华为数据安全治理实践
AI智能总结
华为数据安全治理实践 数据安全治理11/30框架 商标声明 ,,是华为技术有限公司商标或者注册商标,在本手册中以及本手册描述的产品中,出现的其它商标,产品名称,服务名称以及公司名称,由其各自的所有人拥有。 免责声明 本文档可能含有预测信息,包括但不限于有关未来的财务、运营、产品系列、新技术等信息。由于实践中存在很多不确定因素,可能导致实际结果与预测信息有很大的差别。因此,本文档信息仅供参考,不构成任何要约或承诺,华为不对您在本文档基础上做出的任何行为承担责任。华为可能不经通知修改上述信息,恕不另行通知。 目录CONTENTS 随着5.5G、云计算和AI等技术的快速发展,全球的数字化进程进一步深化,我们由此步入了全联接、数字化、智能化的新世界。在这个新世界里,数据已经成为与土地、劳动力、资本和技术并列的核心生产要素,其价值正通过技术创新与产业融合不断释放,从智能制造的精准调控到智慧城市的高效运转,从无差别的网络服务到个性化体验,数据驱动的创新正在重塑社会生产生活方式。AI数据作为数据的重要组成部分,为人工智能技术的发展提供了强大的支持,促进了AI科技创新并推动了各行各业的智能化转型。 然而,数据价值的实现必须建立在安全可控的基础之上,保障数据安全成为当前全球各个国家和地区都面临的重大挑战。数据安全不仅关乎个人信息安全与企业商业利益,更涉及国家安全与公共利益。近年来,全球范围内数据安全事件频发,如数据泄露、数据勒索等,导致生产或服务中断,甚至直接引发巨额经济损失与信任危机。这些事件深刻警示我们,数据的流动和使用如果没有安全保障,数字经济的发展将失去根基。保障数据处理合规与安全既是法律遵从的基本要求,也是保障企业数字化业务成功的基石。 02华为数据安全治理框架02 2.1主线一:数据安全治理..................................................................................................032.2主线二:数据安全实施..................................................................................................052.3主线三:数据安全工程能力.........................................................................................06 在发挥数据价值的同时,保障数据安全,企业需要完善治理体系,需要构建覆盖数据收集、数据传输、数据存储、数据使用、数据流通与跨境以及数据处置等全生命周期的防护体系,需要构建数据安全工程能力。华为作为全球领先的ICT1基础设施和智能终端提供商,业务遍及170多个国家和地区,且业务类型复杂多样,需要构建一套数据安全治理方法,用于遵从适用的数据安全法律法规和标准要求并提升数据安全实施的效率。华为对外部数据安全法律、法规及标准进行了系统性地洞察,构建了一套适合自身业务的数据安全治理框架,系统地归纳了数据安全的相关控制要求,形成数据安全治理的控制措施集,为各业务领域的数据安全工作提供了指引,并在建立数据安全治理的长效机制方面取得了良好的效果。 华为的数据安全治理实践0703 3.1实践一:数据安全组织角色和职责........................................................................... 073.2实践二:数据安全分类分级.........................................................................................083.3实践三:华为云数据安全实践.................................................................................... 093.4实践四:终端云数据安全实践.................................................................................... 103.5实践五:AI数据安全治理实践................................................................................... 113.6实践六:数据中心多层联动数据防勒索实践........................................................ 123.7实践七:数据跨境转移实践.........................................................................................143.8实践八:数据安全管理IT工具...................................................................................15 结束语1604 附录:华为数据安全治理框架目录17 理框架,共采用四级目录,分别是L1(主线5)、L2(控制域6)、L3(控制项7)、L4(具体控制措施)。 华为数据安全治理框架 如图1所示,华为数据安全治理框架的一级目录(L1)可分为“数据安全治理”、“数据安全实施”和“数据安全工程能力”三条主线: 华为尊重各国的数据主权,在各业务所在国家/地区,遵从适用的数据安全法律法规和强制性数据安全标准,公平、公正地参与国际市场竞争,致力于让各业务所在国家/地区的客户在数据安全领域的权益得到充分保障。 •主线一“数据安全治理”:从数据安全治理的顶层设计出发,整合了政策、组织、意识、度量以及事件响应等控制域和控制项。 华为数据安全治理框架在制定之初,将全球有关数据安全的法律法规、标准纳入洞察范围,这些法律法规和标准有: •主线二“数据安全实施”:覆盖数据清单、风险评估以及数据全生命周期的管理,从收集、传输、存储、使用、流通/跨境、处置等数据处理环节分别提出了数据安全工作要求。 •中国:《数据安全法》、《网络数据安全管理条例》、《工业和信息化领域数据安全管理办法(试行)》、《工业和信息化领域数据安全事件应急预案(试行)》等,以及《GB/T 41479-2022网络数据处理安全要求》等数据安全标准 •主线三“数据安全工程能力”:覆盖产品/服务的开发阶段以及数据处理活动的运营阶段所需要的数据安全工程能力。 •欧盟:《数据法》、《数字服务法》、《人工智能法》等法律法规中的数据安全条款 框架在L1(三条主线)下面,设置了11个控制域(L2)、30个控制项(L3)以及84项具体控制措施(L4,具体控制措施要求会定期审视,数量会有所变化)。鉴于华为已经具备隐私保护治理框架8,华为数据安全治理框架聚焦于数据安全法律法规视角下对重要数据的要求,以及对个人信息保护的增量要求(如处理超过1000万人个人信息时,应当明确数据安全负责人,建立数据安全管理机构)。 •国际:DAMA-DMBOK 2.0,以及各国的数据安全立法 华为对上述法律法规和标准,经过分解2、重组3,并结合华为的实践经验进行归纳4总结,形成数据安全治 下文对框架的三条主线(L1)各自所包含的控制域(L2)进行详细说明。 中国《数据安全法》《网络数据安全管理条例》等 2.1主线一:数据安全治理 数据安全治理主线列出了由治理团队牵头的、不针对具体业务的通用控制措施集,主要包括: 1战略与政策 本控制域明确了洞察外部数据安全要求(法律、法规与标准等)并转化为内部的数据安全管理制度,以及制定、更新和维护数据安全管理制度的具体要求。华为各业务领域参照本控制域的数据安全要求,结合本业务领域数据处理相关的法律、法规、业界标准与行业优秀实践,及时更新本领域的数据安全管理制度(或融入现有网络安全与隐私保护的管理制度)、流程和实践指南以响应变化。 欧盟《数据法》《数字服务法》中的数据安全相关条款 2分解也称之为切片,是将选取的法律法规、标准切分为独立的条款,并视条款的完整程度补齐上下文(Who、When、Where、What、How),使切分后的条款能够单独适用。3重组是将适用于同一场景(对应上述框架的L3)的所有条款要求填充到框架对应的控制措施栏目(对应上述框架的L4),并标注原始出处,合并后的控制措施中存在来自不同外部要求中的针对同一场景的重复或相近的要求,作为底稿,为下一步的归纳总结提供输入。4归纳,即针对重组的结果进行抽象总结,形成可供业务实施的控制措施。5主线,指控制措施的主要划分依据(本框架主要依据落实控制措施的工作任务分工来划分),用于描述控制措施集的一级目录(L1)。6控制域,指控制措施所针对的领域,用于描述控制措施集的二级目录(L2)。7控制项,指控制措施所针对的具体事项,用于描述控制措施集的三级目录(L3)。8华为隐私保护治理框架:https://www-file.huawei.com/-/media/corp2020/pdf/trust-center/huawei_privacy_protection_governance_white_paper_2022_cn.pdf 10+套国内外数据安全标准 2组织、流程与整体能力要求 2.2主线二:数据安全实施 本控制域明确组织架构、流程与能力方面的整体要求,为数据安全组织架构的设计、流程指南的建设以及能力储备提供指引。基于控制域和控制项的相关要求,华为建立了数据安全管理机构,并在各业务领域任命数据安全负责人。 数据安全实施主线列出了各数据处理活动所在的业务部门需要执行的控制措施集,包括: 1数据清单(Data Inventory) 3意识与文化 本控制域分别从数据安全分类分级、数据处理情况记录和数据资产清单等方面提供数据安全指引,保障数据处理活动记录的完整性和准确性。各业务领域参照本控制域的要求,及时维护高风险、高价值的数据处理记录(含数据处理者基本信息、处理目的、保障措施、委托处理与出境情况等)。 本控制域以提升员工的数据安全意识和能力为目标,从数据安全培训规划、培训内容及效果评估等方面提供了指引。华为已规划和实施定期的全员数据安全意识培训及专业人员能力培训,并对培训效果进行跟踪评估。 4度量与改进 2数据安全风险评估 本控制域包含度量、稽查与审计等方面的要求。华为已建立业务领域自检,数据安全专业团队的度量、稽查,以及审计在内的三层监督检查机制,通过度量、稽查和审计的问题管理与闭环,促进业务持续改进。 本控制域包括开展数据安全风险评估的相关要求(如例行审视),和开展数据安全风险评估应当包含的评估内容。华为各业务领域针对高风险、高价值的业务场景,将数据安全风险评估融入业务流程,开展数据安全风险评估工作,识别业务场景中潜在的数据安全威胁和风险,并实施适当的风险处置措施。 5沟通与社会责任 3数据安全生命周期 本控制域包含向监管报送相关报告(如数据安全风险评估报告)、履行社会责任、接受社会监督等方面的要求,以及向业界分享数据安全实践、参与国际/国内标准制定等。 本控制域明确了数据安全的生命周期阶段以及各个阶段的数据保护要求,这些阶段包括: 6数据安全事件 •数据收集:明确数据收集的目的、范围、来源合法以及安全措施等要求;用于AI训练的数据,还应对数据和数据源进行识别和记录。•数据传输:明确数据传输过程中的通道安全配置、密码算法、数字证书、密钥保护等要求。•数据存储:明确数据安全存储、访问控制、归档、数据备份与恢复等要求。•数据使用:明确禁止使用的场景、用于AI训练时的预处理与数据治理的过程要
