信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”，作者/aqniu。

2023年初，工業(yè)和信息化部、國家網(wǎng)信辦、發(fā)展改革委等十六部門聯(lián)合印發(fā)《關(guān)于促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》（以下簡稱《指導(dǎo)意見》），目標(biāo)到2025年數(shù)據(jù)安全產(chǎn)業(yè)規(guī)模超過1500億元?！吨笇?dǎo)意見》為我國數(shù)據(jù)安全產(chǎn)業(yè)高質(zhì)量發(fā)展指明了方向，將有力推動我國數(shù)據(jù)安全發(fā)展進(jìn)入了一個全新的階段。

日前，億賽通咨詢研究部數(shù)據(jù)安全高級咨詢顧問張藝偉在接受安全牛采訪時指出，數(shù)據(jù)安全服務(wù)是滿足數(shù)據(jù)安全合規(guī)要求、體系化提升數(shù)據(jù)安全保障能力的重要手段。億賽通希望將其創(chuàng)新打造的數(shù)據(jù)安全咨詢服務(wù)，與傳統(tǒng)數(shù)據(jù)安全技術(shù)工具高度整合，從而更好地為各行業(yè)用戶的數(shù)字業(yè)務(wù)流通賦能。

張藝偉

北京億賽通科技發(fā)展有限責(zé)任公司高級咨詢顧問。先后從事網(wǎng)絡(luò)安全行業(yè)研究、數(shù)據(jù)安全戰(zhàn)略規(guī)劃、高級咨詢服務(wù)顧問，在安全領(lǐng)域具有10年的工作經(jīng)驗。圍繞數(shù)據(jù)分類分級、數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)出境合規(guī)、數(shù)據(jù)安全治理等方向，主導(dǎo)了政府、金融、央企、能源等多個行業(yè)的咨詢服務(wù)項目。重點參編標(biāo)準(zhǔn)白皮書十余項，在網(wǎng)絡(luò)安全政策及行業(yè)發(fā)展、數(shù)據(jù)安全體系規(guī)劃與建設(shè)方面頗有研究。

數(shù)據(jù)安全服務(wù)浮出水面

當(dāng)前，以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，經(jīng)濟(jì)社會數(shù)字化轉(zhuǎn)型持續(xù)加速。數(shù)據(jù)已經(jīng)成為國家戰(zhàn)略資源和新型生產(chǎn)要素，數(shù)據(jù)安全對國家安全保障和數(shù)字經(jīng)濟(jì)發(fā)展意義重大。隨著《數(shù)據(jù)安全法》《個人信息保護(hù)法》的公布與實施，法律規(guī)范的不斷完善，數(shù)據(jù)安全的發(fā)展也進(jìn)入了一個新的階段。

張藝偉認(rèn)為，《指導(dǎo)意見》作為數(shù)據(jù)安全產(chǎn)業(yè)的頂層規(guī)劃文件，在貫徹落實國家數(shù)據(jù)安全法律要求和工作機(jī)制，明確數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展任務(wù)，營造數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展生態(tài)方面具有重要意義?！吨笇?dǎo)意見》聚焦數(shù)據(jù)安全保護(hù)和數(shù)據(jù)資源開發(fā)利用需求，提出促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的總體要求和階段發(fā)展目標(biāo)，圍繞“產(chǎn)業(yè)本身要做什么”，明確了“提升產(chǎn)業(yè)創(chuàng)新能力、壯大數(shù)據(jù)安全服務(wù)、推進(jìn)標(biāo)準(zhǔn)體系建設(shè)和推廣技術(shù)產(chǎn)品應(yīng)用”四項重點任務(wù)，對數(shù)據(jù)安全企業(yè)制定總體戰(zhàn)略、發(fā)展相關(guān)業(yè)務(wù)、深化相關(guān)工作樹立了信心、指明了方向。

“1500億元”是業(yè)界關(guān)注的焦點。業(yè)內(nèi)普遍認(rèn)為，產(chǎn)業(yè)規(guī)模的大幅提升，意味數(shù)據(jù)安全產(chǎn)業(yè)范圍和內(nèi)涵的擴(kuò)充。在張藝偉看來，在合規(guī)、需求、風(fēng)險等多因素驅(qū)動下，數(shù)據(jù)安全的內(nèi)涵已從保護(hù)數(shù)據(jù)載體上的信息安全，轉(zhuǎn)向通過數(shù)據(jù)安全保護(hù)促進(jìn)數(shù)據(jù)合法有序開發(fā)利用；數(shù)據(jù)安全的保護(hù)對象也從保障數(shù)據(jù)自身的安全，擴(kuò)展到數(shù)據(jù)流通活動安全和數(shù)據(jù)流通設(shè)施安全。

