查看原文
其他

新规解读|工信部发布数据安全建设指南

数据安全实战化的 炼石网络CipherGateway 2022-09-24

《电信和互联网行业数据安全标准体系建设指南》正式发布


在数字产业化和产业数字化大背景下,数字经济和实体经济正高度融合,数字经济成为我国经济增长的关键驱动力量。同时,数字经济也面临着来自数据安全的直接挑战,数据本身受到被破坏、被滥用、被泄露、被非法访问等威胁,此外,针对数据价值,也可能存在着数据权属、利益边界、安全边界、社会属性等不定因素干扰,数据安全风险正日益成为影响企业安全、社会安全甚至国家安全的重要因素。

(关注本公众号并回复关键词“标准指南”,下载《电信和互联网行业数据安全标准体系建设指南》)


指南发布背景

2016-2017年,《工业控制系统信息安全防护指南》工信部要求做好数据分类分级管理。2017-2019年,网信办进行关键性法规引导数字经济发展和数据安全保障两手抓,并相继出台了《个人信息出境安全评估办法(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见稿)》《数据安全管理办法(征求意见稿)》。2019-2020年,国标委员会和信安标委大步推进对数据安全方面标准化工作,同期,作为全行业网络和信息安全工作“排头兵”,工信部和通信企业协会针对数据安全在行业内层级化标准工作进行探索和实践。
在此沉淀下,我国为电信和互联网行业数据安全标准化工作,工业和信息化部在前期做了大量研究基础上,在2020年8月公开征求对《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》的意见,并历时4个月的修订时间,于12月正式发布了《电信和互联网行业数据安全标准体系建设指南》(下文简称:《数据安全建设指南》)。工业和信息化部办公厅关于印发《电信和互联网行业数据安全标准体系建设指南》的通知

指南发布意义

《数据安全建设指南》是电信行业和互联网行业数据安全实践的高度凝结,在《网络安全法》《数据安全法(草案)》《个人信息保护法(草案)》《关键信息基础设施保护条例》等法律法规下,针对企业侧合规满足性的具体实践指导,具有极高典范作用。
《数据安全建设指南》为电信行业和互联网行业的下一步个人信息和重要数据安全保护工作画出作战地图,对电信行业和互联网行业的数据安全从管理规范、技术指南、平台应用、评估要求等进行细致指导和规范,为后续标准的落实和研制打下坚实基础。
随着互联网的广泛普及,人工智能、大数据、云计算等数字技术与实体经济正朝着深度融合的趋势发展,《数据安全建设指南》对政府、金融、教医旅、制造业、电信及互联网、央企等行业都有较高参考价值,多行业可以参考《数据安全建设指南》,并借鉴网信办、工信部数据安全成果,制定具备本行业实体经济和数字经济融合特性的标准体系。

指南重要价值体现

国家层面,习近平总书记强调:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”发展数字经济、加快培育发展数据要素市场,有必要把保障数据安全放在突出位置。在此情况下,《数据安全建设指南》顺势而生,编制过程中伴随大量调研,符合中国国情,能够赋能未来几年数据安全治理能力的稳步提升,维护国家安全的战略需要。
社会层面,大数据收集处理技术和开放共享的要求,弱化了用户对个人信息的自决权力,而多源数据汇聚则降低了用户隐私被恶意滥用的门槛,《数据安全建设指南》的提出有助于未来的数据安全治理,为加强个人数据保护提供了基础条件,成为规范个人信息数据安全防护工作的基本要求。
产业层面,面对错综复杂的数据安全形势,电信和互联网行业应加强统筹协调,基于标准体系建设架构,同步建立完善的制度、精细的标准、有效的手段和专业的团队,提高行业的数据安全治理能力。而《数据安全建设指南》相当于电信和互联网产业的“安全辞典”,在产业层面的数据安全方面提供统一的“交流语言”。
企业层面,对企业而言,数据是重要的生产要素,数据安全治理能力已成为企业的重要竞争力。《数据安全建设指南》的提出,有助于企业加强与监管部门沟通协作,完善内部数据安全合规管理,建立标准化、覆盖数据全生命周期的数据安全管理机制。数据安全行业相关企业也有必要加快数据保护前沿技术研发,以技术赋能数据安全管理。

