当前,数据安全事件频发,国内外数据泄露事件日益增多,数据泄露体量越来越大,数据不仅关乎每个人、每个组织的利益,同时与国家安全、经济发展有着密切的关系,必须得到全方位保护。《数据安全法》今日(2021年9月1日)正式实施,标志着我国数据安全建设工作及监管工作正式步入有法可循、有法可依的新时代,为我国数字经济体系建设保驾护航,得到社会各界的广泛关注。思维世纪作为数据安全先导企业,围绕组织的数据安全义务和典型问题,与各位同仁一起探讨,组织如何开展数据安全合规建设。
开展数据分类分级,夯实分级防护基础
《数据安全法》第21条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
万丈高楼平地起,打好“地基”是高楼是否建成的关键。数据安全也一样,需要夯实“地基”,才能够将数据的安全做好。组织只有清楚的知道自身有哪些数据、哪些是敏感数据、都分布在哪里,在哪环节存在敏感数据,才能更好的制定组织数据安全防护措施。
数据分类分级就是数据安全的“地基”,通过数据分类分级能够帮助组织理清自身数据及敏感数据分布、数据流转、数据全生命周期各环节存在数据的情况。组织实施数据分类分级基本流程如下:
在制定数据分类分级管理制度、策略时,可参考国标、行标及地方标准,目前各地区、行业领域已发布数据分类分级标准情况如下:
基于企业内部数据分类分级制度,结合数据样本特征,采用正则表达式、关键词、自然语义分析、文件指纹对比等技术,构建敏感数据识别模型、分类分级处理模型,实现数据分类分级自动识别,并形成数据资源清单,实现数据分类分级管理和重要数据管理。数据分类分级技术手段建设思路如下:
技术手段建设完成后,定期开展数据分类分级扫描、核实工作,形成数据分类分级清单及重要数据保护清单,为后续实施差异化数据安全管控提供支撑。
建立安全管理体系,落实数据安全责任
《数据安全法》第27条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
古人云:无规矩不成方圆。组织开展数据安全治理前,应建立健全全流程数据安全管理制度,明确数据安全负责人和管理机构,明确数据安全保护要求,细化组织各层级数据安全管理制度;建立数据安全培训机制和应急响应机制,定期开展应急演练和教育培训;“以查促改”定期开展数据安全制度落实情况的监督检查,确保数据安全各项要求落实到位。
完善安全技术措施, 提升安全防护能力
《数据安全法》第27条规定,采取相应的技术措施和其他必要措施,保障数据安全,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
在网络安全等级保护的基础上,全面开展数据安全技术能力梳理,对标《信息安全技术 个人信息安全规范》(GB/T 35273)、《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)等国家标准及行业领域标准,如电信领域《电信网和互联网数据安全通用要求》(YD/T 3802-2020)、金融领域《个人金融信息保护技术规范》(JR/T 0171-2020),进行差距风险及时发现组织的薄弱环节。
依据对标结果,在数据分类分级的基础上,根据不同敏感等级,完善组织数据安全技术措施,如数据脱敏、数据血缘、数字水印、数据加密、数据源鉴别、隐私计算、监测预警、安全态势、安全审计等技术防护措施。
加强安全风险监测,强化风险洞察能力
《数据安全法》第29条规定:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。
建立数据安全监测平台,通过对互联网业务系统出口进行流量采集或内部核心业务流量出口,基于全流量访问解析,实现用户信息数据识别、爬虫和拖库等异常行为监测、数据跨境异常访问行为监测、数据泄露事件分析、违规行为电子取证等数据安全问题。通过加强数据安全风险监测,强化组织安全风险洞察力,及时发现组织内部及外部数据访问、传输等环节中存在的数据安全缺陷、漏洞等风险,并及时预警。同时通过API与其他安全措施进行联动处置,降低数据安全风险。
开展安全风险评估,形成风险管理闭环
《数据安全法》第30条规定:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
涉及重要数据处理的组织定期开展风险评估,查漏补缺,及时发现数据安全风险,并将风险管理能力固化的组织安全系统或管理系统,实现安全风险数字化和可视化,加强组织安全风险管理能力。同时与主管部门建立风险评估上报及沟通协调机制,及时报送数据安全风险评估报告。风险评估可参考标准规范如下:
通过对安全风险的综合分析研判,持续优化组织数据安全管理策略、技术能力,基于内部和外部风险情况及处置方法,建立数据安全风险知识库,积累数据安全风险发现、处置经验,提升组织安全风险的管控能力。
思维世纪
成都思维世纪科技有限责任公司(简称:思维世纪)成立于2001年,是国内数据安全、内容安全、安全服务的先导企业。围绕数据安全法第21条及组织法定的责任义务,思维世纪提供如下数据安全系列产品和数据安全系列服务,帮忙企业围绕《数据安全法》开展数据安全合规建设。
数据安全系列产品,帮助企业开展数据分类分级,夯实基础,加强数据安全风险监测,及时发现内外部数据安全风险,进行联动处置,降低数据安全风险。
数据安全服务,帮助企业制定数据安全顶层设计,建立全流程数据安全管理体系,数据安全技术能力体系建设,安全风险评估,数据安全应急等,旨在帮助客户落实《数据安全法》相关规定,履行数据安全保护义务。
— 往期回顾 —