城市數(shù)字化轉(zhuǎn)型背景下的安全管理思路與實(shí)踐

劉碩 馮駿

上海市大數(shù)據(jù)中心 上海 200072

引言

自2021年6月開(kāi)始，國(guó)家陸續(xù)頒布了《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》兩部法律，與《網(wǎng)絡(luò)安全法》共同組成我國(guó)網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域“三駕馬車”。隨后，中華人民共和國(guó)國(guó)務(wù)院印發(fā)了《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見(jiàn)》，明確加強(qiáng)數(shù)字政府建設(shè)，要全面落實(shí)總體國(guó)家安全觀，堅(jiān)持促進(jìn)發(fā)展和依法管理相統(tǒng)一、安全可控和開(kāi)放創(chuàng)新并重，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全各項(xiàng)法律法規(guī)制度，全面構(gòu)建制度、管理和技術(shù)銜接配套的安全防護(hù)體系，切實(shí)守住網(wǎng)絡(luò)安全底線，不斷夯實(shí)城市數(shù)字化轉(zhuǎn)型的基石[1]。

自《關(guān)于全面推進(jìn)上海城市數(shù)字化轉(zhuǎn)型的意見(jiàn)》發(fā)布以來(lái)，上海市圍繞城市數(shù)字化轉(zhuǎn)型，積極推動(dòng)數(shù)字政府建設(shè)，推進(jìn)治理數(shù)字化轉(zhuǎn)型，驅(qū)動(dòng)城市治理模式變革，努力探索一條符合超大城市特點(diǎn)和規(guī)律的治理新路子，這個(gè)探索過(guò)程是一個(gè)整體性、全局性的轉(zhuǎn)變，勢(shì)必要考慮好發(fā)展與安全的關(guān)系，切實(shí)守牢網(wǎng)絡(luò)和數(shù)據(jù)安全底線[2]。大數(shù)據(jù)部門作為城市數(shù)字化轉(zhuǎn)型底座支撐單位，始終堅(jiān)持踐行“五個(gè)一”理念，即互聯(lián)互通“一張網(wǎng)”、超級(jí)計(jì)算“一朵云”、數(shù)據(jù)治理“一個(gè)湖”、應(yīng)用開(kāi)發(fā)“一平臺(tái)”、移動(dòng)終端“一門戶”，積極有序推進(jìn)政府部門信息化職能整合優(yōu)化工作，統(tǒng)籌安全規(guī)劃管理，加快形成資源高效利用、工作高效協(xié)同、業(yè)務(wù)與安全并重的智慧政府新格局。在這個(gè)變革過(guò)程中不斷摸索出一套安全管理的實(shí)踐思路。

1 安全管理現(xiàn)狀及面臨的挑戰(zhàn)

在當(dāng)前城市數(shù)字化轉(zhuǎn)型背景下，傳統(tǒng)的安全管理模式受到了前所未有的沖擊，從大數(shù)據(jù)部門角度出發(fā)，總結(jié)以下幾個(gè)方面。

一方面，上海市公共數(shù)據(jù)在賦能城市治理創(chuàng)新和發(fā)展過(guò)程中，堅(jiān)持集中統(tǒng)一管理、按需共享交換、有序開(kāi)放競(jìng)爭(zhēng)、安全風(fēng)險(xiǎn)可控的基本原則，而公共數(shù)據(jù)的集中，不可避免地帶來(lái)數(shù)據(jù)安全風(fēng)險(xiǎn)的集中[3]。數(shù)據(jù)的流通性是體現(xiàn)數(shù)據(jù)資源價(jià)值的關(guān)鍵特征之一，而數(shù)據(jù)的共享、開(kāi)放恰恰是風(fēng)險(xiǎn)的來(lái)源，公共數(shù)據(jù)“跨層級(jí)、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)”不斷流通，打破了網(wǎng)絡(luò)安全傳統(tǒng)的邊界防護(hù)體系，給現(xiàn)有的安全管理體系帶來(lái)了新的挑戰(zhàn)和沖擊。

