本文來自微信公眾號“twt企業(yè)IT社區(qū)”。
信息安全是一場永無止境的戰(zhàn)斗,而且會越來越難以取勝,數(shù)據(jù)安全的風(fēng)險防御更是任重而道遠(yuǎn),為更好的解決數(shù)據(jù)安全的問題只有通過有效的技術(shù)措施結(jié)合管理手段,從里到外識別風(fēng)險,并解決風(fēng)險。深刻理解2021年9月1日開始施行的《數(shù)據(jù)安全法》,會讓企業(yè)在數(shù)據(jù)安全防御方面事半功倍。
概述
2021年6月10日第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過了《中華人民共和國數(shù)據(jù)安全法》,下文簡稱《數(shù)據(jù)安全法》,并定于2021年9月1日施行。其主要目的是為了規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)開發(fā)利用,保護(hù)個人、組織的合法權(quán)益,維護(hù)國家主權(quán)、安全和發(fā)展利益,制定的法律。同時隨著互聯(lián)網(wǎng)的迅速發(fā)展,萬物互聯(lián)崛起,對數(shù)據(jù)保護(hù)的需求也越發(fā)迫切,非常有必要單獨(dú)出臺一部針對數(shù)據(jù)安全保障領(lǐng)域的法律來加強(qiáng)對數(shù)據(jù)的監(jiān)管,對數(shù)據(jù)的有效監(jiān)管實(shí)現(xiàn)了有法可依,填補(bǔ)了數(shù)據(jù)安全保護(hù)立法的空白。
《數(shù)據(jù)安全法》已于2021年9月1日正式落地實(shí)施,這標(biāo)志著國家在數(shù)據(jù)安全方面已經(jīng)初步建立起一套法律框架。在數(shù)字化轉(zhuǎn)型浪潮中,數(shù)據(jù)作為業(yè)務(wù)的驅(qū)動,已經(jīng)為各行業(yè)企業(yè)的關(guān)鍵生產(chǎn)要素,于國家而言,更是具有深遠(yuǎn)戰(zhàn)略價值的核心資產(chǎn)。在未來,各行各業(yè)若要實(shí)現(xiàn)數(shù)字化到智能化的轉(zhuǎn)型,海量數(shù)據(jù)的價值轉(zhuǎn)化及挖掘是必經(jīng)之路。
數(shù)據(jù)安全法介紹
我們要更好的踐行《數(shù)據(jù)安全法》的要求及遵守相應(yīng)的管理?xiàng)l例,就要先了解和理解其內(nèi)容?!稊?shù)據(jù)安全法》全文共有七章五十五條,主要從數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開放及法律責(zé)任的角度對數(shù)據(jù)安全保護(hù)的義務(wù)和法律責(zé)任進(jìn)行規(guī)定。
內(nèi)容概述
《數(shù)據(jù)安全法》是我國實(shí)施數(shù)據(jù)安全監(jiān)督和管理的一部基礎(chǔ)法律,其根本目的是要提升國家數(shù)據(jù)安全的保障能力和數(shù)字經(jīng)濟(jì)的治理能力。作為國家的第一部關(guān)于數(shù)據(jù)安全的法律,不僅受到了安全從業(yè)者,也受到了來自各界人士的廣泛關(guān)注:
數(shù)據(jù)安全與發(fā)展
眾所周知,數(shù)字化轉(zhuǎn)型的基石就是數(shù)據(jù),以數(shù)據(jù)驅(qū)動業(yè)務(wù)發(fā)展,物聯(lián)網(wǎng)的發(fā)展更是使數(shù)據(jù)爆炸性的增長,其中蘊(yùn)含的價值,無法估量,這讓國家和企業(yè)都越發(fā)的意識到數(shù)據(jù)的重要性,無論是從國家戰(zhàn)略還是企業(yè)戰(zhàn)略出發(fā),都已經(jīng)將數(shù)據(jù)作為核心資產(chǎn),甚至上升到國家安全層面。
為此合理有效的利用數(shù)據(jù),不僅關(guān)系個人、企業(yè)的利益,更關(guān)系到社會和經(jīng)濟(jì)的平穩(wěn)發(fā)展,甚至影響國家安全。因此,數(shù)據(jù)安全法明確了數(shù)據(jù)安全與發(fā)展的關(guān)系,強(qiáng)調(diào)“國家統(tǒng)籌發(fā)展和安全,堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”。
數(shù)據(jù)安全制度
數(shù)據(jù)安全法明確了六項(xiàng)數(shù)據(jù)安全制度:
