本文來(lái)自安全牛,作者/張兵/李欣韋。
2022年6月9日,國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布了“關(guān)于開(kāi)展數(shù)據(jù)安全管理認(rèn)證工作的公告”(文號(hào)為2022年第18號(hào),以下簡(jiǎn)稱(chēng)18號(hào)文)。
18號(hào)文的發(fā)布,在數(shù)據(jù)安全領(lǐng)域引起了較大反響。本文將對(duì)18號(hào)文發(fā)布的影響和要求進(jìn)行分析,并基于分析結(jié)果為企業(yè)組織的數(shù)據(jù)安全管理體系建設(shè)提供可參考的建議。
圖1:18號(hào)文公告
18號(hào)文發(fā)布的背景與影響
隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》這“三法一條例”的陸續(xù)發(fā)布,從國(guó)家到社會(huì)與個(gè)人已經(jīng)逐步形成了加強(qiáng)數(shù)據(jù)安全保護(hù)的態(tài)勢(shì)。
但是實(shí)際工作中,各級(jí)組織在積極開(kāi)展數(shù)據(jù)安全建設(shè)的同時(shí),也遇到了一些典型的問(wèn)題。其中,數(shù)據(jù)治理機(jī)制、數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安全防泄露、數(shù)據(jù)隱私保護(hù)、數(shù)據(jù)資產(chǎn)確權(quán)、數(shù)據(jù)跨境流動(dòng)等問(wèn)題引起了廣泛關(guān)注。此外,數(shù)據(jù)安全管理體系的認(rèn)證也是當(dāng)前迫切需要解決的重要問(wèn)題。
對(duì)于大部分組織來(lái)說(shuō),數(shù)據(jù)安全管理體系建設(shè)是一個(gè)全新的概念,采用科學(xué)的方法論進(jìn)行建設(shè)尤其重要。目前被廣泛采納的方法論有Gartner的數(shù)據(jù)安全治理框架(DSG)、微軟的DGPC框架、《GB/T 37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》、信通院的數(shù)據(jù)安全建設(shè)方法《T/ISC-0011-2021數(shù)據(jù)安全治理能力評(píng)估方法》等。
在重點(diǎn)行業(yè)領(lǐng)域,金融行業(yè)主要遵循中國(guó)人民銀行提出的《JR/T 0171-2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范》、《JR/T 0197-2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》和《JR/T 0223-2021金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》;電信和互聯(lián)網(wǎng)行業(yè)參照的標(biāo)準(zhǔn)是工信部發(fā)布的《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)》;健康醫(yī)療行業(yè)參考的標(biāo)準(zhǔn)是《GB/T 39725-2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》等。
這些數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范及良好實(shí)踐,雖然從不同角度提出各自的方法,但對(duì)于數(shù)據(jù)安全體系要達(dá)到什么程度卻缺乏權(quán)威的認(rèn)證要求。18號(hào)文的發(fā)布,第一次表明了國(guó)家主管部門(mén)將加強(qiáng)對(duì)數(shù)據(jù)安全的規(guī)范化管理,開(kāi)展統(tǒng)一的認(rèn)證工作,并發(fā)布《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》,以明確對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。
18號(hào)文明確要求參照國(guó)家標(biāo)準(zhǔn)《GB/T 41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》的數(shù)據(jù)安全管理認(rèn)證(DSM),這是對(duì)基于國(guó)內(nèi)標(biāo)準(zhǔn)數(shù)據(jù)安全管理認(rèn)證的重要補(bǔ)充與完善。
18號(hào)文的發(fā)布單位,是國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家互聯(lián)網(wǎng)信息辦公室。其中,國(guó)家市場(chǎng)監(jiān)督管理總局對(duì)國(guó)家統(tǒng)一的認(rèn)證認(rèn)可和合格評(píng)定具有監(jiān)督管理的職能;而國(guó)家互聯(lián)網(wǎng)信息辦公室具有統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作的職能?!吨腥A人民共和國(guó)數(shù)據(jù)安全法》第六條明確規(guī)定,“國(guó)家網(wǎng)信部門(mén)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定,負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作”。因此,該兩大部門(mén)發(fā)起的數(shù)據(jù)安全管理認(rèn)證是具有較強(qiáng)權(quán)威性的。
對(duì)《數(shù)據(jù)安全管理實(shí)施認(rèn)證規(guī)則》的解讀
18號(hào)文明確了數(shù)據(jù)安全管理認(rèn)證是按照《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》來(lái)實(shí)施,此規(guī)則的制定依據(jù)是《中華人民共和國(guó)認(rèn)證認(rèn)可條例》。而認(rèn)證認(rèn)可條例所稱(chēng)的“認(rèn)證”是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。
