指南|《数据安全法》生效在即,政企事业单位实施策略建议

作为我国关于数据安全的首部律法,《数据安全法》的颁布为数据安全保障和数字经济发展奠定重要基石,对政企事业数据安全管理也提出了更高的要求。9月1日,《数据安全法》将正式实施,在数据安全监管不断强化的大形势下,政企事业单位落实好数据安全建设工作成为重要任务。

那么在建设过程中,政企事业单位需重点关注和解决哪些问题,又该如何有规划、有步骤的进行安全建设,满足合规要求?基于《数据安全法》所提出的安全要求和政企事业单位在实际建设过程中面临的难点痛点,美创科技进行整理,为落实《数据安全法》提供参考。

一、       政企事业单位应重点关注的10大问题

1.       确立数据安全相关制度规范,让数据安全管理工作有据可依,有章可循。

2.       进行组织建设,明确数据安全责任人及具体责任要求。

3.      落实 数据分类分级保护,了解数据资产分布,明确数据资产构成、特征、范围及流转情况,利用数据分级目录重点保护重要数据。

4.      开展 数据安全风险评估工作,厘清组织自身的数据安全风险和数据安全能力目标差距。

5.      以数据为中心, 建立健全全生命周期安全能力,加强数据流动安全保护,针对数据流动路径进行安全建设,确保数据依法有序流动。

6.      明确是否存在数据出境问题, 建立数据出境管理制度

7.      增强员工数据安全意识,定期开展 数据安全教育培训

8.       制定应急响应预案,做好监测预警及安全事件的应急响应。

9.      关注所在 行业相关规范制度的制定。

10.  采取 符合国家安全标准的技术措施。

二、建立健全数据安全治理体系 做好4大步骤


《数据安全法》明确提出要建立健全数据安全治理体系,企事业单位如何进行数据安全治理体系和安全能力的提升,需做好4大保障:

(1)  数据安全管理保障

(2)  数据安全基础支撑保障

(3)  数据安全技术保障

(4)  数据安全建设运营保障

在安全建设实践过程中,不同单位组织根据自身实际情况制定合适的规划,选择合适的工作实践指南,总体包括4大步骤:

1  前期准备(管理保障):明现状,订规划,立组织,定制度,建标准

● 明现状:结合专业安全厂商进行数据安全咨询;识别与梳理重要数据,落地数据分类分级保护;结合行业重要数据目录管理数据;开展数据安全风险评估。

● 订规划:结合数据安全管理、技术现状进行短期、长期安全建设路径规划。

● 立组织:建立数据安全组织框架;开展数据安全教育培训,对内提升组织能力,对外促进数据安全专业人才发展。

● 定制度:以数据安全发展全局视角做好数据安全战略保障的制度建设。

● 建标准:共建共创数据安全技术与能力,制定数据安全相关标准。

2  关注安全技术最新发展,做好数据安全基础支撑保障

● 企事业单位应全面认知新技术、新需求和新场景给数据安全防护带来全新挑战,转变过去“被动防御”的传统安全思维,以数据为中心持续优化数据安全架构,通过输出各项数据安全产品能力,实现主动化、立体化防护。

3  基于数据全生命周期,做好数据安全技术保障

● 建立覆盖数据采集、传输、存储、处理、交换、销毁全生命周期安全防护体系,综合利用数据源验证、传输加密、加密存储、隐私保护、数据防泄漏、监管审计、追踪溯源、数据销毁等技术。

4  数据安全管理与运营,做好数据安全建设运营保障

● 提升数据安全态势感知能力,加强数据安全风险信息的获取、分析、研判、预警工作;建立数据安全应急处置机制,加强数据安全风险监测。

三、政企事业单位安全建设过程涉及的技术手段


全生命周期安全管理

1 、数据全生命周期管控手段

● 数据采集:主要关注数据的采集源,需提前完成数据资产定性,梳理采集内容、采集方式、敏感信息等,并采用级访问控制技术实现对数据采集分析、使用人员授权的合规性管控。

● 数据传输:主要关注为对数据传输加密和防泄漏建设,需确定传输通道方式(SM1-SM4)、校验方式符合相关规范和所制定的传输策略,并且可监测相关通道的数据流量及通道状态。

● 数据存储:主要关注为存储保护能力建设,需梳理存储位置、存储方式、数据归档周期、数据分类、数据级别等,对入库数据进行安全审核并完成数据存储加密,确保数据存储安全,并制定数据的备份和恢复策略、存储保护措施。

● 数据处理:主要关注为对各业务系统的数据交换阶段所需的数据脱敏、数据加密进行管理,并遵循最小化权限原则,限定数据的使用范围,审计数据的操作过程。

● 数据交换:主要关注为对数据交换权限划分,需对相关数据应用申请进行安全审查,并且跟踪敏感数据的访问,对敏感数据进行脱敏并建立溯源能力,展示数据交换过程和内容,并对交换过程中异常数据进行监测分析。