另一方面，隨著近期《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《上海市數(shù)據(jù)條例》等法律法規(guī)的陸續(xù)出臺(tái)，以等級(jí)保護(hù)制度為基線的傳統(tǒng)制度管理體系已不能滿足基礎(chǔ)的合規(guī)要求，更不能滿足當(dāng)前大數(shù)據(jù)部門日益增長(zhǎng)的安全保障需求[4]。為了進(jìn)一步提升安全管理依據(jù)的可靠性，需要不斷建章立制，完善制度體系設(shè)計(jì)，明確總體要求和管理細(xì)則，實(shí)現(xiàn)相關(guān)工作按章管理、落地實(shí)施以及持續(xù)改進(jìn)。

再者，隨著上海市信息化職能整合工作的持續(xù)推進(jìn)，信息系統(tǒng)的逐步移交，導(dǎo)致大數(shù)據(jù)部門資產(chǎn)范圍不斷擴(kuò)大。由于各信息系統(tǒng)原有安全管理手勢(shì)不一，安全防護(hù)能力不同，勢(shì)必加大了在安全隱患排查、應(yīng)急處置、協(xié)同聯(lián)動(dòng)方面的復(fù)雜性，整體安全觀也面臨更大的挑戰(zhàn)，亟須立足當(dāng)前，著眼未來(lái)提出更高維度的安全管理戰(zhàn)略，設(shè)計(jì)適應(yīng)數(shù)字化政務(wù)轉(zhuǎn)型和業(yè)務(wù)發(fā)展的整體安全架構(gòu)，統(tǒng)籌好安全管理工作。

2 安全管理思路與實(shí)踐

為應(yīng)對(duì)當(dāng)前城市數(shù)字化轉(zhuǎn)型背景下的新挑戰(zhàn)和考驗(yàn)，政務(wù)大數(shù)據(jù)部門應(yīng)堅(jiān)持以問(wèn)題為導(dǎo)向，多管齊下，不斷鞏固基礎(chǔ)、規(guī)范管理、提升能力，逐漸探索出一條邏輯嚴(yán)謹(jǐn)、可靠性強(qiáng)，符合現(xiàn)狀的實(shí)踐思路，即牢固樹(shù)立整體安全觀，堅(jiān)持筑牢“制度、技術(shù)、管理”三道防火墻，通過(guò)不斷健全最嚴(yán)制度，應(yīng)用最強(qiáng)技術(shù)，執(zhí)行最高標(biāo)準(zhǔn)，切實(shí)守住安全底線[5]。整體建構(gòu)如下圖。

圖1 城市安全整體建構(gòu)圖

一是根據(jù)當(dāng)前數(shù)據(jù)安全面臨的新形勢(shì)和信息化系統(tǒng)管理現(xiàn)狀，優(yōu)化完善安全管理的頂層設(shè)計(jì)，通過(guò)制定總體規(guī)劃，為后期安全能力的建設(shè)提供依據(jù)和路線指引[6]。總體規(guī)劃從大數(shù)據(jù)部門在城市數(shù)字化轉(zhuǎn)型中的整體定位和發(fā)展目標(biāo)出發(fā)，從宏觀、中觀、微觀3個(gè)層面對(duì)當(dāng)前面臨的實(shí)際問(wèn)題開(kāi)展深入剖析，從制度、管理、技術(shù)3個(gè)方面重新設(shè)計(jì)安全管理架構(gòu)，全面建立安全發(fā)展藍(lán)圖和建設(shè)路徑。其中宏觀層面，立足于“城市兩張網(wǎng)”提出了網(wǎng)絡(luò)和數(shù)據(jù)安全管理的總體戰(zhàn)略；中觀層面，針對(duì)政務(wù)信息系統(tǒng)遷移上云的政策要求，明確職責(zé)范疇內(nèi)的網(wǎng)絡(luò)和數(shù)據(jù)安全管理策略。微觀層面，層層細(xì)化進(jìn)一步明確網(wǎng)絡(luò)和數(shù)據(jù)安全職責(zé)。