指南亮点解析

法律法规的延伸和补充,《数据安全建设指南》的总体要求在于深入落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《数据安全法(草案)》《个人信息保护法(草案)》等法律法规要求,有助于理清数据标准建设体系,完善数据资源基础共性标准的定义,确立覆盖数据全生命周期的安全标准体系建设机制,发展成法律法规的有效延伸和补充。
框架清晰,便于指导各场景、各行业的标准研制及落实。电信和互联网行业数据安全标准体系的框架结构清晰,包括基础共性、关键技术、安全管理和重点领域等四系列标准:“基础共性为各类标准提供基础支撑,关键技术标准对数据安全关键技术进行规范,安全管理标准指导行业落实法律法规及行业主管部门的管理要求,重点领域标准指导相关行业有效开展重点领域数据安全保护工作。”清晰的框架能够有效指导并规范数据安全标准体系不统一、不健全的现状,为各场景、各行业的标准研制和落实,提供有效参考及借鉴。
《数据安全建设指南》:电信和互联网行业数据安全标准体系框架
标准研制是“长期工作”,到2021年,我国计划研制数据安全行业标准20项以上,初步建立电信和互联网行业数据安全标准体系,基本满足行业数据安全保护需要;到2023年,研制数据安全行业标准50项以上,健全电信和互联网行业数据安全标准体系,有力支撑行业数据安全保护能力提升。标准研制作为一项“长期工作”,2023年以后,数据安全行业标准的研制工作还将继续,电信和互联网行业的数据安全标准体系将趋于成熟稳定。“安全发展、标准先行”,在长期的“标准驱动”下,企业业务实现者也将进一步增强数据安全建设。

数据安全标准体系建设发展建议

坚持安全和发展并重,《数据安全建设指南》的出台,为建立健全电信和互联网行业数据安全标准体系提供了有效助力。《数据安全建设指南》要求行业深刻认识电信和互联网行业数据安全的重要性和紧迫性,坚持安全和发展并重,积极应对复杂严峻的安全风险与挑战,加速构建数据安全保障体系。
积极参与国家标准、行业标准编制及试点,推进组织内部数据安全管理,面对数据安全领域的诸多挑战,政府、企业、行业组织需要有效配合,发挥各自优势,建立适应大数据时代要求的协同治理模式。建议相关企业或组织加强与监管部门沟通协作,完善内部数据安全合规管理,建立标准化的数据安全管理机制。
行业内宣传教育,产业链做好“传、帮、带”,建议行业组织立足数据安全与数据应用协同发展,加强宣传教育,做好“传、帮、带”,引导企业参与国家大数据安全规则制定,建立行业自律规范,不断优化数据的行业安全标准体系。还应加强跨行业交流和国际交流,及国内自主创新技术研究,实现数据安全治理能力的持续提升。

炼石提供合规的实战化数据安全平台

当下,数据安全风险日益成为影响信息产业、数字经济、甚至国家安全的重要因素,数据安全标准体系也在稳步有序发展,合规与实战双驱动的数据安全需求正在牵引数据安全产品的高质量供给,炼石网络基于企业数据安全建设现状,参考AOP面向切面编程思想,创新性提出“面向切面数据安全”思路,通过在业务流转的数据切面上施加安全规则,实现安全与业务在技术上解耦,又在能力上融合交织,构建同时满足实战和合规遵循的数据安全防护体系。
炼石网络积极参加国家标准、行业标准的编制,目前参与了2项国标、9项行标的标准编制工作,包括《电信和互联网数据分类分级技术要求与测试方法》《电信和互联网数据异常行为监测技术要求与测试方法》《电信和互联网数据脱敏技术要求和测试方法》《电信和互联网应用程序接口数据安全技术要求和测试方法》《大数据环境下数据库审计系统技术要求》等标准的制定。
炼石网络提倡“以数据为中心的新安全理念”,坚持在密码与数据安全领域深耕,为政府、金融、教医旅、制造业、电信及互联网、央企等行业或组织提供高价值的基于密码技术的数据安全产品和服务。未来,炼石网络将继续坚持为客户数据安全保驾护航,让数据共享更安全、更有价值。(关注本公众号并回复关键词“标准指南”,下载《电信和互联网行业数据安全标准体系建设指南》)


                                                                               



石网络是一家基于密码与系统安全技术的数据安全创新公司,提倡“以数据为中心的新安全理念”,自主研发了CASB业务数据安全平台和高性能国密产品,开创性的实现免开发改造应用、敏捷实施细粒度数据保护,该产品入选工信部2020年网络安全技术应用试点示范推荐项目,并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术,将安全与业务在技术上解耦、但又在能力上融合交织 ,实现主体到应用内用户、客体到字段级的防护,打造“以密码技术为核心,访问控制、审计等多种安全技术互相融合”的实战化数据安全防护体系。炼石为政府、金融、教医旅、工商等行业用户,提供个人信息保护、商业秘密保护以及国密合规改造方案,让数据共享更安全、更有价值。


微信号:炼石网络CipherGateway

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存