新形勢(shì)下數(shù)據(jù)安全保護(hù)工作淺析
隨著《中華人民共和國網(wǎng)絡(luò)安全法》����、《中華人民共和國密碼法》���、《中華人民共和國數(shù)據(jù)安全保護(hù)法》和《中華人民共和國個(gè)人信息保
護(hù)法》等相關(guān)法律法規(guī)的頒布實(shí)施以及配套相關(guān)標(biāo)準(zhǔn)規(guī)范的落地執(zhí)行�����,數(shù)據(jù)安全保護(hù)開始成為網(wǎng)絡(luò)安全工作和監(jiān)管的重點(diǎn)�����。
2022年7月21日�����,滴滴全球股份有限公司因存在8個(gè)方面16項(xiàng)違法違規(guī)事實(shí)被國家相關(guān)部門處80.26億元罰款�����,成為迄今我國網(wǎng)絡(luò)安全和數(shù)
據(jù)安全領(lǐng)域公開處罰的最大罰單���。該公司不僅違法過量收集的數(shù)據(jù)和個(gè)人信息量級(jí)巨大����,未盡數(shù)據(jù)安全保護(hù)職責(zé)和義務(wù)�����,還存在嚴(yán)重影響
國家安全的數(shù)據(jù)處理活動(dòng)�����。結(jié)合近年來發(fā)生的多起重要行業(yè)大量敏感數(shù)據(jù)泄露的數(shù)據(jù)安全事件����,可以窺見當(dāng)前眾多重大數(shù)據(jù)安全事件的冰
山一角,我國網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作任重而道遠(yuǎn)��。
公安部信息安全等級(jí)保護(hù)評(píng)估中心結(jié)合多年網(wǎng)絡(luò)安全等級(jí)保護(hù)����、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和數(shù)據(jù)安全保護(hù)實(shí)戰(zhàn)經(jīng)驗(yàn),提出以下六點(diǎn)工作
建議供運(yùn)營(yíng)者參考����。
1.識(shí)別核心重要數(shù)據(jù)��,對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),是數(shù)據(jù)安全保護(hù)工作的前提��。
數(shù)據(jù)安全保護(hù)的重心是對(duì)核心和重要的數(shù)據(jù)進(jìn)行安全保護(hù)�。運(yùn)營(yíng)者首先應(yīng)全面的梳理組織數(shù)據(jù)資產(chǎn)清單,識(shí)別出核心和重要的數(shù)據(jù)�,并依
據(jù)相關(guān)政策標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者�,還應(yīng)該通過對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵業(yè)務(wù)流進(jìn)行分析,識(shí)別出關(guān)鍵
信息基礎(chǔ)設(shè)施的關(guān)鍵數(shù)據(jù)資產(chǎn)�����。
運(yùn)營(yíng)者可以參考《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南 網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》和行業(yè)數(shù)據(jù)安全分類分級(jí)標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)���。數(shù)據(jù)分類方面���,
可以從公民個(gè)人維度、公共管理維度�、信息傳播維度、組織經(jīng)營(yíng)維度�����、行業(yè)領(lǐng)域維度進(jìn)行數(shù)據(jù)分類。數(shù)據(jù)分級(jí)方面��,可以從數(shù)據(jù)受到破壞
后對(duì)國家安全���、社會(huì)秩序和公眾利益��、個(gè)人隱私�、組織及其它法人造成的侵害程度來進(jìn)行分級(jí)����,可以分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)
�����。
2.新形勢(shì)下數(shù)據(jù)安全保護(hù)工作淺析提煉數(shù)據(jù)安全需求�����,建立數(shù)據(jù)安全保護(hù)策略��,是數(shù)據(jù)安全保護(hù)工作的重心�。
合規(guī)要求、業(yè)務(wù)需求和數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)是指導(dǎo)數(shù)據(jù)安全保護(hù)的最主要安全需求����。
目前我國《中華人民共和國網(wǎng)絡(luò)安全法》����、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》均對(duì)數(shù)據(jù)安全提出了保
護(hù)要求�,同時(shí)運(yùn)營(yíng)者還應(yīng)根據(jù)其組織的業(yè)務(wù)特點(diǎn)梳理各自需要滿足的安全政策和行業(yè)標(biāo)準(zhǔn)��。如涉及數(shù)據(jù)出境的組織還應(yīng)滿足《數(shù)據(jù)出境安
全評(píng)估辦法》的要求���。
