数据运营及内容服务；业务支撑部门和网络维护部门作为大数                           图1 合作单位安全监管分工界面
            据提供方，承担大数据生产职能，负责数据的采集、传输、处
            理工作，并建设运维大数据平台，为大数据业务应用提供数据
            挖掘、数据分析、数据脱敏等能力支撑；信息安全部门作为大
            数据安全管理方，承担大数据安全管理职能，负责制定大数据
            安全保护管理制度，研究大数据安全保护的技术手段，定期组
            织大数据安全检查，从总体上对大数据安全管理起到指导、协
            调、监督等作用。
                传统的面向集团客户/行业客户产品主要是一些标准化产品
            和行业应用，这类产品运营过程中产生的数据均保存在公司内
            部，不涉及对外合作。因此，在传统信息安全管理体系中，相
            关部门只需做到公司内部的关键环节可管可控，即可满足安全
            防护的需求。大数据业务作为一种新兴业态，较传统业务相比
            增加了数据共享环节，数据消费方大多为外部合作单位，必然
            造成数据在大量外部合作单位中开放共享，任一方措施不当，
            都可能引起数据泄漏。然而目前的管理职责分工中，没有明确
            各部门在大数据对外合作监管中应承担的主体责任，造成了工
            作边界不清，部门间相互推诿的现象时有发生。                                的安全管理和技术手段直接对合作单位进行过程管控。大数据
                笔者曾就大数据对外合作责任归属问题访谈了大数据提供                        提供部门还应定期对合作单位的大数据使用情况进行审计，及
            方、大数据业务管理方、大数据安全管理方的相关人员。大数                          时发现问题并责令其整改，确保形成管理闭环。
            据提供方认为，一旦数据离开了大数据平台，数据的权属就转                              大数据安全管理部门作为安全归口管理部门，应对合作单
            移到数据业务管理方，按照“谁使用、谁负责”的原则，应该                          位的安全资质进行审查，对于安全管理制度和安全防护手段进
            由大数据业务管理方对外部合作单位进行监管。大数据业务管                          行评估，防止合作单位存在安全管理或技术漏洞而导致数据泄
            理方认为，作为前台的经营部门，其职责主要在业务开发和推                          露。大数据安全管理部门以问题为导向对合作单位进行监管，
            广上，安全管理工作应该由信息安全管理部门统一扎口。大数                          通过定期检查的方式发现各类安全隐患和违规问题，及时为业
            据安全管理方认为，大数据保护与业务流程紧密相关，只有将                          务发展“踩刹车”。
            安全管控嵌入到日常业务流程中，才能将大数据安全管理办法                              通过对合作单位安全监管要求的梳理，按照事前、事中、
            真正落地，大数据业务管理方作为大数据主管部门责无旁贷。                          事后的顺序将监管职责细分3个阶段、9项任务，并明确大数据
            从访谈结果可以看出，由于公司内部缺少大数据对外合作监管                          提供方、大数据业务管理方和大数据安全管理方的责任矩阵，
            的框架，各方对于职责划分看法不一致，使得合作单位成为了                          如表1所示。
            “三不管”的监管死角。                                           表1 合作单位安全监管责任矩阵

                二 、运营商大数据安全管控机制优化建议
                大数据业务涉及数据的全生命周期管理，与传统业务相比
            关键环节多，涉及到众多外部合作单位，在实际工作中容易造
            成监管缺失。要解决合作单位安全监管职责不清的问题，需要
            各部门通力合作，加强沟通协调，厘清工作界面，共同推动监
            管工作落地，如图1所示。
                大数据业务管理部门与合作单位的联系最为密切，需要把                            1、事前安全防范
            好第一道关卡。在合作单位提出合作申请时，应该对其基本资                              （1）合作单位资质审查
            质进行严格审核，筛选掉以往存在不良记录的合作单位。大数                              要解决合作单位监管问题，首先必须从源头抓起，在大数
            据业务管理部门还承担着合作单位和其他相关部门的沟通桥梁                          据业务开展之前针对合作单位开展全面的调研审查，确定其是
            作用，牵头协调相关部门对合作单位开展各层面的调查，并将                          否具备开展大数据业务相关的能力，是否具备完善的安全管理
            合作单位的情况及时反馈到公司内部。在大数据业务完成后，                          和技术能力，是否存在数据泄露而危害国家安全、用户权益的
            大数据业务管理部门还需要对合作方进行后评估，为后续合作                          风险。
            开展提供参考。                                                  在这一过程中，由大数据业务管理部门开展合作单位背
                大数据提供部门作为数据所有者，在开展安全监管时拥有                        景调查，重点做好合作方股权关系、境内外合作关系、既往合
            很大的主动权。在业务开展之前，应该对合作单位需求的可行                          作情况、运营历史背景等的调查。如涉及与境外单位合作，需
            性进行审核，对于违反数据保护规定的需求应予以拒绝。围绕                          要及时上报上级主管部门，经批准后方可开展合作。合作单位
            着数据的全生命周期的各个阶段，大数据提供部门应采取相应                          自身的安全水平也非常重要，应由大数据安全管理部门开展合

                                                      网络电信 二零一九年一、二月                                           25