數(shù)據(jù)分類分級與核心數(shù)據(jù)保制度:根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度及受到破壞后對國家安全、公共利益或個人、組織合法權(quán)益造成的危害程度進(jìn)行分類分級,協(xié)調(diào)有關(guān)部門編制重要數(shù)據(jù)目錄,要求下發(fā)到個地方,由地方部門按照要求編制地區(qū)的重要數(shù)據(jù)具體目錄,對所列目錄的數(shù)據(jù)加強(qiáng)保護(hù)。同時強(qiáng)調(diào)了對于關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù),實(shí)行更加嚴(yán)格的管理制度。
數(shù)據(jù)安全風(fēng)險評估與工作協(xié)調(diào)機(jī)制:規(guī)定國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機(jī)制,建立工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警工作。
數(shù)據(jù)安全應(yīng)急處置機(jī)制:國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制,當(dāng)發(fā)生數(shù)據(jù)安全事件,主管部門應(yīng)當(dāng)依法啟動應(yīng)急預(yù)案,采取相應(yīng)的應(yīng)急處置措施,防止危害擴(kuò)大,消除安全隱患,及時向社會發(fā)布有關(guān)的警示信息。
數(shù)據(jù)安全審查制度:要求對影響或者可能影響國家安全的數(shù)據(jù)處理活動,國家有權(quán)進(jìn)行安全審查。
數(shù)據(jù)出口管制制度:對與維護(hù)國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制,規(guī)定在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資或貿(mào)易等方面,對我國采取相關(guān)歧視性的禁止、限制或者其他類似措施的國家和地區(qū),我國可以對其采取對等措施。
數(shù)據(jù)安全保護(hù)義務(wù)
數(shù)據(jù)安全法規(guī)定了四類數(shù)據(jù)安全義務(wù):
數(shù)據(jù)處理者的安全義務(wù):明確指出,重要數(shù)據(jù)的處理者應(yīng)明確數(shù)據(jù)安全的負(fù)責(zé)人和組織架構(gòu),按照要求定期的展開風(fēng)險評估,并將發(fā)現(xiàn)的風(fēng)險主動報送主管部門。對于關(guān)基的運(yùn)營,要求運(yùn)營者在境內(nèi)運(yùn)營過程中產(chǎn)生或收集的重要數(shù)據(jù),數(shù)據(jù)的出境安全管理,必須依據(jù)網(wǎng)絡(luò)安全法執(zhí)行,其他數(shù)據(jù)處理者的數(shù)據(jù)出境管理由網(wǎng)信辦另行制定政策,要求組織、個人必須合法、依規(guī)收集和使用數(shù)據(jù)等。
數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)義務(wù):數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源,審核交易雙方的身份,并留存審核、交易記錄。
有關(guān)組織、個人的數(shù)據(jù)支持義務(wù):任何組織、個人收集數(shù)據(jù),應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?,不得竊取或者以其他非法方式獲取數(shù)據(jù)。公安或國家安全機(jī)關(guān)因依法維護(hù)國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù),應(yīng)當(dāng)按照國家有關(guān)規(guī)定,經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù),依法進(jìn)行,有關(guān)組織、個人應(yīng)當(dāng)予以配合。
跨境司法或執(zhí)法機(jī)構(gòu)數(shù)據(jù)提供審批義務(wù):未經(jīng)主管機(jī)關(guān)批準(zhǔn),境內(nèi)的任何組織及個人不得向境外司法或者執(zhí)法機(jī)構(gòu)提供存儲于境內(nèi)的數(shù)據(jù)。
