数据运营工作(推进关键信息基础设施数据安全和安全运营工作)
推进关键信息基础设施数据安全和安全运营工作
文 | 山石网科 徐阳 韩冰
关键信息基础设施是数字经济社会运行的神经中枢,事关国家网络安全和数据安全,日益成为国家网络空间安全能力建设的核心和关键。
数据安全是数据健康、有序和可持续发展的基石,关键信息基础设施内流转的业务数据更是直接关系到国家安全、国计民生和公共利益的核心要素。为此,山石网科发布了以数据为中心的数据治理体系框架,遵循同步规划、同步建设、同步运行的思想,有序落地数据安全防护措施,需在理解合规要求以及紧贴业务场景的前提下,建立数据安全治理体系框架,为关基构筑以数据为中心的可持续安全防护能力。
同时,《关键信息基础设施保护条例》(以下简称《条例》)对安全自查、检查及上报机制提出了相应要求,构建了国家——保护工作部门——关基运营者三级上报机制,为后续关基保护全国“一盘棋”理念提供了强有力的支撑。这要求关基运营者要针对自身风险进行持续动态评估,并在发生安全事件时及时上报。对此,山石网科总结梳理并形成了一整套安全运营理论和建设体系。对内,通过对人、工具、流程的资源化梳理,将各类资源数字化、模块化定义,形成了以平台培养能力、以平台承载能力和以平台提供能力的一体化安全运营服务模式,积极落地持续动态风控理念。对外,以关键信息基础设施安全运营中心为载体,协助关基运营者构建安全事件自动化上报通道,积极响应主管及监管部门要求。
对进一步做好关基安全保护工作,有以下三点建议。
首先,要进一步推进行业牵引工作。条例明确了保护工作部门的概念和职责,让专业的部门管理对口的关键业务,强化了行业属性的同时,避免了安全管理“一刀切”。保护工作部门承担着引领本行业、本领域网络安全发展的重要责任,当前关键信息基础设施认定工作,以及数据分类、分级工作还需要保护工作部门进一步出台相关标准进行牵引。
其次,加速完善关基标准体系建设。关基保护工作的落地需要配套明确的标准化需求、环节和范围,建议保护工作部门结合我国关键信息基础设施安全保护现状和发展需求,研究建立科学合理、持续优化的关键信息基础设施安全标准体系,为各行业开展工作提供标准参考,充分发挥标准对关键信息基础设施安全保护工作的指导性、规范性和引领性作用。
最后,加强关基运营主体安全责任意识。关键信息基础设施安全是维护国家网络空间主权、安全和发展利益的重中之重,强烈建议运营者进行网络安全建设时,必须以《关键信息基础设施安全保护条例》及其相关标准为红线,制定完善、周全的安全防护体系,强化关键信息基础设施保护能力,坚决承担起关键信息基础设施运营者应尽的责任,积极维护国家安全。
(本文刊登于《中国信息安全》杂志2022年第9期)