● 数据销毁:主要关注为规范数据销毁操作流程,明确的销毁数据对象、销毁方法、销毁操作流程及销毁责任人;建立剩余敏感数据自动识别机制,确保应销毁的数据被完全销毁。

2 、安全感知和风险监控

● 安全感知是未来组织数据安全建设中重要安全能力,是基于环境的、动态、整体洞察安全风险的能力。在该安全防护层次,以安全审计数据、风险数据、告警数据、运行数据、业务运行状态等为基础,从全局视角提升对安全威胁的发现识别、理解分析和相应处置能力,为安全决策提供支撑。

(0)

相关推荐

  • 专题丨数据安全治理体系与技术研究

    李晓伟  吴迎  邹彧  白云飞 (兴唐通信科技有限公司,北京 100191) 摘要:随着数字产业化和产业数字化的快速推进,数据已经成为数字化转型时代的核心竞争力.随着数据成为资产,成为基础设施,数据 ...

  • 数据安全:数据安全能力成熟度模型

    万事万物谈及安全,理应都是全生命周期性的安全,数据安全自然也要考量其全生命周期,数据安全要从数据采集安全.数据传输安全.数据存储安全.数据处理安全.数据交换安全.数据销毁安全.通用安全等维度进行要求. ...

  • 大数据面临哪些安全问题与挑战?

    2019年05月21日     沈丹[导读]由于大数据环境下终端用户非常多,且受众类型较多,对客户身份的认证环节需要耗费大量处理能力.大数据所存储的数据非常巨大,往往采用分布式的方式进行存储,而正是由 ...

  • 数据安全面面观

    数据安全面面观

  • 哪个网盘比较好? | 好用的网盘坚果云

    网盘就是一个位于云端的文件存储管理器,使用网盘的便利好处就不多提了,一个账号轻松搞定文件存储问题,而且不用担心云端数据安全性,基本上云端数据,不管公有云还是私有云,防攻击的保护措施都是很不错的,不过有 ...

  • 为什么事业单位的人不建议考事业单位,而更建议考公务员?

    (最近在为一项重要工作冲刺,好几天没有更新了,好在重要工作即将收尾,也算画上一个句号吧) 正文: 机关.企事业单位,是我们对三种体制内单位的称呼. 设想一个场景:友人相见,互相寒暄,一个不熟悉的朋友问 ...

  • 财政部发文明确2014年起行政事业单位实施内控管理

    记者17日从财政部获悉,为了进一步提高行政事业单位内部管理水平,规范内部控制,加强廉政风险防控机制建设,财政部日前制定印发了<行政事业单位内部控制规范(试行)>,明确自2014年起行政事业 ...

  • 2021云南保山事业单位招聘报名数据:11613人过审

    2021云南保山事业单位招聘报名数据:11613人过审,成功缴费10743人,最热竞争比554:1(截至到4月27日24时缴费结束)已发布.为了让考生能够了解更多云南事业单位招考资讯信息,云南中公事业 ...

  • 机关事业单位正确行事指南(建议收藏)

    机关事业单位正确行事指南(建议收藏)

  • 机关事业单位行事指南40条(值得收藏)

    机关事业单位行事指南40条(值得收藏)

  • 今日《数据安全法》生效,“安全屋”必火!

    今天,9月1日 「数据安全法」正式生效 ↓ 标志着 一些数据大户和数据敏感企业 将迎来更为严苛的合规要求 同时,「数据安全法」 鼓励数据依法合理有效开发利用 创造数据价值,激活数字经济 所以 这就得出 ...

  • 江苏省事业单位计算机专技岗备考指南

    一.江苏省事业单位考试岗位情况 江苏省事业单位统一招聘考试每年3月底或4月初考试,一般公告发布都会提前一个月时间.考试类别分为:管理类岗位.通用类专业技术岗位.工勤技能类岗位. 管理类岗位:包括事业单 ...

  • 事业单位公共基础知识:人文常识之楚辞

    在各种考试中,一般都会涉及一些人文常识的题目,考查方式主要以识记性为主,但由于考察内容涉及的知识范围较广.例如一些文学著作知识,对于很多考生来说部分题目还是比较难.现就文学著作中的楚辞的部分知识梳理如 ...

  • 事业单位专技人员走职称路线,比较管理人员...

    事业单位专技人员走职称路线,比较管理人员的好处就是考过职称,有岗位,没得违规即可聘任在相应岗位.管理岗则需要连续三年优秀,或者五年优秀.而这个优秀就很魔性了.有的人什么也不做,但可以年年得优:有的人每 ...