当前中国数据安全市场发展现状
2020年04月10日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中将数据列为继地、劳动力、资本、技术后第五大生产要素,在大数据智能时代背景下数据将成为核心价值资产,其重要性越来越突出。近年来世界各国针对数据安全防护都出台了一系列的法律法规以及行业标准,我国国家和行业监管单位也对数据安全相关法律法规和技术标准进行了不断完善,同时在多方大力宣传下,各级政府积极推动下,数据安全已成为各行业共识。
常见的数安法规下滑查看全部清单,仅供参考
[1] 《中华人民共和国数据安全法》
[2] 《中华人民共和国个人信息保护法》
[3] 《网络数据安全管理条例(征求意见稿)》
[4] 《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》
[5] 《 中央企业商业秘密保护暂行规定 》
[6] GB/T 4754 2017 国民经济行业分类
[7] GB/T 35273 2020 信息安全技术 个人信息安全规范
[8] GB/T 37973 2019 信息安全技术 大数据安全管理指南
[9] GB/T 38667 2020 信息技术 大数据 数据分类指南
[10] 信息安全技术 重要数据识别指南(征求意见稿)
[11] JR/T 0158 2018 证券期货业数据分类分级指引
[12] JR/T 0171 2020 个人金融信息保护技术规范
[13] JR/T 0197 2020 金融数据安全 数据安全分级指南
[14] YD/T 3813 2020 基础电信企业数据分类分级方法
[15] YD/T 3867 2021 基础电信企业重要数据识别指南
[16] 北京市地方标准《政务数据分级与安全保护规范》
[17] 贵州省地方标准 DB 52/T 1123 2016《政府数据 数据分类分级指南》
[18] 上海市公共数据开放分级分类指南(试行)
[19] 内蒙古自治区地方标准《公共数据分类分级指南》
……
明朝万达在数据安全探索中,发现有很多生态伙伴和大量行业用户,特别是其IT部门,尽管大部分已经看过法律法规的条文细节,也清楚相关的要求,但是在具体实践中依然感觉无从下手。
比如,数据安全法的核心技术要求规范《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》中明确写了数据安全生命周期过程中每个环节所需要做到的数据安全要求以及通用的安全过程域中的数据安全内容,但是在实践的时候还是很难进行。
△ GB/T 37988-2019
因此,全国专业标准化技术委员会(简称:TC)在2021年12月31日又出台了《TC260-PG-20212A 网络安全标准实践指南——网络数据分类分级指引》。文中很详细的描述了从数据分类分级到数据安全保护落地的过程,对通用的数据分类分级进行了相关概念等的详细阐述,同时也指明了很多行业如金融、工业、医疗等重点行业的分类分级的目标。
△ TC260-PG-20212A
结合GB/T 37988-2019 和 TC260-PG-20212A 的技术规范要求,我们可以很容易理解数据安全工作要如何做,但在进行实践时还会遇到困难,主要原因就在于缺乏有效的技术工具以辅助用户进行数据治理。
当然,目前我国数据安全市场已经出现了多种基于数据库治理的结构化治理工具,但是在针对客户非常关注的电子文档等具有不规则性,且极易造成数据泄漏的数据资产方面的非结构化数据治理工具少之又少。基于以上背景,明朝万达依托完整的工具集、方法论和深厚的经验协助我们的生态伙伴和终端用户一同破局。
遇到的考验与挑战
数据安全治理咨询现状
数据安全治理指的是数据安全分类分级、个人数据风险评估等与数据安全相关的咨询服务。当前我国数据安全治理咨询主要面临以下三个问题:
1、随着近年来我国对数据安全要求的不断提高,四大咨询公司(麦肯锡、波士顿咨询公司、埃森哲咨询公司、罗兰.贝格咨询公司)正在逐步退出中国市场,而国内的各种咨询公司面对数据安全咨询的经验还处于初级阶段。
2、当前数据安全咨询服务可提供的行业案例一般集中在政府、金融、运营商,以及小部分的国企和民营大企业,对大部分行业来说是没有同行业咨询案例可供参考的。
3、数据安全治理咨询目前尚没有形成国家认可的证书,面对没有证照背书的数据安全咨询服务,无论是生态伙伴还是终端用户对此都持有不信任的成分,服务双方信任度低。
数据安全落地面临的考验
数据安全落地防护,从两个维度说,就是结构化和非结构化数据安全防护。目前国内结构化数据也就是数据库类型的防护已经非常成熟,非结构化数据防护发展尚不足以满足客户日趋迫切的需求。
1、非结构化数据暨电子文档数据分布于业务系统、PC端、云端等网络的各个角落,并且它是随着业务需求进行不规则的流转,于是就导致了非结构化数据防护困难和容易发生泄漏两大特点;
2、随着互联网的迅猛发展,办公工具(包括邮件、聊天、远程等)层出不穷,据明朝万达调研发现,目前国内各数据安全服务厂商的数据防泄漏产品多是针对某些办公工具,还不能全部覆盖。但是面对终端用户的需求,标品特别是基于终端数据防泄漏的标品已经显示出其疲软的态势,如何破局也成为亟需解决的问题。
△ 如果说灰色部分代表客户的真实需求,那么红色部分则是单个服务商所能提供的。
解决思路和安全方案
随着数据安全法、个人信息保护法等相关法律法规的大力宣贯和各行业对数据安全规范要求的越来越多、越来越细致,数据安全需求在各行业遍地开花,数据安全服务厂商迎来新的发展机遇,而如何更好的解决上述问题就是当务之急。明朝万达认为,我们不仅要解决数据安全治理中的结构化数据治理问题,更需要用科学的方法和工具集解决非结构化数据治理的问题,解决非结构化电子文档的数据防泄漏问题。要解决数据安全分类分级问题,明朝万达提供了针对结构化和非结构化的整体数据治理的解决方案,一是为用户提供数据安全分类分级咨询服务,二是为用户提供数据安全措施落地的解决方案,以及为用户提供定制开发服务,以更好的加持其个性化需求。
为解决客户的数据安全分类分级及数据风险评估,明朝万达提供了一整套的底层基础能力,支撑对客户的数据安全分类分级和数据风险评估的数据安全领域的咨询团队、专用工具集、方法论和经验沉淀、数据安全产品及研发团队和驻场人员。
在数据安全分类分级的基础上,明朝万达还提供了一整套从结构化到非结构化的整体解决方案,并且加持数据安全二次开发的底层能力,不但满足客户的标准需求,同时通过二次开发满足客户的定制化和个性化的需求。
同心迎机遇,聚力迎未来
因此,不论是对技术能力挑战,还是对我们生态伙伴的市场竞争方面的挑战,都会存在巨大的压力。当然,挑战和机遇并存,特别是当前这种信息化的急速发展和迭代,技术变革使得数据安全实现变得越来越复杂化,对数据安全的要求也不只停留在某一方面数据安全的问题上,我们预判,今年往后会有更多更复杂的数据安全问题和困难需要行业面对和解决,这一变化趋势也预示着我们明朝万达和我们在各位伙伴更是要做到精诚合作,强力携手,攻克难关,一起携手为各个行业筑牢数据安全屏障,护航数字经济高质量发展而做出我们的贡献。
