2023年初,工业和信息化部、国家网信办、发展改革委等十六部门联合印发《关于促进数据安全产业发展的指导意见》(以下简称《指导意见》),目标到2025年数据安全产业规模超过1500亿元。《指导意见》为我国数据安全产业高质量发展指明了方向,将有力推动我国数据安全发展进入了一个全新的阶段。
日前,亿赛通咨询研究部数据安全高级咨询顾问张艺伟在接受安全牛采访时指出,数据安全服务是满足数据安全合规要求、体系化提升数据安全保障能力的重要手段。亿赛通希望将其创新打造的数据安全咨询服务,与传统数据安全技术工具高度整合,从而更好地为各行业用户的数字业务流通赋能。
张艺伟:北京亿赛通科技发展有限责任公司高级咨询顾问。先后从事网络安全行业研究、数据安全战略规划、高级咨询服务顾问,在安全领域具有10年的工作经验。围绕数据分类分级、数据安全风险评估、数据出境合规、数据安全治理等方向,主导了政府、金融、央企、能源等多个行业的咨询服务项目。重点参编标准白皮书十余项,在网络安全政策及行业发展、数据安全体系规划与建设方面颇有研究。
数据安全服务浮出水面
当前,以数据为关键要素的数字经济蓬勃发展,经济社会数字化转型持续加速。数据已经成为国家战略资源和新型生产要素,数据安全对国家安全保障和数字经济发展意义重大。随着《数据安全法》《个人信息保护法》的公布与实施,法律规范的不断完善,数据安全的发展也进入了一个新的阶段。
张艺伟认为,《指导意见》作为数据安全产业的顶层规划文件,在贯彻落实国家数据安全法律要求和工作机制,明确数据安全产业发展任务,营造数据安全产业发展生态方面具有重要意义。《指导意见》聚焦数据安全保护和数据资源开发利用需求,提出促进数据安全产业发展的总体要求和阶段发展目标,围绕“产业本身要做什么”,明确了“提升产业创新能力、壮大数据安全服务、推进标准体系建设和推广技术产品应用”四项重点任务,对数据安全企业制定总体战略、发展相关业务、深化相关工作树立了信心、指明了方向。
“1500亿元”是业界关注的焦点。业内普遍认为,产业规模的大幅提升,意味数据安全产业范围和内涵的扩充。在张艺伟看来,在合规、需求、风险等多因素驱动下,数据安全的内涵已从保护数据载体上的信息安全,转向通过数据安全保护促进数据合法有序开发利用;数据安全的保护对象也从保障数据自身的安全,扩展到数据流通活动安全和数据流通设施安全。
其中,《指导意见》特别强调,要“推进规划咨询与建设运维服务”,“鼓励数据安全企业、第三方服务机构由提供技术产品向提供服务和解决方案转变,发展壮大数据安全规划咨询、建设运维、检测评估与认证等服务,推进数据安全服务云化、一体化、定制化等服务模式创新。”
张艺伟认为,这是充分结合国家监管要求和数据安全内生需要而提出的战略方向。一直以来,企业在开展数据安全工作时,面临数据安全意识和方法论不足、人才短缺、组织内部难协作、管理技术脱节、数据安全状态难持续等痛点,定制化的数据安全服务以及一体化的数据安全解决方案将成为解决这些痛点的有效手段。张艺伟表示,从市场需求来看,用户对数据安全服务的重视度和认可度持续提升,数据安全服务也逐渐从以往的支撑产品销售的打包服务,逐渐脱胎成为独立的新型产品。
构建数据安全治理的闭环体系
研究数据显示,数据安全服务作为近两年发展起来的新兴业务,虽然营收在整体数据安全业务中的占比不高,但增速明显。正是意识到数据安全服务的重要性和需求潜力,数据安全乃至网络安全领域的各方力量,都纷纷加入数据安全服务大军。在此背景下,亿赛通也通过整合资源并利用自身产品技术服务优势成立咨询研究部。