政務(wù)數(shù)據(jù)安全與開放
數(shù)據(jù)安全法就政務(wù)數(shù)據(jù)安全與開放作出相應(yīng)規(guī)定:
政務(wù)數(shù)據(jù)安全要求:國家機(jī)關(guān)需要建立健全數(shù)據(jù)安全管理制度,落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任,保障政務(wù)數(shù)據(jù)安全。同時要求國家機(jī)關(guān)應(yīng)當(dāng)依法合規(guī)收集和使用的個人隱私、個人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù),應(yīng)當(dāng)依法予以保密,不得泄露或者非法向他人提供。
外包政務(wù)系統(tǒng)數(shù)據(jù)安全要求:國家機(jī)關(guān)委托他人建設(shè)、維護(hù)電子政務(wù)系統(tǒng),存儲、加工政務(wù)數(shù)據(jù),應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序,受托方應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù),同時國家機(jī)關(guān)應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)。
政務(wù)數(shù)據(jù)開放要求:除依法不予公開的數(shù)據(jù)外,國家機(jī)關(guān)應(yīng)當(dāng)遵循公正、公平、便民的原則,按照規(guī)定及時、準(zhǔn)確地公開政務(wù)數(shù)據(jù),同時應(yīng)制定政務(wù)數(shù)據(jù)開放目錄,構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開放平臺,推動政務(wù)數(shù)據(jù)開放利用。
法律責(zé)任
對于數(shù)據(jù)處理者與數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)不履行數(shù)據(jù)安全義務(wù)、數(shù)據(jù)安全監(jiān)管履職國家工作人員濫權(quán)舞弊、違法獲取或?yàn)E用數(shù)據(jù)等行為,數(shù)據(jù)安全法也作出了相應(yīng)的處罰規(guī)定。其中,對于不履行數(shù)據(jù)安全義務(wù)的數(shù)據(jù)處理者除罰款外可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照,而對于違反國家核心數(shù)據(jù)管理制度且構(gòu)成犯罪的可以追究刑事責(zé)任,對于違規(guī)數(shù)據(jù)出境或未經(jīng)授權(quán)向外國司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的,同樣會處以相應(yīng)處罰。
企業(yè)責(zé)任
隨著萬物互聯(lián)時代的來臨,《數(shù)據(jù)安全法》的正式落地實(shí)施,助推了大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能等技術(shù)平臺的蓬勃發(fā)展與安全保障。作為企業(yè)更應(yīng)該在《數(shù)據(jù)安全法》落地后,持續(xù)加大數(shù)據(jù)安全的投入,將保護(hù)企業(yè)核心數(shù)據(jù)資產(chǎn)作為第一要務(wù)。同時針對2C業(yè)務(wù),要尊重終端用戶的數(shù)據(jù)所有權(quán)和使用權(quán),并嚴(yán)格保障終端用戶的隱私安全。
企業(yè)在關(guān)注信息安全的同時,更要突出數(shù)據(jù)安全的重要性。要時刻謹(jǐn)記,安全是所有業(yè)務(wù)正常運(yùn)行的前提條件。
企業(yè)面臨的數(shù)據(jù)安全風(fēng)險
在了解了《數(shù)據(jù)安全法》之后,目前企業(yè)主要面臨的數(shù)據(jù)安全風(fēng)險有哪些?識別這些風(fēng)險,有利于企業(yè)更好的完善數(shù)據(jù)安全防護(hù)方面的短板,提升企業(yè)整體數(shù)據(jù)安全防御能力,保護(hù)核心數(shù)據(jù)資產(chǎn)的安全。
