指南|《数据安全法》生效在即,政企事业单位实施策略建议
作为我国关于数据安全的首部律法,《数据安全法》的颁布为数据安全保障和数字经济发展奠定重要基石,对政企事业数据安全管理也提出了更高的要求。9月1日,《数据安全法》将正式实施,在数据安全监管不断强化的大形势下,政企事业单位落实好数据安全建设工作成为重要任务。
那么在建设过程中,政企事业单位需重点关注和解决哪些问题,又该如何有规划、有步骤的进行安全建设,满足合规要求?基于《数据安全法》所提出的安全要求和政企事业单位在实际建设过程中面临的难点痛点,美创科技进行整理,为落实《数据安全法》提供参考。
一、 政企事业单位应重点关注的10大问题
1. 确立数据安全相关制度规范,让数据安全管理工作有据可依,有章可循。
2. 进行组织建设,明确数据安全责任人及具体责任要求。
3. 落实 数据分类分级保护,了解数据资产分布,明确数据资产构成、特征、范围及流转情况,利用数据分级目录重点保护重要数据。
4. 开展 数据安全风险评估工作,厘清组织自身的数据安全风险和数据安全能力目标差距。
5. 以数据为中心, 建立健全全生命周期安全能力,加强数据流动安全保护,针对数据流动路径进行安全建设,确保数据依法有序流动。
6. 明确是否存在数据出境问题, 建立数据出境管理制度。
7. 增强员工数据安全意识,定期开展 数据安全教育培训。
8. 制定应急响应预案,做好监测预警及安全事件的应急响应。
9. 关注所在 行业相关规范制度的制定。
10. 采取 符合国家安全标准的技术措施。
二、建立健全数据安全治理体系 做好4大步骤
《数据安全法》明确提出要建立健全数据安全治理体系,企事业单位如何进行数据安全治理体系和安全能力的提升,需做好4大保障:
(1) 数据安全管理保障
(2) 数据安全基础支撑保障
(3) 数据安全技术保障
(4) 数据安全建设运营保障
在安全建设实践过程中,不同单位组织根据自身实际情况制定合适的规划,选择合适的工作实践指南,总体包括4大步骤:
1 、 前期准备(管理保障):明现状,订规划,立组织,定制度,建标准
● 明现状:结合专业安全厂商进行数据安全咨询;识别与梳理重要数据,落地数据分类分级保护;结合行业重要数据目录管理数据;开展数据安全风险评估。
● 订规划:结合数据安全管理、技术现状进行短期、长期安全建设路径规划。
● 立组织:建立数据安全组织框架;开展数据安全教育培训,对内提升组织能力,对外促进数据安全专业人才发展。
● 定制度:以数据安全发展全局视角做好数据安全战略保障的制度建设。
● 建标准:共建共创数据安全技术与能力,制定数据安全相关标准。
2 、 关注安全技术最新发展,做好数据安全基础支撑保障
● 企事业单位应全面认知新技术、新需求和新场景给数据安全防护带来全新挑战,转变过去“被动防御”的传统安全思维,以数据为中心持续优化数据安全架构,通过输出各项数据安全产品能力,实现主动化、立体化防护。
3 、 基于数据全生命周期,做好数据安全技术保障
● 建立覆盖数据采集、传输、存储、处理、交换、销毁全生命周期安全防护体系,综合利用数据源验证、传输加密、加密存储、隐私保护、数据防泄漏、监管审计、追踪溯源、数据销毁等技术。
4 、 数据安全管理与运营,做好数据安全建设运营保障
● 提升数据安全态势感知能力,加强数据安全风险信息的获取、分析、研判、预警工作;建立数据安全应急处置机制,加强数据安全风险监测。
三、政企事业单位安全建设过程涉及的技术手段
全生命周期安全管理
1 、数据全生命周期管控手段
● 数据采集:主要关注数据的采集源,需提前完成数据资产定性,梳理采集内容、采集方式、敏感信息等,并采用级访问控制技术实现对数据采集分析、使用人员授权的合规性管控。
● 数据传输:主要关注为对数据传输加密和防泄漏建设,需确定传输通道方式(SM1-SM4)、校验方式符合相关规范和所制定的传输策略,并且可监测相关通道的数据流量及通道状态。
● 数据存储:主要关注为存储保护能力建设,需梳理存储位置、存储方式、数据归档周期、数据分类、数据级别等,对入库数据进行安全审核并完成数据存储加密,确保数据存储安全,并制定数据的备份和恢复策略、存储保护措施。
● 数据处理:主要关注为对各业务系统的数据交换阶段所需的数据脱敏、数据加密进行管理,并遵循最小化权限原则,限定数据的使用范围,审计数据的操作过程。
● 数据交换:主要关注为对数据交换权限划分,需对相关数据应用申请进行安全审查,并且跟踪敏感数据的访问,对敏感数据进行脱敏并建立溯源能力,展示数据交换过程和内容,并对交换过程中异常数据进行监测分析。
● 数据销毁:主要关注为规范数据销毁操作流程,明确的销毁数据对象、销毁方法、销毁操作流程及销毁责任人;建立剩余敏感数据自动识别机制,确保应销毁的数据被完全销毁。
2 、安全感知和风险监控
● 安全感知是未来组织数据安全建设中重要安全能力,是基于环境的、动态、整体洞察安全风险的能力。在该安全防护层次,以安全审计数据、风险数据、告警数据、运行数据、业务运行状态等为基础,从全局视角提升对安全威胁的发现识别、理解分析和相应处置能力,为安全决策提供支撑。