张艺伟认为,数据安全服务是面向组织的数据安全需求,基于数据安全合规要求、专业知识和实践经验,提供的以方案为主、产品为辅的业务形态。它不同于具有硬性指标属性的产品交付,而是基于数据安全理论和实践的积累,由服务人员利用专业知识,辅以数据安全工具,帮助组织分析现有问题、找到应对方案、实现方案落地的过程。
目前国内数据安全服务主要分为咨询规划、认证评估、运营保障三大类:
- 咨询规划是数据安全体系化工程的前期重点工作,是为了瞄准方向、分解目标,并通过搭建数据安全组织、完善数据安全制度等服务,推进后续数据安全工作的开展。目前业内关注度较高的分类分级工作,在服务过程中涉及数据梳理,数据分类分级规则制定、实施,重要数据、个人信息等敏感数据目录编制等,旨在为数据安全管理制度完善、数据安全差异化防护目标和方案确定提供抓手,也被归为咨询规划的范畴;
- 认证评估分为能力认证、符合性评估、风险评估等:能力认证是对用户相关数据安全能力的检验和认可,如DSMM认证、数据安全产品认证;符合性评估是基于具体合规场景和监管要求,对合规项进行逐一检查和打分,最终出具是否合规的评估报告;风险评估是为了识别风险要素、分析风险发生可能性和发生后的影响,以便及时整改;
- 运营保障是基于咨询规划方案和认证评估结果,利用数据安全技术和工具,支撑数据安全管理制度落地,监督技术防护效果,并通过定制化的数据安全培训,从人员层面提升数据安全意识和数据安全专业能力。
在张艺伟看来,这三大类服务与数据安全产品解决方案一起,互为补充和依托,有效打造数据安全状态持续保障的闭环体系。不过需要指出的是,近两年亿赛通在为用户提供服务的过程中发现,用户满足合规要求、体系化提升自身数据安全能力的需求迫切,对接连发布的合规要求理解不到位、对数据安全管理工作重视不到位、对数据资产和安全现状摸排不到位的现象较为严重,这正是未来安全厂商进一步开展数据安全服务工作的动力。
可落地的数据安全服务
张艺伟强调,随着《数据安全法》的颁布实施,“统筹发展与安全”已经成为数据安全工作开展的一个重要原则,“数据分类分级”“数据安全风险评估”等被正式确立为数据安全保护制度。而亿赛通在2020年就提出并发布的“分放管服”理念,和这些基础性的重要工作密切相关。
亿赛通之所以提出“分放管服”理念,就是希望帮助客户从整体统一和业务流转的视角,在对数据敏感程度、人员职责、访问权限进行精细化分析的基础上,把握“放”和“管”的平衡,重视产品实施和运营保障服务,从而帮助用户夯实数据安全能力。
“从国家的文件精神可以看出,‘分放管服’理念到今天仍然有很强的实践意义。”张艺伟说,在新时期,亿赛通对“分管放服”赋予了新的意义,并对其进行升级完善:
- 在“分”的理念中补充纳入“合规政策的对标”“数据和安全现状的评估”,形成集“分析对标、分析评估、分类分级、分权分则”于一体的更为完善的工作体系;
- “放”和“管”作为《数据安全法》中“统筹发展与安全”的精神体现,将基于“分”阶段的基础成果,依据差异化的数据安全策略,落实“低敏感数据放行流通”“高敏感数据受控使用”的工作原则;
- “服”的理念则将从偏向后端的产品实施和运维保障逐渐前置,成为覆盖数据安全建设工作全流程的关键活动,不仅包括数据安全工作初阶段的体系规划,也包括安全管理和技术手段落实效果的持续监控评估、事后的应急响应和总结整改等。“服”充分体现亿赛通“以客户为中心”的经营理念,基于客户痛点需求和发展现状,以“有效”和“落地”为最终目标,为用户定制专属的数据安全深化方案。
张艺伟同时也强调,数据安全服务必须具备“可落地性”,要善于联动数据安全技术和工具,为用户提供可闭环的数据安全解决方案,实现数据安全状态的可持续。因此,对于亿赛通公司而言,也将不断整合自身在数据安全领域的理论研究和实践积累,持续提升数据安全服务能力,切实保障数据资产安全,为我国数字强国建设和数据安全产业发展贡献更大力量。