存在的挑戰(zhàn)
現(xiàn)在我們已經(jīng)進(jìn)入了大數(shù)據(jù)時代,各行各業(yè)所產(chǎn)生的數(shù)據(jù)量呈現(xiàn)爆炸式增長。隨著數(shù)字化轉(zhuǎn)型步伐的加快,數(shù)據(jù)資產(chǎn)的重要性就尤為重要。數(shù)據(jù)不僅是企業(yè)的核心資產(chǎn),更是數(shù)字化轉(zhuǎn)型的創(chuàng)新驅(qū)動。
2021年一系列的關(guān)于安全的法律法規(guī)陸續(xù)出臺,從國家層面已經(jīng)意識到數(shù)據(jù)的重要性,甚至上升到國家安全層面。同時也迫使企業(yè)必須意識到了解數(shù)據(jù)、保護(hù)數(shù)據(jù)和發(fā)掘數(shù)據(jù)價值的重要性。
企業(yè)既要保護(hù)數(shù)據(jù)安全,也要確保業(yè)務(wù)的穩(wěn)定,從個人理解來看,目前企業(yè)針對數(shù)據(jù)安全保護(hù)主要面臨以下四大挑戰(zhàn):
海量數(shù)據(jù)
萬物互聯(lián)時代,數(shù)據(jù)量成指數(shù)級激增,按照第三方機(jī)構(gòu)的統(tǒng)計,數(shù)據(jù)量每兩年就會增加一倍從2010年到2020年,數(shù)據(jù)量就增長了超過50倍??上攵鳛槠髽I(yè)很難厘清內(nèi)部所有的數(shù)據(jù),并從中發(fā)現(xiàn)哪些數(shù)據(jù)是核心的,哪些不是。如此大的數(shù)據(jù)量,企業(yè)甚至更無法準(zhǔn)確定位這些數(shù)據(jù)都存儲在具體的哪些位置。
存儲分散
現(xiàn)在的企業(yè)都非常的重視數(shù)據(jù)的安全,深知數(shù)據(jù)的重要性,所以會把數(shù)據(jù)分散存儲到不同的數(shù)據(jù)中心。隨著云計算的發(fā)展,數(shù)據(jù)上云也是混合云戰(zhàn)略的體現(xiàn),充分利用云資源實(shí)現(xiàn)按需的快速交付。但這種對基礎(chǔ)設(shè)施架構(gòu)的優(yōu)化也帶來了數(shù)據(jù)存儲地點(diǎn)分散,加大了數(shù)據(jù)保護(hù)的難度。
攻擊頻繁
網(wǎng)絡(luò)連接萬物,我們的生活、工作對網(wǎng)絡(luò)的依賴程度越來越深,網(wǎng)絡(luò)安全事件也在近幾年呈現(xiàn)攻擊類型多、攻擊范圍廣、攻擊模式組織化、防御難度大的趨勢,幾乎每天都有企業(yè)被攻擊淪陷。以GlobeImposter、Crysis為代表的勒索病毒日漸猖獗,各種挖礦病毒更是如洪水猛獸。他們攻擊的對象也瞄準(zhǔn)了政府單位和各種轉(zhuǎn)型中的企業(yè),如制造業(yè)。勒索病毒的影響力和破壞性可見一斑,多次引發(fā)社會各界的廣泛關(guān)注。
數(shù)據(jù)合規(guī)
大數(shù)據(jù)時代的到來,給企業(yè)自身的數(shù)據(jù)安全帶來了挑戰(zhàn)。目前尤其是傳統(tǒng)企業(yè),經(jīng)常忽視安全審計在數(shù)據(jù)安全中的重要性。安全審計應(yīng)貫穿應(yīng)用系統(tǒng)的全生命周期,從設(shè)計到消亡,從代碼安全到存儲安全。同時安全審計人員較為短缺,隨著數(shù)據(jù)安全法的落地,企業(yè)應(yīng)關(guān)注數(shù)據(jù)安全審計人員的培養(yǎng)。
面臨的風(fēng)險
大數(shù)據(jù)時代給企業(yè)帶來長遠(yuǎn)價值的同時,也讓企業(yè)面臨來自不同方面的數(shù)據(jù)安全問題,根據(jù)個人經(jīng)驗(yàn),分為以下6類:
網(wǎng)絡(luò)攻擊
互聯(lián)網(wǎng)的發(fā)達(dá)不但方便了“我們”,也方便了“他們”。近年來網(wǎng)絡(luò)攻擊呈現(xiàn)向上暴增趨勢,而且越來越具有針對性,他們攻擊的目標(biāo)就是數(shù)據(jù),尤其是企業(yè)的核心數(shù)據(jù)。正所謂無利不起早,黑客往往會對有價值的對象發(fā)起攻擊。他們通常會采用數(shù)據(jù)獲取后到黑市販?zhǔn)郏蛘咄ㄟ^更加暴力的勒索方式讓受害者支付贖金。在大數(shù)據(jù)時代,數(shù)據(jù)安全面臨的最直接的、最頻繁的威脅就是來自網(wǎng)絡(luò)的各種惡意攻擊。
APP數(shù)據(jù)泄露