其中，《指導(dǎo)意見》特別強(qiáng)調(diào)，要“推進(jìn)規(guī)劃咨詢與建設(shè)運(yùn)維服務(wù)”，“鼓勵數(shù)據(jù)安全企業(yè)、第三方服務(wù)機(jī)構(gòu)由提供技術(shù)產(chǎn)品向提供服務(wù)和解決方案轉(zhuǎn)變，發(fā)展壯大數(shù)據(jù)安全規(guī)劃咨詢、建設(shè)運(yùn)維、檢測評估與認(rèn)證等服務(wù)，推進(jìn)數(shù)據(jù)安全服務(wù)云化、一體化、定制化等服務(wù)模式創(chuàng)新。”

張藝偉認(rèn)為，這是充分結(jié)合國家監(jiān)管要求和數(shù)據(jù)安全內(nèi)生需要而提出的戰(zhàn)略方向。一直以來，企業(yè)在開展數(shù)據(jù)安全工作時，面臨數(shù)據(jù)安全意識和方法論不足、人才短缺、組織內(nèi)部難協(xié)作、管理技術(shù)脫節(jié)、數(shù)據(jù)安全狀態(tài)難持續(xù)等痛點，定制化的數(shù)據(jù)安全服務(wù)以及一體化的數(shù)據(jù)安全解決方案將成為解決這些痛點的有效手段。張藝偉表示，從市場需求來看，用戶對數(shù)據(jù)安全服務(wù)的重視度和認(rèn)可度持續(xù)提升，數(shù)據(jù)安全服務(wù)也逐漸從以往的支撐產(chǎn)品銷售的打包服務(wù)，逐漸脫胎成為獨(dú)立的新型產(chǎn)品。

構(gòu)建數(shù)據(jù)安全治理的閉環(huán)體系

研究數(shù)據(jù)顯示，數(shù)據(jù)安全服務(wù)作為近兩年發(fā)展起來的新興業(yè)務(wù)，雖然營收在整體數(shù)據(jù)安全業(yè)務(wù)中的占比不高，但增速明顯。正是意識到數(shù)據(jù)安全服務(wù)的重要性和需求潛力，數(shù)據(jù)安全乃至網(wǎng)絡(luò)安全領(lǐng)域的各方力量，都紛紛加入數(shù)據(jù)安全服務(wù)大軍。在此背景下，億賽通也通過整合資源并利用自身產(chǎn)品技術(shù)服務(wù)優(yōu)勢成立咨詢研究部。

張藝偉認(rèn)為，數(shù)據(jù)安全服務(wù)是面向組織的數(shù)據(jù)安全需求，基于數(shù)據(jù)安全合規(guī)要求、專業(yè)知識和實踐經(jīng)驗，提供的以方案為主、產(chǎn)品為輔的業(yè)務(wù)形態(tài)。它不同于具有硬性指標(biāo)屬性的產(chǎn)品交付，而是基于數(shù)據(jù)安全理論和實踐的積累，由服務(wù)人員利用專業(yè)知識，輔以數(shù)據(jù)安全工具，幫助組織分析現(xiàn)有問題、找到應(yīng)對方案、實現(xiàn)方案落地的過程。

目前國內(nèi)數(shù)據(jù)安全服務(wù)主要分為咨詢規(guī)劃、認(rèn)證評估、運(yùn)營保障三大類：

咨詢規(guī)劃是數(shù)據(jù)安全體系化工程的前期重點工作，是為了瞄準(zhǔn)方向、分解目標(biāo)，并通過搭建數(shù)據(jù)安全組織、完善數(shù)據(jù)安全制度等服務(wù)，推進(jìn)后續(xù)數(shù)據(jù)安全工作的開展。目前業(yè)內(nèi)關(guān)注度較高的分類分級工作，在服務(wù)過程中涉及數(shù)據(jù)梳理，數(shù)據(jù)分類分級規(guī)則制定、實施，重要數(shù)據(jù)、個人信息等敏感數(shù)據(jù)目錄編制等，旨在為數(shù)據(jù)安全管理制度完善、數(shù)據(jù)安全差異化防護(hù)目標(biāo)和方案確定提供抓手，也被歸為咨詢規(guī)劃的范疇；

認(rèn)證評估分為能力認(rèn)證、符合性評估、風(fēng)險評估等：能力認(rèn)證是對用戶相關(guān)數(shù)據(jù)安全能力的檢驗和認(rèn)可，如DSMM認(rèn)證、數(shù)據(jù)安全產(chǎn)品認(rèn)證；符合性評估是基于具體合規(guī)場景和監(jiān)管要求，對合規(guī)項進(jìn)行逐一檢查和打分，最終出具是否合規(guī)的評估報告；風(fēng)險評估是為了識別風(fēng)險要素、分析風(fēng)險發(fā)生可能性和發(fā)生后的影響，以便及時整改；