對(duì)于業(yè)務(wù)需求和數(shù)據(jù)安全風(fēng)險(xiǎn)來說��,需要運(yùn)營(yíng)者根據(jù)實(shí)際情況進(jìn)行分析和梳理����,通過業(yè)務(wù)流程分析���、威脅建模和風(fēng)險(xiǎn)評(píng)估等方法分析組織
面臨的數(shù)據(jù)安全威脅和風(fēng)險(xiǎn)����,例如敏感數(shù)據(jù)在不安全的環(huán)境傳輸或存儲(chǔ)��,就會(huì)存在安全風(fēng)險(xiǎn)�����,需要對(duì)其進(jìn)行識(shí)別。
基于合規(guī)要求���、業(yè)務(wù)需求和數(shù)據(jù)安全風(fēng)險(xiǎn)��,組織提煉出數(shù)據(jù)安全需求�,參考DSMM模型和行業(yè)最佳實(shí)踐等����,建立貼合組織現(xiàn)狀的數(shù)據(jù)安全保
護(hù)策略,構(gòu)建數(shù)據(jù)安全保障架構(gòu)�,指導(dǎo)數(shù)據(jù)安全保護(hù)工作的開展。
3.新形勢(shì)下數(shù)據(jù)安全保護(hù)工作淺析滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求�,是數(shù)據(jù)安全保護(hù)工作的基礎(chǔ)。
數(shù)據(jù)安全保護(hù)的基礎(chǔ)是對(duì)數(shù)據(jù)承載環(huán)境的安全保護(hù)����。因此運(yùn)營(yíng)者應(yīng)依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)政策和標(biāo)準(zhǔn)要求開展安全建設(shè)工作,保證等級(jí)保
護(hù)對(duì)象滿足相應(yīng)等級(jí)的安全要求���。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者還應(yīng)在等級(jí)保護(hù)工作基礎(chǔ)上開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作(簡(jiǎn)稱關(guān)基保
護(hù))�����。
網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求也對(duì)數(shù)據(jù)安全提出了相關(guān)保護(hù)要求�。等級(jí)保護(hù)基本要求強(qiáng)調(diào)了對(duì)鑒別數(shù)據(jù)、
重要業(yè)務(wù)數(shù)據(jù)����、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)���、重要視頻數(shù)據(jù)和重要個(gè)人信息的保護(hù),包括基于安全策略的訪問控制要求����,傳輸和存儲(chǔ)的
保密性要求和完整性要求,以及重要數(shù)據(jù)備份和恢復(fù)的要求����,并對(duì)個(gè)人信息保護(hù)進(jìn)一步強(qiáng)調(diào)了收集限制和禁止非授權(quán)訪問等。關(guān)鍵信息基
礎(chǔ)設(shè)施安全保護(hù)要求中��,也在分析識(shí)別�����、安全防護(hù)等方面對(duì)數(shù)據(jù)提出了安全保護(hù)要求���。以上均需運(yùn)營(yíng)者重點(diǎn)關(guān)注并給出對(duì)應(yīng)的安全保護(hù)措
施���。
4.新形勢(shì)下數(shù)據(jù)安全保護(hù)工作淺析構(gòu)建數(shù)據(jù)安全技術(shù)體系��,保證數(shù)據(jù)的產(chǎn)生�����、采集�、傳輸�����、存儲(chǔ)��、使用��、共享和銷毀各階段的安全���,是數(shù)
據(jù)安全保護(hù)工作的技術(shù)抓手���。
面向數(shù)據(jù)安全合規(guī)和具體業(yè)務(wù)安全需求,運(yùn)營(yíng)者還應(yīng)在等級(jí)保護(hù)和關(guān)基保護(hù)的工作基礎(chǔ)上,進(jìn)一步識(shí)別和分析數(shù)據(jù)資源在產(chǎn)生�、采集、傳
輸���、存儲(chǔ)��、使用����、共享和銷毀各階段面臨的網(wǎng)絡(luò)安全威脅��,特別是云計(jì)算等新技術(shù)����、新應(yīng)用和新模式帶來的新威脅���,并針對(duì)性的強(qiáng)化數(shù)據(jù)
安全安全防護(hù)手段和措施�����,進(jìn)而融合已有措施構(gòu)建一個(gè)覆蓋數(shù)據(jù)全生命周期的綜合性安全防護(hù)技術(shù)體系�����。以技術(shù)作為抓手�����,落實(shí)數(shù)據(jù)安全
管理要求����,支撐數(shù)據(jù)安全運(yùn)行工作。各階段常見的數(shù)據(jù)安全技術(shù)手段或措施可能包括:
(1)數(shù)據(jù)的采集階段:通過技術(shù)手段和措施如最小化采集等方式����,確保數(shù)據(jù)采集過程依法合規(guī)。在數(shù)據(jù)采集時(shí)���,應(yīng)告知數(shù)據(jù)采集的目的
��、范圍并通過技術(shù)措施保證個(gè)人在同意后方可收集��。
(2)數(shù)據(jù)的傳輸階段:通過密碼技術(shù)和協(xié)議等措施保證重要數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性�����。