二是完善網(wǎng)絡(luò)和數(shù)據(jù)安全組織體系和責(zé)任體系。深入研究《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)法律法規(guī)，在原有網(wǎng)絡(luò)安全責(zé)任制度基礎(chǔ)上進(jìn)一步增加數(shù)據(jù)安全和個(gè)人信息保護(hù)等相關(guān)工作目標(biāo)，并遵循“統(tǒng)一領(lǐng)導(dǎo)、分級(jí)管理、逐級(jí)負(fù)責(zé)”原則，明確大數(shù)據(jù)部門中網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)導(dǎo)小組、工作小組、安全專職機(jī)構(gòu)、各級(jí)內(nèi)設(shè)部門等具體安全責(zé)任和工作方向，逐步打造上下一體、內(nèi)外一致的一盤棋格局，有效提升了大數(shù)據(jù)部門整體的安全責(zé)任意識(shí)和防護(hù)意識(shí)，對(duì)于各項(xiàng)安全工作的開(kāi)展和安全制度的落地提供了組織保障。

三是完善以“數(shù)據(jù)保護(hù)為核心”的安全制度體系。深入研究《上海市數(shù)據(jù)條例》相關(guān)要求，結(jié)合上海市公共數(shù)據(jù)管理模式，不斷細(xì)化、完善公共數(shù)據(jù)安全管理的各項(xiàng)制度；同時(shí)以等保2.0標(biāo)準(zhǔn)作為安全工作基線，細(xì)化安全管理要求，使安全工作有據(jù)可依、有章可循[7]。同時(shí)堅(jiān)持“實(shí)戰(zhàn)管用、急用先行”的原則，從實(shí)際問(wèn)題出發(fā)，重點(diǎn)修訂身份認(rèn)證、賬號(hào)管理、日志管理、應(yīng)急管理和運(yùn)營(yíng)管理等多項(xiàng)管理辦法，為后期以系統(tǒng)和數(shù)據(jù)為管理單元的業(yè)務(wù)工作提供切實(shí)可行的安全工作指導(dǎo)。

四是建立數(shù)據(jù)安全標(biāo)準(zhǔn)體系和技術(shù)保護(hù)機(jī)制。公共數(shù)據(jù)的安全管理，強(qiáng)調(diào)標(biāo)準(zhǔn)先行，在相關(guān)制度的保障下，積極開(kāi)展針對(duì)公共數(shù)據(jù)的標(biāo)準(zhǔn)化建設(shè)工作，全面落實(shí)《數(shù)據(jù)安全法》相關(guān)要求，圍繞公共數(shù)據(jù)“采集、歸集、治理、應(yīng)用、安全、運(yùn)營(yíng)”的全生命周期，圍繞市級(jí)公共數(shù)據(jù)管理特點(diǎn)開(kāi)展相關(guān)標(biāo)準(zhǔn)和指南的編制，可以為實(shí)際政務(wù)公共數(shù)據(jù)治理和開(kāi)發(fā)工作提供可實(shí)操落地的方式、方法，承上啟下，起到了鏈接管理制度和技術(shù)落地橋梁作用。

五是開(kāi)展定期安全檢查工作，確保安全管理措施落實(shí)到位，建立精準(zhǔn)化、制度化、常態(tài)化的安全風(fēng)險(xiǎn)評(píng)估機(jī)制，推動(dòng)各項(xiàng)技術(shù)措施、管理要求落實(shí)到位，形成安全管理閉環(huán)是安全工作開(kāi)展的必要手段[8]。圍繞大數(shù)據(jù)部門的系統(tǒng)多、數(shù)據(jù)多、運(yùn)維主體多的情況，安全檢查強(qiáng)調(diào)更加強(qiáng)調(diào)“重點(diǎn)突出，統(tǒng)籌兼顧”的原則，全面開(kāi)展網(wǎng)絡(luò)和數(shù)據(jù)安全管理檢查和考核工作，包括網(wǎng)絡(luò)安全管理制度、重要信息系統(tǒng)安全防護(hù)、應(yīng)急預(yù)案及演練、安全測(cè)評(píng)、安全評(píng)估及運(yùn)行情況安全監(jiān)測(cè)等內(nèi)容，對(duì)關(guān)鍵或薄弱環(huán)節(jié)重點(diǎn)排查，并督促整改，杜絕隱患，有效提升整體網(wǎng)絡(luò)和數(shù)據(jù)安全水平。