運(yùn)營保障是基于咨詢規(guī)劃方案和認(rèn)證評估結(jié)果，利用數(shù)據(jù)安全技術(shù)和工具，支撐數(shù)據(jù)安全管理制度落地，監(jiān)督技術(shù)防護(hù)效果，并通過定制化的數(shù)據(jù)安全培訓(xùn)，從人員層面提升數(shù)據(jù)安全意識和數(shù)據(jù)安全專業(yè)能力。

在張藝偉看來，這三大類服務(wù)與數(shù)據(jù)安全產(chǎn)品解決方案一起，互為補(bǔ)充和依托，有效打造數(shù)據(jù)安全狀態(tài)持續(xù)保障的閉環(huán)體系。不過需要指出的是，近兩年億賽通在為用戶提供服務(wù)的過程中發(fā)現(xiàn)，用戶滿足合規(guī)要求、體系化提升自身數(shù)據(jù)安全能力的需求迫切，對接連發(fā)布的合規(guī)要求理解不到位、對數(shù)據(jù)安全管理工作重視不到位、對數(shù)據(jù)資產(chǎn)和安全現(xiàn)狀摸排不到位的現(xiàn)象較為嚴(yán)重，這正是未來安全廠商進(jìn)一步開展數(shù)據(jù)安全服務(wù)工作的動力。

可落地的數(shù)據(jù)安全服務(wù)

張藝偉強(qiáng)調(diào)，隨著《數(shù)據(jù)安全法》的頒布實施，“統(tǒng)籌發(fā)展與安全”已經(jīng)成為數(shù)據(jù)安全工作開展的一個重要原則，“數(shù)據(jù)分類分級”“數(shù)據(jù)安全風(fēng)險評估”等被正式確立為數(shù)據(jù)安全保護(hù)制度。而億賽通在2020年就提出并發(fā)布的“分放管服”理念，和這些基礎(chǔ)性的重要工作密切相關(guān)。

億賽通之所以提出“分放管服”理念，就是希望幫助客戶從整體統(tǒng)一和業(yè)務(wù)流轉(zhuǎn)的視角，在對數(shù)據(jù)敏感程度、人員職責(zé)、訪問權(quán)限進(jìn)行精細(xì)化分析的基礎(chǔ)上，把握“放”和“管”的平衡，重視產(chǎn)品實施和運(yùn)營保障服務(wù)，從而幫助用戶夯實數(shù)據(jù)安全能力。

“從國家的文件精神可以看出，‘分放管服’理念到今天仍然有很強(qiáng)的實踐意義。”張藝偉說，在新時期，億賽通對“分管放服”賦予了新的意義，并對其進(jìn)行升級完善：

在“分”的理念中補(bǔ)充納入“合規(guī)政策的對標(biāo)”“數(shù)據(jù)和安全現(xiàn)狀的評估”，形成集“分析對標(biāo)、分析評估、分類分級、分權(quán)分則”于一體的更為完善的工作體系；

“放”和“管”作為《數(shù)據(jù)安全法》中“統(tǒng)籌發(fā)展與安全”的精神體現(xiàn)，將基于“分”階段的基礎(chǔ)成果，依據(jù)差異化的數(shù)據(jù)安全策略，落實“低敏感數(shù)據(jù)放行流通”“高敏感數(shù)據(jù)受控使用”的工作原則；

“服”的理念則將從偏向后端的產(chǎn)品實施和運(yùn)維保障逐漸前置，成為覆蓋數(shù)據(jù)安全建設(shè)工作全流程的關(guān)鍵活動，不僅包括數(shù)據(jù)安全工作初階段的體系規(guī)劃，也包括安全管理和技術(shù)手段落實效果的持續(xù)監(jiān)控評估、事后的應(yīng)急響應(yīng)和總結(jié)整改等。“服”充分體現(xiàn)億賽通“以客戶為中心”的經(jīng)營理念，基于客戶痛點需求和發(fā)展現(xiàn)狀，以“有效”和“落地”為最終目標(biāo)，為用戶定制專屬的數(shù)據(jù)安全深化方案。

張藝偉同時也強(qiáng)調(diào)，數(shù)據(jù)安全服務(wù)必須具備“可落地性”，要善于聯(lián)動數(shù)據(jù)安全技術(shù)和工具，為用戶提供可閉環(huán)的數(shù)據(jù)安全解決方案，實現(xiàn)數(shù)據(jù)安全狀態(tài)的可持續(xù)。因此，對于億賽通公司而言，也將不斷整合自身在數(shù)據(jù)安全領(lǐng)域的理論研究和實踐積累，持續(xù)提升數(shù)據(jù)安全服務(wù)能力，切實保障數(shù)據(jù)資產(chǎn)安全，為我國數(shù)字強(qiáng)國建設(shè)和數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展貢獻(xiàn)更大力量。