《数据安全能力成熟度模型》过程域12：数据正当使用

2019年8月30日，《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

在此基础上，DSMM将上述6个生命周期进一步细分，划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段，部分过程域贯穿于整个数据生命周期。

本系列文将以DSMM数据安全治理思路为依托，针对上述各过程域，基于充分定义级视角（3级），提供数据安全建设实践建议，本文作为本系列第十二篇文章，将介绍数据处理安全阶段的数据正当使用过程域（PA12）。

一、定义

数据正当使用，DSMM官方描述定义为基于国家相关法律法规对数据分析和利用的要求，建立数据使用过程的责任机制、评估机制，保护国家秘密、商业秘密和个人隐私，防止数据资源被用于不正当目的。
DSMM标准在充分定义级对数据正当使用要求如下：
1、组织建设
组织应设立相关岗位或人员，负责对数据正当使用管理、评估和风险控制。
2、制度流程
1) 应明确数据使用的评估制度，所有个人信息和重要数据的使用应先进行安全影响评估，满足国家合规要求后，允许使用。数据的使用应避免精准定位到特定个人，避免评价信用、资产和健康等敏感数据,不得超出与收集数据时所声明的目的和范围。
2) 应明确数据使用正当性的制度，保证数据使用在声明的目的和范围内。
3、技术工具
1) 应依据合规要求建立相应强度或粒度的访问控制机制，限定用户可访问数据范围；
2) 应完整记录数据使用过程的操作日志,以备对潜在违约使用者责任的识别利追责。
4、人员能力
负责该项工作的人员应能够按最小够用等原则管理权限，并具备对数据正当使用的相关风险的分析和跟进能力。
二、实践指南
1、组织建设
组织结构应该在条件允许的情况下设立数据使用监管部门并招募相关的技术人员和管理人员，负责为公司提供必要的技术支持，负责为公司制定整体的身份和权限管理制度，提供对数据正当使用的风险评估和风险控制，建立组织机构内部的数据权限授权管理制度，并推动相关要求确实可靠的落地执行。除此之外，还需要为公司配置成熟的数据权限管理平台，为公司配置成熟的数据使用日志记录或审计产品，建立数据使用的违规处罚制度和惩罚措施等。
2、人员能力
针对数据使用监管部门的管理人员来说，必须具备良好的数据安全风险意识，熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求，在进行数据使用监督管理以及制定数据正当使用原则的时候，严格按照《网络安全法》、《个人信息保护法》等国家相关法律法规和行业规范执行，同时还需要相关的管理人员具备一定的数据正当使用安全管理的经验，拥有良好的数据正当使用安全专业知识基础，熟悉常见的数据正当使用监督流程、主流的数据正当使用监管工具，具有能够结合业界标准以及合规标准对数据正当使用过程中可能出现的相关风险进行分析和跟进的能力，并制定相应的数据正当使用安全解决方案。
针对数据使用监管部门的技术人员来说，也必须具备良好的数据正当使用安全风险意识，熟悉相关的法律法规以及政策要求，熟悉主流厂商的数据正当使用监督案例，熟悉主流的数据正当使用监督工具的使用方法，拥有至少一年以上的数据正当使用监管经验，能够定期审核当前的数据资源访问权限，能够依据数据使用规范对个人信息、重要数据的违规使用行为进行处罚，能够熟练配置和使用数据权限管理平台，能够熟练使用数据正当使用日志记录或审计产品，保证可以对数据使用的操作记录进行审计与溯源。
3、落地执行性确认
针对数据正当使用监管岗位人员能力的实际落地执行性确认，可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
4、制度流程
1）数据正当使用管理目的
大数据时代，数据的价值越来越高，容易导致组织内部合法人员被数据的价值吸引而违规、违法的获取、处理和泄露数据。通过建立数据使用过程中的相关责任和管控机制，可保证数据的正当使用。
2）数据正当使用安全规范
关于数据授权的流程及注意点如下：

