基于IPDR2的個(gè)人信息保護(hù)模型

謝宗曉 李松濤 隆峰（中國金融認(rèn)證中心）

謝宗曉 博士

“十二五”國家重點(diǎn)圖書出版規(guī)劃項(xiàng)目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評(píng)估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之五十六

GB/T 35273—2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》于2018年5月開始實(shí)施，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC 260）于2019年2月發(fā)布了該標(biāo)準(zhǔn)修訂草案的征求意見稿，從中可以看出個(gè)人信息保護(hù)的重要性。下文討論了個(gè)人信息保護(hù)的框架/模型，期望對(duì)標(biāo)準(zhǔn)在具體組織中落地提供有用的方法論。

謝宗曉（特約編輯）

個(gè)人信息保護(hù)與信息安全、網(wǎng)絡(luò)安全等概念既有區(qū)別，又有聯(lián)系，其區(qū)別主要體現(xiàn)在個(gè)人信息保護(hù)中是以“數(shù)據(jù)”作為核心，這雖然與信息安全中對(duì)于“信息”的保護(hù)存在很大的相似之處，但是，一般而言，有序的數(shù)據(jù)才成為信息，本質(zhì)而言，在信息系統(tǒng)中，信息是作為流程的附屬出現(xiàn)的，例如，信息流強(qiáng)調(diào)的是“流”。在個(gè)人信息保護(hù)中，信息能否成為“流”已經(jīng)不再重要，碎片化的、非結(jié)構(gòu)化的信息在大數(shù)據(jù)時(shí)代，都會(huì)泄露個(gè)人信息。因此，個(gè)人信息保護(hù)不能直接照搬信息安全的方法論[1]，而是應(yīng)該開發(fā)適合于數(shù)據(jù)安全時(shí)代的模型。

1 可以參考的模型

1.1 Gartner數(shù)據(jù)安全治理框架

Gartner1）Gartner，https://www.gartner.com/en。Gartner是美國的一家公司，成立于1979年，主要提供IT調(diào)研和咨詢等服務(wù)。于2018年4月提出了數(shù)據(jù)安全治理（DSG）框架（Data Security Governance Framework），目的是為了排列業(yè)務(wù)風(fēng)險(xiǎn)優(yōu)先級(jí)，然后采取適當(dāng)?shù)陌踩胧?duì)業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行控制。Gartner將DSG定義為信息治理的子集，主要是通過定義一系列的數(shù)據(jù)策略和過程，保護(hù)組織的數(shù)據(jù)[2]（包括結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)）。

DSG要先從組織的管理層業(yè)務(wù)風(fēng)險(xiǎn)分析出發(fā)，對(duì)組織中的各個(gè)業(yè)務(wù)數(shù)據(jù)集進(jìn)行識(shí)別、分類和管理；針對(duì)數(shù)據(jù)集的數(shù)據(jù)流和數(shù)據(jù)分析庫的機(jī)密性、完整性、可用性創(chuàng)建安全策略；根據(jù)策略落實(shí)管理措施和部署技術(shù)產(chǎn)品加以控制[3]。

1.2 Microsoft的DGPC框架

微軟（Microsoft）在2010年1月發(fā) 布DGPC（Data Governance for Privacy， Confidentiality， and Compliance）框架[4]。DGPC 框架與 COBIT2）COBIT（Controlled Objectives for Information and Related Technology）信息及相關(guān)技術(shù)的控制目標(biāo)。COBIT是信息系統(tǒng)審計(jì)和控制聯(lián)合會(huì)（Information Systems Audit and Control Association，ISACA）制定的面向過程的信息系統(tǒng)審計(jì)和評(píng)價(jià)的標(biāo)準(zhǔn)，更多信息請參考http://www.isaca.org。、ISO/IEC 27001/27002 和 PCI DSS3）PCI DSS，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，是由支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)（PCI Security Standard Council， https://zh.pcisecuritystandards.org/minisite/env2/）所發(fā)布。(Payment Card Industry Data Security Standard)都保持了兼容，文獻(xiàn)[5]的論斷“無其他現(xiàn)有的行業(yè)框架提供這種利益和整合的組合”。

DGPC框架包含了三個(gè)最重要的能力域：人員（people）、過程（process）和技術(shù)（technology）。簡單來說，就是先建立組隊(duì)，后設(shè)計(jì)過程，最后部署技術(shù)。