移動辦公已成員工工作的新方式,尤其是在疫情頻發(fā)的階段,遠(yuǎn)程辦公已經(jīng)進(jìn)入常態(tài)化。便捷的辦公方式使員工可以隨時隨地輕松的接入公司內(nèi)網(wǎng),訪問內(nèi)網(wǎng)資源,同時也滿足企業(yè)業(yè)務(wù)發(fā)展的需求。
便捷的同時也給企業(yè)的數(shù)據(jù)安全帶來了新的風(fēng)險和挑戰(zhàn)。移動設(shè)備多為開源系統(tǒng),時常出現(xiàn)系統(tǒng)漏洞或者后門,其便利性的特點(diǎn)使其易丟失,給企業(yè)造成不可估量的安全風(fēng)險。當(dāng)下各種APP泛濫,研發(fā)標(biāo)準(zhǔn)不一,有些APP自帶后門和惡意程序,對脆弱的移動設(shè)備的安全使用環(huán)境造成威脅,所以在移動辦公過程中極易發(fā)生信息泄露事件。
員工跳槽
現(xiàn)在越來越多的商業(yè)機(jī)密泄露行為主要來自內(nèi)部,過往很多企業(yè)的信息安全防御重心放在了企業(yè)外圍,如網(wǎng)絡(luò)攻擊、黑客滲透等,忽略了來自內(nèi)部的人員泄露行為。商業(yè)化競爭的加劇,跳槽成為一種常態(tài)。核心人員的離職很可能直接帶走企業(yè)多年的研究成果,對企業(yè)造成嚴(yán)重影響。
內(nèi)部人員竊取
在任何的公司總有這么一些人為了個人利益出賣集團(tuán)利益,雖然入職時簽署了各種保密協(xié)議、敬業(yè)協(xié)議,但仍會為蠅頭小利竊取企業(yè)的核心數(shù)據(jù)。這類人一般都很小心,“潛伏”在公司內(nèi)部,很難被發(fā)現(xiàn),卻時常用自身的職位權(quán)力獲取利益,一般的信息安全防御手段很難發(fā)現(xiàn),所以對企業(yè)來說他們具有極強(qiáng)的殺傷力。
數(shù)據(jù)災(zāi)難
數(shù)據(jù)作為企業(yè)的核心資產(chǎn)一直被嚴(yán)格保護(hù),但是天有不測風(fēng)云,很多企業(yè)由于自身成本或者基礎(chǔ)設(shè)施的問題,不能確保數(shù)據(jù)100%的安全。各種意外事件導(dǎo)致數(shù)據(jù)丟失也在所難免,如人為誤刪除、建筑塌陷、自然因素等。
脆弱性口令
最容易忽略的問題,往往會造成最嚴(yán)重的事件。系統(tǒng)上的脆弱性口令直接導(dǎo)致企業(yè)核心數(shù)據(jù)的泄漏,尤其在傳統(tǒng)的制造企業(yè)。根據(jù)第三方評測機(jī)構(gòu)的數(shù)據(jù)顯示,12345這樣的密碼大量被使用,而且一般都被核心人員使用。
強(qiáng)化數(shù)據(jù)安全措施
《數(shù)據(jù)安全法》的落地,很好的指引企業(yè)該如何正確的收集數(shù)據(jù)、使用數(shù)據(jù)、流轉(zhuǎn)數(shù)據(jù)和保護(hù)數(shù)據(jù)。通過對七章節(jié)的學(xué)習(xí)和個人理解,總結(jié)出符合企業(yè)更好的落實(shí)數(shù)據(jù)安全保護(hù)的經(jīng)驗(yàn)。要更好的保護(hù)數(shù)據(jù),確保數(shù)據(jù)安全,就要在管理和技術(shù)兩個方面下功夫,從數(shù)據(jù)的產(chǎn)生一直到消亡進(jìn)行保護(hù)。
數(shù)據(jù)安全技術(shù)
數(shù)據(jù)采集
數(shù)據(jù)采集是數(shù)據(jù)生命周期的第一個步驟,這個階段的安全重要性不言而喻,直接關(guān)系到后續(xù)工作的順利開展。此階段有幾個點(diǎn)的安全需要重點(diǎn)考慮:
1.制定嚴(yán)格的訪問控制策略,非授權(quán)的采集請求應(yīng)通過技術(shù)手段直接拒絕,確保數(shù)據(jù)采集端與信息主體處于相互信任的情況;
2.在數(shù)據(jù)采集前后采取校驗(yàn)碼等技術(shù)對數(shù)據(jù)完整性進(jìn)行校驗(yàn),如使用數(shù)字簽名、Hash算法校驗(yàn)等方式;
3.對數(shù)據(jù)采集接口與后端進(jìn)行加密對接。
數(shù)據(jù)傳輸
數(shù)據(jù)在傳輸階段易遭到截取,甚至造成篡改。在此環(huán)節(jié)重點(diǎn)可以考慮:
1.使用https等類似的協(xié)議,使傳輸通道進(jìn)行加密,防止被惡意竊聽;
2.通過證書或者其他手段對數(shù)據(jù)進(jìn)行加密,防止在傳輸過程中被篡改。
數(shù)據(jù)存儲
數(shù)據(jù)存儲階段保證數(shù)據(jù)不被惡意調(diào)用和訪問,此環(huán)節(jié)重點(diǎn)可以考慮:
