一、系列政策法规发展
近日,国家互联网信息办公室发布了关于《网络数据安全管理条例(征求意见稿)》(下面简称“征求意见稿”)公开征求意见的通知。此份征求意见稿的拟定,旨在落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
此前,国家也发布了与数据安全、信息安全相关的法律法规,并在各自的解释范畴内强调了不同层面的安全保护,如:
《网络安全法》强调的是保障网络安全。对于数据安全的具体保护仅在第十八条中“ 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展”提及。
《数据安全管理办法》征求意见稿发布后,在随后第二年举行了初次审议。而第三年通过的《数据安全法》则在今年9月1日正式执行。该法律法规的颁布,全面地规定了数据安全在数据收集、存储、传输、处理、使用等生命周期中的安全规范。但对于个人信息的定义却没有给出具体解释。
《网络安全等级保护条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,标志着等级保护正式迈入2.0时代。
《个人信息保护法》在此前《数据安全法》的生命周期上新增了加工、提供、公开、删除等环节。
可以说,上述几部法律法规之间相互关联,相互支持,但又强调了不同的安全防护点,但在具体落地和实践上,却都留有一定空白。值得关注的是,也是这一空白的存在,推动了《网络数据安全管理条例(征求意见稿)》的出台,为《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等提供了最佳实践方向与路径。
与此前网安行业相关政策法规内容不一样的是,在《网络数据安全管理条例(征求意见稿)》中,明确对数据采取分类分级保护制度,数据分为一般数据、重要数据、核心数据等三大类,不同级别的数据采取不同的保护措施。
这一举措的提出,与当前互联网用户越来越多;“万物皆可物联”现状下物联网产生的众多数据;数字经济转型催生企业业务系统纷纷云化等的数据指数型增长的局面相互呼应。
本着“物善其用”的成本和资源控制原则,对数据进行分级分类,让数据处理者能够集中重要的安全成本保护重要核心数据,安全利益最大化。《网络数据安全管理条例(征求意见稿)》对重要数据的具体解释与定义,以及明确了如何对数据要素中的重要数据进行管理等内容也成为此次意见稿中值得关注的关键内容。
征求意见稿核心解读
第三章个人信息保护
1、处理规则:个人信息处理者应该制定并执行处理规则,包括信息清单(含第三方)、限定期限、安全风险、保护措施、投诉渠道、解决途径等内容。
2、个人同意:收集信息前获得个人同意、敏感信息需单独同意、儿童信息需监护人同意。
3、信息删除:目的达成、合同到期、终止服务、注销账号,需在十五个工作日内删除数据。
4、请求响应:个人提出数据查阅、复制、更正、补充、限制处理、删除、转移等请求时,需在十五个工作日内处理并反馈。
5、生物特征:数据处理者不能只提供生物识别一种认证方式。
第四章重要数据安全
1、建立目录:重要数据和核心数据都需要建立数据目录并报国家网信部门。
2、管理机构:重要数据处理者应该成立数据安全管理机构。
3、识别备案:重要数据识别以后十五个工作日内向设区的市(通常是地级市)级网信部门报告。
4、安全培训:制定并执行全员数据安全培训计划,每年培训时长不得少于二十小时。
5、安全评估:处理重要数据或者赴境外上市的数据处理者应每年开展一次数据安全风险评估,并于1月31日前上报设区的市(通常是地级市),评估报告至少保留三年。
6、采购评估:国家机关和关基运营者采购云服务,要通过国家网信部门会同国务院有关部门开展的安全评估。
围绕数据安全展开的具体管理意见稿的起草与拟定,也表明了国家在当前以及未来很多年内会持续关注和强化数据安全发展的相关管理。对于想抓住数字经济发展风口、云计算、AI、5G技术的互联网侧、信息化企业用户而言,也需要提前关注和了解如何围绕重要核心数据开展有效的数据安全建设与治理。
