一、数据供应链安全建设背景
数字红利不断挖掘与释放,为各行各业提供新的“窗口”,以数据作为组织发展基础原动力,推动业务多样且深入发展,已成为各行业急迫要解决的问题。数据流动才能产生价值,流动范围越大,其产生价值也越大。“数据内循环”与“数据外循环”的结合才能产生更大数据效益,释放更大数据价值。数据内循环是以组织内为单位,结合自身业务场景的数据使用。数据外循环是以产业链、城市群为单位,打通上下游组织“隔板”,建立数据流动“沟渠”,使数据在不同个体间“穿梭”,产生更大的数据价值。数据将产业链上下游进行有效融合,独立个体可有效完善业务发展领域与提升自身产业效能同时,还可以组合体形式面对外部竞争,提高行业壁垒。
数据外循环产生更大效益同时,也带产生了更多安全新风险。如个体间安全职责划分、群体间安全技术能力认证、安全人员能力要求、数据水印溯源等新的安全要求。安全是保障业务发展的基石,建设多维度、全过程、群体中包含个体,个体中支撑群体的数据安全体系是必要且急迫的。
二、DSMM下供应链安全要求
2.1描述
通过建立组织的数据供应链管理机制,防范组织上下游的数据供应过程中的安全风险。
2.2 一级【非正式执行】要求
组织建设:未在任何业务建立成熟稳定的供应链安全管理,仅根据临时需求或基于个人经验,考虑了个别数据供应链的安全管理。
2.3 二级【计划跟踪】要求
组织建设:应由实际存在数据上下游供应的业务团队相关人员负责数据供应链的管理工作。
制度流程:在核心业务中,应与数据上下游的供应方针对具体的数据供应场景签署了合作协议,在合作协议中明确了数据的使用目的、供应方式、保密约定等。
人员能力:负责该项过程的人员应具备对具体数据供应场景的风险评估能力。
2.4 三级【充分定义】要求
组织建设:应设置了组织整体的数据供应链安全管理岗位和人员,负责制定整体的数据供应链管理要求和解决方案。
制度流程:应明确数据供应链安全管理规范,定义数据供应链安全目标、原则和范围,明确数据供应链的责任部门和人员、数据供应链上下游的责任和义务以及组织内部的审核原则;组织应通过合作协议方式明确数据链中数据的使用目的、供应方式、保密约定、安全责任义务等;应明确针对数据供应商的数据安全能力评估规范,根据该规范对数据供应商的数据安全能力进行评估,并将评估结果应用于供应商选择、供应商审核等供应商管理过程中。
技术工具:应建立组织整体的数据供应链库,用于管理数据供应链目录和相关数据源数据字典,便于及时查看并更新组织上下游数据链路的整体情况,并用于事后追踪分析数据供应链上下游合规情况。
人员能力:负责该项过程的人员应了解组织上下游数据供应链的整体情况,熟悉供应链安全方面的法规和标准,并具备推进供应链管理方案执行的能力。
2.5 四级【量化控制】要求
制度流程:应定期对数据供应链上下游数据活动的安全风险和数据供应方的数据安全管理能力进行评估
技术工具:应通过技术工具量化组织整体的数据供应链情况,对组织上下游的数据供应需求、对象和方式进行分类整理,能够及时发现并跟进数据供应链管理过程中的潜在风险;应对数据供应链上下游的数据服务提供者和数据使用者的行为进行合规性审核和分析;应基于数据供应链的相关记录,利用技术工具对数据供应链上下游的相关方开展安全审核和分析。
2.6 五级【持续优化】要求
制度流程:组织整体的数据供应链管理方案应能够根据国内外数据供应链管理领域的监管动态和行业实践进行及时调整。
技术工具:应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆。
三、数据供应链安全建设架构
数据供应链安全应以数据生命周期为基础,组织建设管理,制度保障管理、技术支撑管理、人员执行管理为原则,对供应方、合作方、集成方、服务支撑方等单位,从组织建设、制度流程、技术防护、人员能力四个方面进行要求,尽可能确保数据供应链安全。具体建设思路如下图:
3.1 建设思路
首先,结合数据生命周期,理清上下游供应链的合作模式、业务调用情况(调用方式、数据传输内容等)、安全防护能力(安全控制能力、安全监管能力等),识别当前数据安全风险。其次,以保障数据机密性、完整性、可用性为目标,以当前数据安全风险为基础,找出两者安全差距,结合自身及上下游供应链情况明确建设轻重缓急。再次,依据建设优先级,以小步快走方式快速迭代与修正。最后,对建设结果不断优化与完善。
3.2 建设内容
组织建设方面,建立专职负责数据供应链安全的团队或个人。主要内容包括建设岗位职责、数据供应链多方协调、推动供应链管理规范的落地执行与完善等。
制度流程建设方面,建设合作方管理协议(以合作生命周期为基础,从企业、个人等多个维度强化安全责任、安全义务、违约责任、保密协议、明确数据链中数据的使用目的、供应方式等内容);建设数据供应链安全管理规范,定义数据供应链安全目标、原则和范围,明确数据供应链的责任部门和人员、数据供应链上下游的责任和义务以及组织内部的审核原则;建立持续性评估机制,定期对供应链相关企业进行安全评估,并将评估结果应用于供应商选择、供应商审核等供应商管理过程中。
技术建设方面。建设数据供应链资源库,用于管理数据供应链目录和相关数据源数据字典,便于及时查看并更新组织上下游数据链路的整体情况,并用于事后追踪分析数据供应链上下游合规情况。通过技术工具量化组织整体的数据供应链情况,对组织上下游的数据供应需求、对象和方式进行分类整理,能够及时发现并跟进数据供应链管理过程中的潜在风险,对数据供应链上下游的数据服务提供者和数据使用者的行为进行合规性审核和分析。
人员能力建设方面。了解组织上下游数据供应链的整体情况,熟悉供应链安全方面的法规和标准,并具备推进供应链管理方案执行的能力。