“ - 2021年6月11日,《数据安全法》由十三届全国人大常委会第二十九次会议表决通,正式对外公布。
2021年9月1日,《数据安全法》将正式实施。
《数据安全法》是我国第一部有关数据安全的专门法律,生效之后,将与《网络安全法》及正在立法进程中的《个人信息保护法》一起,全面构筑中国信息及数据安全领域的法律框架。”亚信安全认为,《数据安全法》的正式实施将带来三点变化:首先,《数据安全法》对行业组织提出了制定安全行为规范,加强行业自律的约束,这项法规有效地消灭了灰色地带,对各行业都形成了法律约束,杜绝了数据的随意共享和流转;其次,政企用户陈旧的数据安全思路将得到转变,并且将围绕数据全生命周期形成全新的数据安全防护体系;最后,越来越多的新兴数据安全技术将进入使用阶段,基于场景化的数据安全解决方案也将更多的被行业所采用。
自2020年6月28日以来,《数据安全法》已经历三次审议与修改,确定将于2021年9月1日正式施行。伴随它的正式出台,未来我国数据安全领域将进入有法可依、有规可循的新局面。
法规一共七章五十五条,其中 “总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。《数据安全法》总则开宗明义,指出:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会需落地数据保护行业规范,并且落地本部门的数据安全规范。这项法规还专设“行业自律”条款,要求相关行业组织按照章程,制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。本法明确了数据管理者和运营者的数据保护责任,全面消除数据管理者和运营者在数据安全建设中的盲区,数据安全建设有法可依,数据安全事故造成的损失有法可惩,这对促进经济社会信息化健康发展,保护公民、组织的合法权益具有非常大的价值。同时,加强了公共服务的要求,充分考虑老年人、残疾人的需求,维护每一个公民的合法利益。
《数据安全法》第三章构建了我国数据安全基本制度,涵盖数据分类分级保护制度及重要数据保护目录;数据安全风险评估、报告、信息共享、监测预警制度;数据安全应急处置制度、数据安全审查和出口管制制度等。其中,数据分类分级保护制度是整个数据安全制度的基础。在数据安全保护义务方面的第四章,提出对数据全生命周期各环节的安全保护义务,加强风险监测与身份核验,结合业务需求,从数据分级分类、风险评估、身份鉴权,到访问控制、行为预测、追踪溯源,再到应急响应及事件处置,全面建设有效防护机制,保障数字产业蓬勃健康发展。亚信安全对比终版《数据安全法》与前两版草案发现,其中数据安全违法行为的划分越来越详细,处罚力度也经过不断调整,最终版本还增设“对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”等多项处罚细则。《数据安全法》对于数据出境的要求,并未区分“个人信息”和“重要数据”,规定国家将建立数据分类分级保护制度,由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,而列入目录中的数据就是“重要数据”如果是关键信息基础设施的运营者需要将“重要数据”出境的,应适用《网络安全法》的规定;其他数据处理者需要将“重要数据”出境的,由国家网信部门会同国务院有关部门制定相关的管理办法。随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政府和企业最核心的资产。《数据安全法》的发布,为数字化建设提供了法律保障更指明了发展方向,有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,并采取相应技术措施保障数据安全。那么,未来政企用户如何做好数据安全建设?亚信安全建议,以数据为中心,通过“可发现、可监视、可防护、可管理”的技术支撑,实现数据全生命周期的安全治理框架。
【图:以数据为中心实现数据全生命周期的“可发现、可监视、可防护、可管理”】可发现——采用人工标识、数据字典及机器学习等技术对数据分类分级、敏感数据发现,数据地图统一展现。
可监视——对数据的采集、传输、存储、使用、共享及销毁全生命周期监视。
可防护——通过脱敏、加密、数字水印、控制等各种技术手段防护各类数据
可管理——以数据视角实现统一管理,包括数据地图、流程管理、风险可视、数据分析、安全策略、能力编排、审计溯源。
以数据为中心的安全防护架构包含了基础安全工作,以及涵盖了设施、数据、服务的支撑工具,并从流程和风险管理、法规遵从、安全协作等方面加以细化。同时,亚信安全通过分类、发现、保护、执行和监视的闭环方法,为数据安全治理提供了各级产品层面的智能联动,为治理对象提供了精密编排调度和管理的能力。《数据安全法》包括完善数据分级分类保护制度、新增强化等保在数据安全保护要求中的基础作用、调整数据安全负责人和管理机构的要求等内容,这些内容都隶属于数据安全治理体系建设的内容。为此,亚信安全建议用户可以从以下六个方面逐步开展《数据安全法》的遵从建设:
首先要成立专门的数据安全治理机构,明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。梳理组织需要遵循的外部政策以及与数据安全管理相关的内容。依托策略、组织、运营、技术、服务、评价五个方面,明确企业信息安全工作总体方针及实施框架,参与行业及主导企业规范标准制定,规划数据安全演进蓝图。涵盖了数据安全策略、规范和流程的执行者和被管理者、数据的使用者、管理者、维护者、分发者。实际上,大多数数据利益相关者都属于数据安全治理的受众。建设核心数据资产访问控制的访问流程系统,保障敏感操作多角色协同完成,需要在使用数据的过程中鉴权认证、申请、审批、授权、标记及审计全流程可控、可视及可追溯。违规事件追踪处置流程、处理措施及相应的汇报机制,制定组织数据安全规范落实和安全风险进行定期的核查策略。通过顶层制定标准规范,底层建立指标体系,持续考核评价,推动安全工作有效落地。
基于十余年在数据安全领域的沉淀和积累,亚信安全的专家团队能够对《数据安全法》、《网络安全法》、等保2.0、GDPR、ISO等国内外法律法规和标准规范中数据安全相关的合规要求进行详细的解读,为客户需求精准把脉,指导客户完成合规的管理体系建设。
近年来,亚信安全陆续发布了数据脱敏系统、大数据安全管控系统、数据资产地图、数据安全治理平台等产品,形成了完整的数据安全技术体系,其产品成功应用于运营商、金融、政府等行业,取得了很好防护效果及安全价值。与此同时,亚信安全更积累了大量成功案例的实践总结和丰富的行业技术服务经验,能满足不同行业的数据安全合规防护需求,护航数据安全,助力数字经济发展!行业热点:
随云而动 六位一体 | 亚信安全云安全管理平台SDSec全新升级
急!云主机能否也有自己的安全运维中台?
家底摸不清,安全要“抓瞎”!资产管理你搞定了吗?
亚信安全 “威胁狩猎服务” 开辟高级网络威胁治理新赛道
了解亚信安全,请点击“阅读原文”