技術(shù)控制還是很重要的一部分，其中大多可能來源于ISO/IEC 27001/27002等主流標(biāo)準(zhǔn)，但是畢竟有一些差異。表1是Microsoft DGPC技術(shù)域的示例。

表1 Microsoft DGPC技術(shù)域

安全技術(shù)設(shè)施描述過度寬泛，不具備落地的指導(dǎo)意義。當(dāng)然，Microsoft也提供了相應(yīng)的實(shí)施指南，將其細(xì)化為一系列可落地的步驟。

Microsoft DGPC框架將風(fēng)險(xiǎn)分析和差距分析直接放在一起處理，將其合稱為風(fēng)險(xiǎn)/差距分析（Risk/Gap Analysis），這非常合理，具體如圖1所示。

Microsoft DGPC框架整體就風(fēng)險(xiǎn)管理的框架并無新意，但是畢竟明確地將差距分析和風(fēng)險(xiǎn)評(píng)估/處置的過程放在一起了。

1.3 DGI的數(shù)據(jù)治理模型

DGI數(shù)據(jù)治理框架（Data Governance Framework）是數(shù)據(jù)治理研究院（Data Governance Institute，DGI）4）DGI，http://www.datagovernance.com。發(fā)布的方法論，以“5W1H”5）5W1H，是一種科學(xué)的思考方法，指對(duì)選定的項(xiàng)目、工序或操作，都要從原因（何因Why）、對(duì)象（何事What）、地點(diǎn)（何地Where）、時(shí)間（何時(shí)When）、人員（何人Who）、方法（何法How）六個(gè)方面提出問題進(jìn)行思考。為框架，DGI所描述的數(shù)據(jù)治理框架非常清晰，對(duì)應(yīng)的中文如表2所示，

其中表格上加的圖示是為我們另外添加的，以將其 與通用的PDCA模型進(jìn)行比對(duì)。

圖1 風(fēng)險(xiǎn)/差距分析過程

表2 DGI數(shù)據(jù)治理框架的過程

2 IPDR2模型及其概述

2.1 提出IPDR2模型

根據(jù)Gartner數(shù)據(jù)安全治理框架、Microsoft的DGPC框架和DGI的數(shù)據(jù)治理模型等現(xiàn)有參考，結(jié)合我們多年在信息安全領(lǐng)域的實(shí)踐，在總體信息安全規(guī)劃設(shè)計(jì)框架下，提出針對(duì)銀行個(gè)人客戶信息保護(hù)的“資產(chǎn)識(shí)別—安全防護(hù)—安全檢測—響應(yīng)恢復(fù)”（Identify—Protect—Detect—Respond &Recover）模型，如圖2所示。

圖2 基于IPDR2的個(gè)人客戶信息安全保護(hù)技術(shù)體系框架

2.2 IPDR2模型設(shè)計(jì)的原則

IPDR2模型設(shè)計(jì)堅(jiān)持下面5個(gè)主要原則：

1）以客戶價(jià)值為中心原則。個(gè)人信息保護(hù)本身的出發(fā)點(diǎn)是為了保障客戶利益，更好地做好客戶服務(wù)，在滿足客戶價(jià)值的同時(shí)帶來業(yè)務(wù)的增長。

2）主動(dòng)防御原則。被動(dòng)防守是網(wǎng)絡(luò)安全的初級(jí)階段，在網(wǎng)絡(luò)安全形勢越來越嚴(yán)峻的今天，已不能適應(yīng)當(dāng)前的安全環(huán)境，我們應(yīng)當(dāng)主動(dòng)出擊，積極建立覆蓋全系統(tǒng)、全業(yè)務(wù)、全生命周期的安全防護(hù)體系，對(duì)安全隱患嚴(yán)防死守，才能強(qiáng)身健體，內(nèi)外兼修。

3）立體化防護(hù)原則。橫向聯(lián)合業(yè)務(wù)部門和信息科技部門，覆蓋安全各領(lǐng)域內(nèi)容，縱向打通業(yè)務(wù)和組織架構(gòu)層級(jí)，通過治理、管理、執(zhí)行等自上而下的落實(shí)來進(jìn)行立體化的防護(hù)。