(3)數(shù)據(jù)的存儲(chǔ)階段:應(yīng)保證不同級(jí)別數(shù)據(jù)之間的隔離性�,通過合理的授權(quán)和訪問控制機(jī)制保證數(shù)據(jù)免受非授權(quán)訪問����;通過加密和HMAC
等方式保證數(shù)據(jù)存儲(chǔ)的機(jī)密性和完整性�����。
(4)數(shù)據(jù)的使用階段:通過最小權(quán)限授權(quán)和采取細(xì)粒度動(dòng)態(tài)訪問控制措施限制對(duì)數(shù)據(jù)的使用�����,通過數(shù)據(jù)防泄漏機(jī)制防止數(shù)據(jù)使用過程中
的泄露���。對(duì)于需要從原始數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析的離線數(shù)據(jù),使用前應(yīng)進(jìn)行數(shù)據(jù)匿名化或脫敏處理���。
(5)數(shù)據(jù)的共享階段:應(yīng)采取技術(shù)手段保證數(shù)據(jù)在與其他組織之間共享的安全���,如數(shù)據(jù)匿名化、多方安全計(jì)算��、同態(tài)加密和個(gè)人隱私計(jì)
算等方式���。
(6)數(shù)據(jù)的銷毀階段:數(shù)據(jù)進(jìn)入銷毀階段時(shí),尤其是個(gè)人信息在個(gè)人用戶選擇和要求刪除的情況下(被遺忘權(quán))����,應(yīng)采取技術(shù)手段刪除
個(gè)人信息���。
5.新形勢(shì)下數(shù)據(jù)安全保護(hù)工作淺析建立完善的數(shù)據(jù)安全組織架構(gòu)、制度流程和培訓(xùn)考核機(jī)制����,是數(shù)據(jù)安全保護(hù)工作的管理手段。
根據(jù)《中華人民共和國數(shù)據(jù)安全法》要求����,重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任��,建立健全全
流程數(shù)據(jù)安全管理制度�,組織開展數(shù)據(jù)安全教育培訓(xùn)。
運(yùn)營(yíng)者應(yīng)根據(jù)法律法規(guī)要求及組織內(nèi)部實(shí)際情況�����,充分落實(shí)安全管理要求��,保證數(shù)據(jù)安全通過正確�、規(guī)范、邏輯閉環(huán)的數(shù)據(jù)安全管理體系
進(jìn)行要求和執(zhí)行��。
6.新形勢(shì)下數(shù)據(jù)安全保護(hù)工作淺析加強(qiáng)數(shù)據(jù)安全運(yùn)營(yíng)和實(shí)戰(zhàn)演練,做到平戰(zhàn)結(jié)合�����,是數(shù)據(jù)安全保護(hù)工作的落腳點(diǎn)�����。
數(shù)據(jù)安全工作最終要落到日常安全運(yùn)營(yíng)和實(shí)戰(zhàn)中去��。因此運(yùn)營(yíng)者應(yīng)該根據(jù)數(shù)據(jù)安全管理要求�����,利用數(shù)據(jù)安全技術(shù)工具開展數(shù)據(jù)安全運(yùn)營(yíng)工
作�。通過合理的配置管理、變更管理����、介質(zhì)管理、設(shè)備管理����、網(wǎng)絡(luò)安全管理�����、事件處置機(jī)制、應(yīng)急管理等工作流程���,做好日常運(yùn)營(yíng)工作����。
通過數(shù)據(jù)安全態(tài)勢(shì)感知平臺(tái)等持續(xù)對(duì)核心和重要數(shù)據(jù)進(jìn)行監(jiān)測(cè)和檢測(cè)����,定級(jí)檢查對(duì)外提供服務(wù)的API接口安全和重要配置以防止錯(cuò)誤配置
導(dǎo)致數(shù)據(jù)泄露。同時(shí)開展風(fēng)險(xiǎn)評(píng)估���、安全評(píng)估����、滲透測(cè)試��、攻防實(shí)戰(zhàn)等工作�����,做到平戰(zhàn)結(jié)合����,真正承擔(dān)起保護(hù)數(shù)據(jù)的職責(zé)�。
綜上所述����,運(yùn)營(yíng)者根據(jù)數(shù)據(jù)安全法律法規(guī)對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),建立數(shù)據(jù)安全總體策略�,從六點(diǎn)建議中結(jié)合自身業(yè)務(wù)實(shí)際通過技術(shù),管理
和運(yùn)營(yíng)構(gòu)建數(shù)據(jù)安全保障體系����,從而有效的保護(hù)核心和重要數(shù)據(jù)安全。
保障數(shù)據(jù)安全是一項(xiàng)復(fù)雜的系統(tǒng)工程���,需要從頂而下的開展數(shù)據(jù)安全治理工作��,保障核心和重要數(shù)據(jù)安全��,降低數(shù)據(jù)安全風(fēng)險(xiǎn)���。除運(yùn)營(yíng)者
做好自己的數(shù)據(jù)安全保護(hù)工作外,還需要監(jiān)管部門��、數(shù)據(jù)安全廠商和服務(wù)商等多方合作����,構(gòu)建數(shù)據(jù)安全合作生態(tài),共同維護(hù)我國網(wǎng)絡(luò)數(shù)據(jù)
安全��。
來源:公安部信息安全等級(jí)保護(hù)評(píng)估中心
等保測(cè)評(píng)咨詢