作为致力于提供云安全领域相关产品、服务及解决方案,是国内最早引入云工作负载(CWPP)安全概念,并成功构建相应产品线的专业云安全厂商,安全狗结合了自身多年的数据安全治理专业经验,围绕数据安全治理的核心四个问题做了全面思考与解读。
数据是指任何以电子或者其他方式对信息的记录。
“数据”和“信息”之间的关系一直处于模糊的状态,根据业界常见的解释,一般可以分为两类关系:一是包含关系,即,“信息”包含在“数据”内或“数据”包含在“信息”内;二是交叉关系,即,“信息”与“数据”之间没有明确区分。本文里描述的数据主要是个人数据和重要业务数据。
在上述的政策法规中,都或多或少地提及了数据安全治理的几个生命周期,概括总结起来主要有:收集、存储、使用、加工、传输、提供、公开、销毁等8个生命周期。
对于数据处理者而言,自身的发展规模、业务数据体量等参差不齐,对应的能覆盖到的生命周期也有所差异。企业用户应围绕自身的发展现状以及未来的发展计划等有针对性地围绕具体的数据加密脱敏、数据防泄露、数据保护与业务身份结合、数据访问治理与流转审计、数据中台与安全引擎集成等5个场景做好数据安全保护。
前文提到的,在信息爆炸的时代下,不管是个人还是企业单位或者国家每天面临的数据量都异常庞大,不可能对全部数据进行一一处理与消化。因此,在保护数据时,应考虑的是实现保障数据机密性,维护核心价值;有效降低或避免数据泄漏事件的发生;降低业务风险;满足合规要求;实现数据安全管理的可优化等目标。
第四问:哪些企业部门该牵头承担数据安全治理的责任?
经历了几年的发酵与发展,数据安全这一概念才得到重视,这与科技、经济等时代发展离不开关系。总体而言,数据安全还是属于新事物,落实到企业用户的具体实践上还需要一定的消化时间。
企业内部,由于业务部门对核心数据的重要价值比较清楚,而风控合规部门和法务审计部门等对国家政策法规的敏感度更高,所以需要由业务部门牵头,在风控合规部门和法务审计部门的指导下,依靠信息部门或者外部安全顾问配合具体安全技术落地,从而确保企业重要数据安全获得有效保障。
凭借自身对云安全、数据安全领域的行业敏感嗅觉以及市场洞悉,安全狗结合自身多年的安全技术实力,结合了数据安全成熟度模型DSMM、Gartner数据保护方法论等国际主流安全模型,提出了以数据为中心的安全建设思路和解决方案:以数据资产为核心构建数据安全防护体系,协助企业用户在数字化转型;持续风评、不断调整 ;制定全生命周期安全策略;摸清数据家底;实时监测、智能分析、智能控制;落实管理与技术过程中满足合规要求。
在数据安全治理、数据安全评估、数据安全整改等三个阶段中,安全狗可以提供相应的安全服务。
数据安全治理服务:主要包含组织建设服务、制度建设服务等。与需要满足等保合规的网络安全建设不同的是,企业应结合自身业务最核心的数据采取风险监测、控制手段建立数据安全保障体系。
数据安全评估服务:主要包含基础设施评估服务、资产梳理服务、技术评估服务等。在业务层面上,对业务应用的现状、使用情况进行调研、分析,确定业务的关联关系、访问的关键路径、数据的流向及演变过程,结合对基础安全管控措施的分析,找出主要业务所面临的管理、技术及运营风险。其次,集合多个业务系统的调研结果,找出系统间的共性问题,为制定业务的数据安全管理规范提供第一手的参考依据。
数据安全整改服务:主要包含加固服务、咨询建议等。通过通用技术安全平台与手段,对数据全生命周期安全各个阶段进行分析与整改。
近年来,依托安全狗稳定的安全实力与服务能力,安全狗的数据安全建设方案在不同场景下也得到进一步的落地与实践。
落地场景1:
落地场景2:
作为国内云安全领导厂商,未来,安全狗将结合自身在云安全领域的专业技术优势,持续提升自身的安全实力,为更多企业用户单位提供强而有力的数据安全“后盾”,助力用户的重要核心数据健康安全发展,为我国的数字经济转型深入发展贡献力量。
如若转载,请注明原文地址