4）智能化原則。在信息技術(shù)和業(yè)務(wù)環(huán)境越來越復(fù)雜的當(dāng)下，僅靠人工方式來運(yùn)維和管理安全已經(jīng)捉襟見肘了，人工智能、大數(shù)據(jù)已經(jīng)有相當(dāng)?shù)某墒於取?/p>

5）體系化原則。普遍認(rèn)為，僅靠單獨(dú)技術(shù)不可能解決所有的問題，必須形成體系化的思維，通過系統(tǒng)之間“1+1>2”優(yōu)化組合的作用，并持續(xù)優(yōu)化和改進(jìn)，才能提升整體安全運(yùn)營和管理的質(zhì)量和效率。

2.3 IPDR2模型的概述

IPDR2框架實(shí)現(xiàn)了個(gè)人信息安全防護(hù)的全生命周期和全過程的覆蓋，建立了以識(shí)別為基礎(chǔ)，以防護(hù)、檢測為核心，以響應(yīng)恢復(fù)和常態(tài)化保障作為支撐，最終建立“準(zhǔn)備—事前—事中—事后”的全過程支撐能力，變被動(dòng)為主動(dòng)，直至達(dá)到完全的動(dòng)態(tài)自適應(yīng)安全能力。

結(jié)合圖2，IPDR2框架主要步驟如下：

1）個(gè)人信息資產(chǎn)識(shí)別（Identify）。個(gè)人信息資產(chǎn)識(shí)別主要是指，對(duì)相關(guān)信息系統(tǒng)和業(yè)務(wù)數(shù)據(jù)進(jìn)行半自動(dòng)化分析，識(shí)別可能產(chǎn)生個(gè)人信息安全風(fēng)險(xiǎn)的系統(tǒng)、資產(chǎn)和數(shù)據(jù)。Identity過程主要包括：資產(chǎn)管理、業(yè)務(wù)環(huán)境、治理機(jī)制、風(fēng)險(xiǎn)評(píng)估以及風(fēng)險(xiǎn)管理策略。

2）個(gè)人信息安全防護(hù)（Protect）。個(gè)人信息安全防護(hù)主要是指，制定并實(shí)施相應(yīng)的安全保護(hù)技術(shù)措施，以確保個(gè)人信息生命周期內(nèi)的安全。Protect過程主要包括：訪問控制、意識(shí)和培訓(xùn)、個(gè)人信息安全、信息保護(hù)流程和程序、信息安全運(yùn)維和保護(hù)的相關(guān)技術(shù)。

3）個(gè)人信息安全檢測（Detect）。個(gè)人信息安全檢測主要是指，制定并實(shí)施適當(dāng)?shù)募夹g(shù)措施，以識(shí)別個(gè)人信息安全事件發(fā)生。Detect過程包括：異常和事件、安全持續(xù)監(jiān)測及檢測過程。

4）個(gè)人信息響應(yīng)恢復(fù)（Respond &Recover）。個(gè)人信息響應(yīng)恢復(fù)主要是指，制定并實(shí)施適當(dāng)?shù)墓芾頇C(jī)制，以采取有關(guān)檢測到的個(gè)人信息安全事件的行動(dòng)，對(duì)個(gè)人信息安全事件受損的任何功能或服務(wù)進(jìn)行還原操作，減少事件影響。Respond &Recovery過程包括：響應(yīng)計(jì)劃、事件溝通、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)控制、恢復(fù)與持續(xù)改進(jìn)。

3 小結(jié)

方法論在時(shí)間中非常重要，例如，如何部署信息安全？在ISO/IEC 27000標(biāo)準(zhǔn)族中，就選擇依據(jù)PDCA（Plan—Do—Check—Act） 模 型， 而 NIST6）美國國家標(biāo)準(zhǔn)與技術(shù)研究院，National Institute of Standards and Technology，NIST，更多信息請參考：https://www.nist.gov/。安全相關(guān)標(biāo)準(zhǔn)族則采用了NIST風(fēng)險(xiǎn)管理框架（Risk Management Framework， RMF）的框架。針對(duì)個(gè)人信息保護(hù)的特點(diǎn)，本文在文獻(xiàn)[1]的基礎(chǔ)上，提出了以“資產(chǎn)識(shí)別—安全防護(hù)—安全檢測—響應(yīng)恢復(fù)”為主要步驟的IPDR2模型/框架。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無關(guān)）