查看原文
其他

《网络数据安全管理条例(征求意见稿)》发布,这些点可重点关注!(内附全文)

安全狗 美亚柏科 2022-07-05

前言

2021年11月14日,国家网信办公布《网络数据安全管理条例(征求意见稿)》(以下简称“征求意见稿”),并向社会公开征求意见。


此份征求意见稿的拟定,旨在落实《网络安全法》《数据安全法》《个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。


点击上图查看《征求意见稿》全文

征求意见稿核心解读


与此前网安行业相关政策法规内容不一样的是,在征求意见稿中,明确对数据采取分类分级保护制度,数据分为一般数据、重要数据、核心数据等三大类,不同级别的数据采取不同的保护措施。


这一举措的提出,与当前互联网用户越来越多、“万物皆可物联”现状下物联网产生的众多数据、数字经济转型催生企业业务系统纷纷云化等的数据指数型增长的局面相互呼应。


本着“物善其用”的成本和资源控制原则,对数据进行分级分类,让数据处理者能够集中重要的安全成本保护重要核心数据,安全利益最大化。征求意见稿对重要数据的具体解释与定义,以及明确了如何对数据要素中的重要数据进行管理等内容也成为此次意见稿中值得关注的关键内容


核心


第三章 个人信息保护

1、处理规则:个人信息处理者应该制定并执行处理规则,包括信息清单(含第三方)、限定期限、安全风险、保护措施、投诉渠道、解决途径等内容。

2、个人同意:收集信息前获得个人同意、敏感信息需单独同意、儿童信息需监护人同意。

3、信息删除:目的达成、合同到期、终止服务、注销账号,需在十五个工作日内删除数据。

4、请求响应:个人提出数据查阅、复制、更正、补充、限制处理、删除、转移等请求时,需在十五个工作日内处理并反馈。

5、生物特征:数据处理者不能只提供生物识别一种认证方式。


第四章 重要数据安全

1、建立目录:重要数据和核心数据都需要建立数据目录并报国家网信部门。

2、管理机构:重要数据处理者应该成立数据安全管理机构。

3、识别备案:重要数据识别以后十五个工作日内向设区的市(通常是地级市)级网信部门报告。

4、安全培训:制定并执行全员数据安全培训计划,每年培训时长不得少于二十小时。

5、安全评估:处理重要数据或者赴境外上市的数据处理者应每年开展一次数据安全风险评估,并于1月31日前上报设区的市(通常是地级市),评估报告至少保留三年。

6、采购评估:国家机关和关基运营者采购云服务,要通过国家网信部门会同国务院有关部门开展的安全评估。

围绕数据安全展开的具体管理意见稿的起草与拟定,也表明了国家在当前以及未来很多年内会持续关注和强化数据安全发展的相关管理。对于想抓住数字经济发展风口、云计算、AI、5G技术的互联网、信息化企业用户而言,也需要提前关注和了解如何围绕重要核心数据开展有效的数据安全建设与治理。

数据安全治理的核心四问


美亚柏科新网络空间安全板块专家围绕数据安全治理的核心四个问题做了全面思考与解读。


01我们对数据的定义是什么?

数据是指任何以电子或者其他方式对信息的记录。


“数据”和“信息”之间的关系一直处于模糊的状态,根据业界常见的解释,一般可以分为两类关系:一是包含关系,即,“信息”包含在“数据”内或“数据”包含在“信息”内;二是交叉关系,即“信息”与“数据”之间没有明确区分。本文里描述的数据主要是个人数据和重要业务数据。


02数据安全保障需要遵循生命周期吗?在上述的政策法规中,都或多或少提及了数据安全治理的几个生命周期,概括总结起来主要有:收集、存储、使用、加工、传输、提供、公开、销毁等8个生命周期。
对于数据处理者而言,自身的发展规模、业务数据体量等参差不齐,对应能覆盖到的生命周期也有所差异。企业用户应围绕自身的发展现状以及未来的发展计划等有针对性地围绕具体的数据加密脱敏、数据防泄露、数据保护与业务身份结合、数据访问治理与流转审计、数据中台与安全引擎集成等5个场景做好数据安全保护。

03我们数据保护目标是什么?在信息爆炸的时代下,不管是个人还是企业单位或者国家每天面临的数据量都异常庞大,不可能对全部数据进行一一处理与消化。因此,在保护数据时,应考虑的是实现保障数据机密性,维护核心价值;有效降低或避免数据泄漏事件的发生;降低业务风险;满足合规要求;实现数据安全管理的可优化等目标。

04哪些企业部门该牵头承担数据安全治理的责任?经历了几年的发酵与发展,数据安全这一概念才得到重视,这与科技、经济等时代发展紧密相连。总体而言,数据安全还是属于新事物,落实到企业用户的具体实践上还需要一定的消化时间。
企业内部,由于业务部门对核心数据的重要价值比较清楚,而风控合规部门和法务审计部门等对国家政策法规的敏感度更高,所以需要由业务部门牵头,在风控合规部门和法务审计部门的指导下,依靠信息部门或者外部安全顾问配合具体安全技术落地,从而确保企业重要数据的安全获得有效保障。


美亚柏科数据安全解决方案


2020年9月22日,美亚柏科正式宣布启动新网络空间安全板块,把数据安全作为主要业务方向之一。基于在网络安全和数据安全领域里的持续深耕,美亚柏科在数据感知端、数据智慧应用端、IPDS端、数据风险检测端、数据风险攻防端、数据安全人才培训等方面已经形成了基本完备、成熟和产品化的数据安全产品链


同时,在公安行业的数据分类分级管理中,美亚柏科依托于完善的数据安全产品链,从数据的形式安全到数据的内容安全、从网络的防御安全到网络的泄露安全、从数据访问的角色标识安全到数据访问的角色实体安全,以先行者的身份、以十多年网络数据安全的经验,搭建了集数据分类分级管理、政务数据安全保密和数据安全服务为一体的安全、可信的零信任数据安全防控体系,为“政务数据安全与开放”铺平了技术实现的道路。



作为美亚柏科新网络空间安全板块的成员之一,安全狗凭借自身对云安全、数据安全领域的行业敏感嗅觉以及市场洞悉,通过自身多年的安全技术实力,结合了数据安全成熟度模型DSMM、Gartner数据保护方法论等国际主流安全模型,提出了以数据为中心的安全建设思路和解决方案

点击上图了解安全狗解决方案详情


来,美亚柏科将继续凝神聚力,整合并强化集团在网络安全和数据安全领域的核心技术能力,加快发展进程,秉承让“数据更智能,网络更安全”的企业使命,为建设数字化中国和打造网络安全强国贡献力量!


资料来源:安全狗

编辑:赖越菲

校对:李银河 刘晓慧

——— 近期热文 ———

热文

第七届“美亚杯”圆满收官!云端两千余人同台竞技,近十万人观赛!获奖名单公布

热文

福建省电信网络诈骗案件现场勘查应用比武于全国网络警察培训基地举办

热文

美亚柏科高中级管理人员选聘公告

热文

亮相央视!美亚柏科科技赋能火调事业

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存