①提交数据使用申请
a.用户在明确数据使用目的后，需向数据使用监管部门提交《数据使用申请表》，其中的内容包括申请人信息、所在部门、岗位、申请理由、申请内容等。
b.各部门数据权限管理员应实时跟踪本部门用户离司或更换部门情况，及时申请删除用户权限，并在相应的用户申请表上写明权限变动情况，避免数据不正当使用。更换部门后，用户如需使用，则必须由用户新所属部门发起申请。
②评估数据使用范围及内容
a.数据使用监管部门在收到《数据使用申请表》之后，需对所申请的数据使用范围及内容进行风险评估以及合规性审查等工作；
b.数据使用监管部门需对数据使用进行严格规范管理。如，当使用个人信息时，必须征得个人信息主体的明示同意。
③审批
a.数据使用监管部门有权对不规范的授权事宜提出否决意见、对授权范围和内容的变更或终止提出意见；
b.数据使用监管部门审查无误后，方可对使用的数据的范围和内容进行授权；
④授权
a.应配置成熟的数据权限管理平台，限定用户可访问的数据范围；
b.数据授权过程应采取最少够用原则，即给与使用者完成业务处理活动的最小数据集；
c.授权应当符合内部控制的基本要求，做到不相容岗位的有效分离。
d.数据使用监管部门需确定授权的有效期，期满后需重新授权；
e.应建立数据使用的违规处罚制度和惩罚措施，对个人信息、重要数据的违规使用等行为进行处罚，强调数据使用者安全责任；
⑤记录存档
a.数据使用监管部门完成用户权限的设置后，必须将签署后各类授权书存档备案管理；
b.应配置成熟的数据使用日志记录或审计产品，对数据使用操作进行记录审计以备责任识别和追责；
c.数据使用监管部门需监视数据的使用情况，发现可疑授权、可疑使用情况时，及时通报修正；
5、技术工具简述
组织内部在进行数据的使用时，除了制度上需要按照国家相关法律法规和组织内部规章制度进行正当的数据使用外，还需要建立一套访问控制系统，对数据的访问使用进行统一授权，根据不同的权限划定使用范围，确保正确的数据被正确的人使用。并对所有的访问以及使用记录进行审计，使数据的使用全流程可追溯。
对于确保数据正当使用的技术工具来说，需要具备三个重要的组成部分，一个是对使用身份的认证，一个是对身份相应的权限的访问控制，最后一个是对数据使用过程的记录。总的来说就是认证、授权、审计，这是确保数据被正当使用的三大要素，基于这三大要素构建一个统一的身份及访问管理平台，主要可包含基于SSO的IAM统一认证管理与访问管理。
SSO认证技术
SSO全称为Single Sign On，译为单点登录，就是用户通过一次身份鉴别，在身份认证服务器上进行一次认证后，就可以访问被授权的与身份认证服务器相关联的系统和资源，而无需进行不同系统的多次认证。是目前使用得较为广泛的认证方式。SSO提高了网络用户的效率，减少了网络操作的成本，增强了网络安全性。
访问控制技术
访问控制，顾名思义就是控制谁可以访问什么，不可以访问什么的问题。官方的解释是“系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段”，访问控制技术是网络安全体系的根本技术之一。访问控制一般包含三个要素：主体、客体以及控制策略。主体就是发起访问请求的发起者；客体就是被访问的资源；控制策略是主体访问客体的相关规则，包含了在主体与客体之间的授权行为。
访问控制技术的类型主要有：基于授权规则的、自主管理的自主访问控制技术（DAC）；基于安全级的集中管理的强制访问控制技术(MAC)；访问控制列表技术（ACL）；基于授权规则的集中管理的基于角色的访问控制技术（RBAC）；基于授权规则的集中管理的基于属性的访问控制技术（ABAC）；基于授权规则的集中管理的基于身份的访问控制技术（IBAC）。
IAM
IAM是Identity and Access Management 的缩写，中文为身份识别与访问管理，具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。IAM是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。身份和访问管理是一套业务处理流程，也是一个用于创建和维护和使用数字身份的支持基础结构。IAM也被称为“大4A”。4A包含了认证（Authentication）、授权（Authorization）、账号（Account）、审计（Audit），是统一安全管理平台解决方案，融合了统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素。其中4A还涵盖了SSO（单点登录）的功能。
技术工具工作流程和目标
数据正当使用技术工具应能实现如下的目标：
●统一账号管理：能够管理组织内不同系统的用户账号、如操作系统、Web系统、C/S架构应用等。
●统一身份认证：保证数据正当使用的技术工具应当具备统一身份认证的模块，如SSO（单点登录）。
●多因素认证方式：提供多种认证方式，如静态认证、动态认证、生物识别等，组织能够根据需求灵活配置认证方式。
●统一访问控制：针对自动发现的敏感数据，数据脱敏系统可以自动配置最合适的脱敏策略。
●多种访问控制方式：工具应能够根据组织中的不同场景，自动选择合适的访问控制方式，达到最优的访问控制效果。
●统一日志审计：工具能统一管理系统中数据使用的所有审计日志，并能对日志进行分析整理。