作為我國關于數據安全的首部律法,《數據安全法》的頒布為數據安全保障和數字經濟發展奠定重要基石,對政企事業數據安全管理也提出了更高的要求。9月1日,《數據安全法》將正式實施,在數據安全監管不斷強化的大形勢下,政企事業單位落實好數據安全建設工作成為重要任務。
那么在建設過程中,政企事業單位需重點關注和解決哪些問題,又該如何有規劃、有步驟的進行安全建設,滿足合規要求?基于《數據安全法》所提出的安全要求和政企事業單位在實際建設過程中面臨的難點痛點,美創科技進行整理,為落實《數據安全法》提供參考。
01政企事業單位應重點關注的10大問題
● 確立數據安全相關制度規范,讓數據安全管理工作有據可依,有章可循。
● 進行組織建設,明確數據安全責任人及具體責任要求。
● 落實數據分類分級保護,了解數據資產分布,明確數據資產構成、特征、范圍及流轉情況,利用數據分級目錄重點保護重要數據。
● 開展數據安全風險評估工作,厘清組織自身的數據安全風險和數據安全能力目標差距。
● 以數據為中心,建立健全全生命周期安全能力,加強數據流動安全保護,針對數據流動路徑進行安全建設,確保數據依法有序流動。
● 明確是否存在數據出境問題,建立數據出境管理制度。
● 增強員工數據安全意識,定期開展數據安全教育培訓。
● 制定應急響應預案,做好監測預警及安全事件的應急響應。
● 關注所在行業相關規范制度的制定。
● 采取符合國家安全標準的技術措施。
02建立健全數據安全治理體系做好4大步驟
《數據安全法》明確提出要建立健全數據安全治理體系,企事業單位如何進行數據安全治理體系和安全能力的提升,需做好4大保障:
(1) 數據安全管理保障
(2) 數據安全基礎支撐保障
(3) 數據安全技術保障
(4) 數據安全建設運營保障
在安全建設實踐過程中,不同單位組織根據自身實際情況制定合適的規劃,選擇合適的工作實踐指南,總體包括4大步驟:
步驟一
前期準備(管理保障):明現狀,訂規劃,立組織,定制度,建標準
● 明現狀:結合專業安全廠商進行數據安全咨詢;識別與梳理重要數據,落地數據分類分級保護;結合行業重要數據目錄管理數據;開展數據安全風險評估。
● 訂規劃:結合數據安全管理、技術現狀進行短期、長期安全建設路徑規劃。
● 立組織:建立數據安全組織框架;開展數據安全教育培訓,對內提升組織能力,對外促進數據安全專業人才發展。
● 定制度:以數據安全發展全局視角做好數據安全戰略保障的制度建設。
● 建標準:共建共創數據安全技術與能力,制定數據安全相關標準。
步驟二關注安全技術最新發展,做好數據安全基礎支撐保障
● 企事業單位應全面認知新技術、新需求和新場景給數據安全防護帶來全新挑戰,轉變過去“被動防御”的傳統安全思維,以數據為中心持續優化數據安全架構,通過輸出各項數據安全產品能力,實現主動化、立體化防護。
步驟三基于數據全生命周期,做好數據安全技術保障
● 建立覆蓋數據采集、傳輸、存儲、處理、交換、銷毀全生命周期安全防護體系,綜合利用數據源驗證、傳輸加密、加密存儲、隱私保護、數據防泄漏、監管審計、追蹤溯源、數據銷毀等技術。
步驟四數據安全管理與運營,做好數據安全建設運營保障
● 提升數據安全態勢感知能力,加強數據安全風險信息的獲取、分析、研判、預警工作;建立數據安全應急處置機制,加強數據安全風險監測。
03政企事業單位安全建設過程涉及的技術手段
數據全生命周期管控手段
● 數據采集:主要關注數據的采集源,需提前完成數據資產定性,梳理采集內容、采集方式、敏感信息等,并采用級訪問控制技術實現對數據采集分析、使用人員授權的合規性管控。
● 數據傳輸:主要關注為對數據傳輸加密和防泄漏建設,需確定傳輸通道方式(SM1-SM4)、校驗方式符合相關規范和所制定的傳輸策略,并且可監測相關通道的數據流量及通道狀態。
● 數據存儲:主要關注為存儲保護能力建設,需梳理存儲位置、存儲方式、數據歸檔周期、數據分類、數據級別等,對入庫數據進行安全審核并完成數據存儲加密,確保數據存儲安全,并制定數據的備份和恢復策略、存儲保護措施。
● 數據處理:主要關注為對各業務系統的數據交換階段所需的數據脫敏、數據加密進行管理,并遵循最小化權限原則,限定數據的使用范圍,審計數據的操作過程。
● 數據交換:主要關注為對數據交換權限劃分,需對相關數據應用申請進行安全審查,并且跟蹤敏感數據的訪問,對敏感數據進行脫敏并建立溯源能力,展示數據交換過程和內容,并對交換過程中異常數據進行監測分析。
● 數據銷毀:主要關注為規范數據銷毀操作流程,明確的銷毀數據對象、銷毀方法、銷毀操作流程及銷毀責任人;建立剩余敏感數據自動識別機制,確保應銷毀的數據被完全銷毀。
安全感知和風險監控
● 安全感知是未來組織數據安全建設中重要安全能力,是基于環境的、動態、整體洞察安全風險的能力。在該安全防護層次,以安全審計數據、風險數據、告警數據、運行數據、業務運行狀態等為基礎,從全局視角提升對安全威脅的發現識別、理解分析和相應處置能力,為安全決策提供支撐。
浙公網安備 33010502006954號 