1.對落盤的數(shù)據(jù)進(jìn)行加密存儲;
2.收縮DBA權(quán)限最小化,控制數(shù)據(jù)庫訪問權(quán)限。
數(shù)據(jù)使用
數(shù)據(jù)使用階段要確保正確的人使用正確的數(shù)據(jù),此環(huán)節(jié)重點(diǎn)可以考慮:
1.對核心數(shù)據(jù)通過技術(shù)手段進(jìn)行脫敏;
2.做好數(shù)據(jù)分級和分類,對數(shù)據(jù)進(jìn)行標(biāo)簽化;
3.數(shù)據(jù)的使用和流轉(zhuǎn)需進(jìn)行授權(quán),實(shí)現(xiàn)可追溯。
數(shù)據(jù)消亡
數(shù)據(jù)消亡階段要確保數(shù)據(jù)不可被技術(shù)恢復(fù),此環(huán)節(jié)重點(diǎn)可以考慮:
1.對存儲數(shù)據(jù)的硬盤要進(jìn)行不少于4次的格式化和復(fù)寫操作;
2.核心數(shù)據(jù)的硬件要進(jìn)行粉碎處理。
數(shù)據(jù)安全管理
國家層面
在大數(shù)據(jù)時代,全民數(shù)據(jù)安全意識增強(qiáng)的背景下,各個國家分別出臺了大量的關(guān)于數(shù)據(jù)安全的法規(guī)和標(biāo)準(zhǔn),國家在2021年出臺了《數(shù)據(jù)安全法》和《個人信息保護(hù)法》,用于規(guī)范和合規(guī)企事業(yè)單位在數(shù)據(jù)采集、使用、流轉(zhuǎn)等多個過程中的行為,其根本目的是要提升國家數(shù)據(jù)安全的保障能力和數(shù)字經(jīng)濟(jì)的治理能力。
行業(yè)層面
隨著國家層面的關(guān)于數(shù)據(jù)安全的法律法規(guī)的落地,各個行業(yè)也開始制定相關(guān)的管理規(guī)定和標(biāo)準(zhǔn),對企業(yè)和政府單位的數(shù)據(jù)安全策略和數(shù)據(jù)安全體系建設(shè)情況進(jìn)行指導(dǎo)與監(jiān)督。如工信部將在國家相關(guān)法律和機(jī)制框架下,依據(jù)職責(zé),圍繞行業(yè)數(shù)據(jù)安全監(jiān)管、提升數(shù)據(jù)安全監(jiān)管能力建設(shè)、促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展等幾方面開展工作。
企業(yè)層面
作為企業(yè)要嚴(yán)格遵守國家及行業(yè)的規(guī)定,從以下幾方面對數(shù)據(jù)安全進(jìn)行管理:
1.建立數(shù)據(jù)安全管理組織或機(jī)構(gòu),制定指導(dǎo)方針和發(fā)展策略,指明方向;
2.編制和下發(fā)各種數(shù)據(jù)安全相關(guān)的管理制度和數(shù)據(jù)調(diào)用流程;
3.對企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行分類和分級,所有數(shù)據(jù)標(biāo)簽化;
4.依托中臺理念,建設(shè)企業(yè)數(shù)據(jù)中臺,實(shí)現(xiàn)數(shù)據(jù)歸一化、可復(fù)用、可視化;
5.通過運(yùn)營的思路進(jìn)行數(shù)據(jù)安全管理,如日常的數(shù)據(jù)管理、數(shù)據(jù)監(jiān)管,指從資產(chǎn)、數(shù)據(jù)、業(yè)務(wù)、合規(guī)、事件處置、風(fēng)險管理等多方面對數(shù)據(jù)進(jìn)行監(jiān)管,掌握數(shù)據(jù)安全運(yùn)營情況。
結(jié)束語
信息安全本身就是一場永無止境的戰(zhàn)斗,而且會越來越難以取勝,數(shù)據(jù)安全的風(fēng)險防御更是任重而道遠(yuǎn),為更好的解決數(shù)據(jù)安全的問題只有通過有效的技術(shù)措施結(jié)合管理手段,從里到外識別風(fēng)險,并解決風(fēng)險。深刻理解《數(shù)據(jù)安全法》,會讓企業(yè)在數(shù)據(jù)安全防御方面事半功倍。
因文章內(nèi)容有限,將不在此處詳述各個條款的內(nèi)容,只是根據(jù)個人理解,總結(jié)出若干點(diǎn)針對企業(yè)內(nèi)最為關(guān)注的重點(diǎn)條款進(jìn)行說明,更加詳細(xì)的條款,可以詳參《數(shù)據(jù)安全法》正文。