑产和暗网非法交易活动猖獗，严重危害国家安全、社会公共安全和人民群众合法权益.为了防范和化解政务数据合规风险，提高风险预见、预判能力，开展政务数据安全评估，建立合规数据安全体系，已经成为国家机关、企事业单位开展业务活动的重要前提和保障.1 政务数据安全合规要求国家对政务数据安全高度重视，颁布实施了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全审查办法》《关于加强数字政府建设的指导意见》《信息安全技术 政务信息共享 数据安全技术要求》(GB/T 39477—2022)等法律、法规、政策文件和技术标准[2-6]，《网络数据安全管理条例》[7]正在征求意见，对政务数据安全提出严格要求：一是建立数据分类分级保护制度，编制和重点管理国家核心数据，地区、部门以及相关行业、领域的重要数据目录；二是建立数据安全风险评估、报告、信息共享、监测预警机制；三是建立数据安全应急处置机制；四是建立数据安全审查制度；五是规范数据的收集和使用，加强个人隐私、个人信息、商业秘密、保密商务信息等数据保护等要求.2 政务数据安全合规评估方法参考《信息安全技术 信息安全风险评估方法》[8](GB/T 20984—2022)国家标准，针对政务数据安全合规的评估方法主要包括访谈、检查和测试3种：1) 访谈由评估人员与大数据系统建设、运维和服务相关人员就政务大数据安全情况进行谈话.基于重要业务场景，深入了解大数据平台安全控制措施实施情况，并进行分析或证据获取.访谈的对象为个人或团体，例如：大数据平台主要负责人、信息安全机构领导、信息系统安全管理员、运维人员、网络和系统管理员、机房安全管理人员和用户等.2) 检查由评估人员通过对管理制度、安全策略和机制、安全配置和设计文档、运行记录等进行观察、查验、分析以使评估人员理解、分析或取得证据的过程.检查的对象为规范、机制和活动.例如：评审信息安全策略规划和程序；分析系统的设计文档和接口规范；观测系统的备份操作；审查应急演练结果；观察事件响应活动；研究技术手册和用户/管理员指南；检查、研究或观察信息系统的硬件/软件中信息技术机制的运行；检查、研究或观察信息系统运行相关的物理安全措施及检查信息系统安全基线配置等.3) 测试由评估人员进行技术测试(包括渗透测试)，通过人工或自动化安全测试工具获得相关信息，并进行分析以帮助评估人员获取证据.测试的对象为机制和活动.例如，访问控制、身份识别和验证、审计机制；测试安全配置设置及物理访问控制设备；进行信息系统的关键组成部分的渗透测试，测试信息系统的备份操作；对重要事件进行持续监控；测试事件响应能力以及应急规划演练能力等.3 政务数据安全合规评估指标体系依据政务数据安全相关实践[9]和标准，建立政务数据安全合规评估指标体系，包括2个1级指标、10个2级指标和95个3级指标.1级指标包括“数据全生命周期安全”指标和“通用合规要求”指标，其中“数据全生命周期安全”指标包括数据采集、传输、存储、使用、交换和销毁各环节，聚焦重要业务场景发现风险点.“通用合规要求”指标从组织结构及人员、管理制度、管理措施和技术措施4个方面评估数据安全管理和技术合规风险.其中2级指标“数据采集风险”包括15个3级指标；“数据传输风险”包括4个3级指标；“数据存储风险”包括13个3级指标；“数据使用风险”包括17个3级指标；“数据交换风险”包括22个3级指标；“数据销毁风险”包括8个3级指标；“组织结构及人员”包括2个3级指标；“管理制度”包括2个3级指标；“管理措施”包括10个3级指标；“技术措施”包括2个3级指标.3级指标包括部分重点指标：一是关于个人信息相关的“个人信息获取合法性”“个人信息获取必要性”“个人信息处理协议或规则的完备性”等指标，关注收集使用个