3 安全管理成效

從制度、管理、技術(shù)3個(gè)層面深化安全管理，全面提升整體安全防護(hù)意識(shí)和安全技術(shù)能力，實(shí)現(xiàn)對(duì)政務(wù)應(yīng)用和公共數(shù)據(jù)的安全合法合規(guī)管理，具體成效體現(xiàn)在以下3個(gè)方面：

3.1 風(fēng)險(xiǎn)處置能力不斷增強(qiáng)

通過(guò)落實(shí)一體化運(yùn)營(yíng)管理機(jī)制，持續(xù)開(kāi)展對(duì)重要信息系統(tǒng)的安全監(jiān)測(cè)、分析工作，有效提升了安全風(fēng)險(xiǎn)的即時(shí)發(fā)現(xiàn)、及時(shí)處理能力，確保各信息系統(tǒng)安全穩(wěn)定運(yùn)行[9]。另一方面，基于集約化的運(yùn)營(yíng)管理，有利于安全運(yùn)維、監(jiān)控保障資源的統(tǒng)籌和跨部門協(xié)同能力的提升。

3.2 數(shù)據(jù)安全管控能力不斷提高

通過(guò)細(xì)化落實(shí)數(shù)據(jù)安全相關(guān)制度和標(biāo)準(zhǔn)，逐步建立了基于數(shù)據(jù)分域的技術(shù)框架，指導(dǎo)數(shù)據(jù)分類分級(jí)管理、數(shù)據(jù)權(quán)限控制、去標(biāo)識(shí)化等技術(shù)能力建設(shè)，提升了對(duì)公共數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)的防護(hù)能力；落實(shí)了數(shù)據(jù)全生命周期管理過(guò)程中的差異化保護(hù)能力，為保障好數(shù)據(jù)安全鋪平了道路。

3.3 安全管理規(guī)范化水平得到有效提升

通過(guò)不斷完善制度管理體系，落實(shí)相應(yīng)的指導(dǎo)監(jiān)督手段，有效規(guī)范了大數(shù)據(jù)部門在數(shù)據(jù)安全管理和系統(tǒng)安全管理方面的工作標(biāo)準(zhǔn)，增強(qiáng)了全局性的統(tǒng)籌能力和集約化水平，保障了后期各項(xiàng)安全工作要求的落地實(shí)施[10]。

3.4 安全意識(shí)顯著增強(qiáng)

通過(guò)相關(guān)制度的不斷細(xì)化以及定期安全檢查機(jī)制的有效落實(shí)，大數(shù)據(jù)部門內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)安全意識(shí)和責(zé)任意識(shí)達(dá)到了前所未有的高度，有力促進(jìn)了相關(guān)安全工作的持續(xù)開(kāi)展，安全管理能力逐漸形成了積極、有序的良性循環(huán)模式。

4 結(jié)束語(yǔ)

本文以城市數(shù)字化轉(zhuǎn)型為背景，分析了當(dāng)前安全管理體系面臨的新風(fēng)險(xiǎn)和新挑戰(zhàn)，同時(shí)闡述了大數(shù)據(jù)部門在深化安全管理方面的工作方法及初步成效，為后續(xù)安全管理工作開(kāi)展具有較強(qiáng)的實(shí)踐指導(dǎo)意義。目前“三位一體”的安全保障體系仍在不斷完善和優(yōu)化，在后期工作推進(jìn)中仍需要堅(jiān)持問(wèn)題導(dǎo)向，并不斷探索前沿技術(shù)的應(yīng)用，持續(xù)加強(qiáng)管理手段，提升技術(shù)保障能力，用最高標(biāo)準(zhǔn)、最嚴(yán)要求筑牢網(wǎng)絡(luò)和數(shù)據(jù)安全的“安心鎖”和“防護(hù)盾”。