浅谈《中华人民共和国数据安全法》:(二)
《数据安全法》明确规定要数据开发利用,并且要加速流动才能最大程度发挥数据价值。大家都知道数据作为生产要素不像其他要素,数据是需要借助载体和基础设施来承载的。基于此《数据安全法》明确提出国家需要负责推进数据基础设施的建设,作者认为,数据基础设施包括数据和承载数据的设施两个部分,至于后者不必多说,像5G、工业互联网、大数据中心等都属于承载数据的基础设施部分。
作者要重点说明数据部分,早在2017年《国家信息化发展战略纲要》就明确提出要对国家战略资源进行信息化开发,其中隶属国家战略资源的各种数据(比如:时空数据、人口数据、车辆数据、环境数据、环境数据、法人数据、信用数据、档案数据、统计数据等)都在开发范围,对于这些数据的开发,明确提出要战略数据和业务数据要分开、要统筹管理、要提供认证手段和备份机制(注:具体内容请大家参见《国家信息化发展战略纲要》)。这些要求给出了数据开发和数据安全的相关指导原则,从业者在设计数据开发和数据安全保障时都可以借鉴和参考。
数据开发和数据安全很重要,关系到方方面面的利益和责任,为此国家也明确要求省级以上人民政府应当将数据经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。这样的要求,给了从业者更多的行业机会,但挑战性更大,有必要在知天、知地层面多做一些工作,不要在受狭小范围的限制。(关于知天、知地的相关论述可以参考作者以往的文章《“依天、接地、可执行”,做规划的基本原则》)
8、在强化技术研究、标准建设的同时,数据安全检测评估、认证服务意义重大
《数据安全法》强调技术研究和标准建设实属正常和必要,这不必过多做赘述。《数据安全法》同时提及要对数据做安全性检测评估和认证服务,此要求恰恰应引起从业者重视,因为数据安全性检测评估和数据认证服务即涉及业方面,又涉及安全方面,检测评估 、认证服务完全可以作为行业甚至产业进行落地。基于数据本身的多样性和特殊性,其对应检测评估和认证服务一定能做到百花齐放,希望从业者在做数据开发和数据安全业务时,有意识的考量其检测评估和认证服务,一定会有不错的收获。相关内容可参考《建立完整的检测认证体系对信息化建设与管理的重要意义》。
9、数据安全人才培养仍然是重要任务和核心关键
信息化、数据开发、数据安全等虽然发展多年,但因其技术的高密集性和更新的高频性,积累大量人才很困难,但也正是因为这个特点,人才对于这个行业就更重要。《数据安全法》明确提出数据安全人才培养意义重大,要长期贯彻执行。也正是基于此很多教育机构都先后开设相关安全专业,但这还远远不够。这样的现状对于从业者来讲是有很多机会可以挖掘的,最少数据安全人才培训就孕育着巨大的机会。另外也给从业者在设计相关体系时提供了一个原则性要求“可传承”,相关内容可参见《信息化规划和建设应贯彻“可传承”的原则》。总之,数据安全人才培养需要开拓的内容包罗万象,孕育着众多机会,从业者务必把握。
10、分类分级是数据安全制度的核心,确定数据目录是重点工作
《数据安全法》再次提出“分类分级”保护是数据安全制度的核心,这一点不难理解,毕竟等级保护制度在网络信息安全层面取到了很好的成果,分类分级恰恰正是等级保护制度的核心。这种核心也给从业者明确了工作重心和工作方法,就是要对数据按照级别分类和分级,并根据对标要求实施安全保护。
《数据安全法》明确要求各个部门和行业都要制定重要数据具体目录,要对重要数据进行重点保护。确定数据目录就成了各部门和各行业落实数据安全制度的重点工作,对于从业者应该统筹考虑数据分类分级的原则和方法,并结合单位的实际情况,具备完整数据目录确定的方法论和实操经验就成为重要的能力,这种能力需要从业者有意识的锻炼和提升。
11、数据安全风险评估、监测预警、应急处理、安全审查等是数据安全重点部分
《数据安全法》在数据安全制度中明确了风险评估、监测预警、应急处理、安全审查的相关要求,作者不做过多解释。不过通过《数据安全法》在这个层面的讲述,恰恰给从业者一个很好的落实数据安全的方法论:要对数据进行评估,要对数据进行监测和预警,要对数据有应急处理机制,要有数据安全审查机制。落实到位这些内容,数据安全的相关防护能力自然得到提升。至于如何落实,从业者可以有意识的多积累相关方法,一定能有用武之地。
12、履行数据安全保护义务有了更高和更明确的要求
《数据安全法》在数据安全保护义务上给出了明确的要求,详细内容作者不做赘述,仅对如下的论述阐述一下自身对于开展数据保护工作的两点认识。
“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”
1、从上面论述可以总结出落实数据安全保护义务的流程是:研究透法律和法规-->据此建立自身安全管理制度-->形成适合自身的安全培训能力和储备,并形成培训机制,对人员开展思想、意识、能力等方面的培训-->配套和完善一些技术措施和其他保障措施。
上述流程周而复始,形成循环,久而久之,数据处理单位的数据安全保护能力将会得到较大提升。
2、从相关说明中不难总结,数据安全保护能力涉及人(人员)、机制(制度)、物(产品)三个方面,需要协同发展才是王道,那些唯技术论、唯产品论都较为片面(这些理论在以前还能有机会生存,但在体制日趋完善、应用强调效果的当下就问题凸显),作者强烈建议从业者以后要唯体系论,要重点关注人、机、物三个层面的整体协同。
未完待续 。。。。。。