因此,《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》所說(shuō)的認(rèn)證應(yīng)當(dāng)是針對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的數(shù)據(jù)安全管理體系開(kāi)展的認(rèn)證活動(dòng),以驗(yàn)證網(wǎng)絡(luò)運(yùn)營(yíng)者是否建立了有效的數(shù)據(jù)安全管理體系來(lái)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等處理活動(dòng)。
圖2:《數(shù)據(jù)安全管理實(shí)施認(rèn)證規(guī)則》主要內(nèi)容
(一)認(rèn)證依據(jù)
《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》制定的主要依據(jù)有:《數(shù)據(jù)安全法》第十八條——國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展,支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專(zhuān)業(yè)機(jī)構(gòu)依法開(kāi)展服務(wù)活動(dòng);《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》(征求意見(jiàn)稿)第三十五條第二款——數(shù)據(jù)處理者和數(shù)據(jù)接收方均通過(guò)國(guó)家網(wǎng)信部門(mén)認(rèn)定的專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證;《中華人民共和國(guó)認(rèn)證認(rèn)可條例》第二條——本條例所稱(chēng)認(rèn)證,是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。
(二)認(rèn)證要求
《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》中明確了組織開(kāi)展數(shù)據(jù)安全認(rèn)證的依據(jù)是將于2022年11月1日實(shí)施的《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T 41479-2022》;認(rèn)證適用的范圍是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等處理活動(dòng)進(jìn)行認(rèn)證;認(rèn)證模式是技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督,提出對(duì)認(rèn)證時(shí)限和認(rèn)證證書(shū)和認(rèn)證標(biāo)志的相關(guān)要求;認(rèn)證過(guò)程是認(rèn)證委托+技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+認(rèn)證結(jié)果評(píng)價(jià)和批準(zhǔn)+獲證后監(jiān)督。
(三)認(rèn)證責(zé)任
認(rèn)證機(jī)構(gòu)應(yīng)依據(jù)實(shí)施規(guī)則的要求細(xì)化認(rèn)證實(shí)施程序,制定科學(xué)、合理、可操作的認(rèn)證實(shí)施細(xì)則并對(duì)外公布實(shí)施,認(rèn)證實(shí)施時(shí)其責(zé)任是對(duì)現(xiàn)場(chǎng)審核結(jié)論、認(rèn)證結(jié)論負(fù)責(zé);技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實(shí)施技術(shù)驗(yàn)證,并向認(rèn)證機(jī)構(gòu)和認(rèn)證委托人出具技術(shù)驗(yàn)證報(bào)告,認(rèn)證實(shí)施時(shí)其責(zé)任是對(duì)技術(shù)驗(yàn)證結(jié)論負(fù)責(zé);認(rèn)證委托人應(yīng)當(dāng)按認(rèn)證機(jī)構(gòu)要求提交認(rèn)證委托資料,并配合認(rèn)證機(jī)構(gòu)和技術(shù)驗(yàn)證機(jī)構(gòu)的現(xiàn)場(chǎng)審核與驗(yàn)證工作,其責(zé)任是對(duì)認(rèn)證委托資料的真實(shí)性、合法性負(fù)責(zé)。
對(duì)《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》的解讀
18號(hào)文明確了數(shù)據(jù)安全管理認(rèn)證依據(jù)是《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T 41479》及相關(guān)標(biāo)準(zhǔn)規(guī)范的最新版本。
《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》結(jié)合了《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《GB/T 35273-2020個(gè)人信息安全規(guī)范》等規(guī)定,從數(shù)據(jù)處理安全總體要求、數(shù)據(jù)處理安全技術(shù)要求、數(shù)據(jù)處理安全管理要求三個(gè)方面規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)處理活動(dòng)的安全要求,參見(jiàn)下圖:
圖3:《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》主要內(nèi)容
(一)數(shù)據(jù)處理安全總體要求
數(shù)據(jù)識(shí)別--識(shí)別數(shù)據(jù)并形成數(shù)據(jù)保護(hù)目錄,及時(shí)更新。
分類(lèi)分級(jí)--按照國(guó)家標(biāo)準(zhǔn)、國(guó)家規(guī)定和業(yè)務(wù)運(yùn)營(yíng)需要,分類(lèi)分級(jí)管理。
風(fēng)險(xiǎn)防控--建立數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度,制定數(shù)據(jù)安全保護(hù)計(jì)劃,開(kāi)展安全風(fēng)險(xiǎn)評(píng)估,及時(shí)處置安全事件,組織開(kāi)展教育培訓(xùn)。
審計(jì)追溯--對(duì)數(shù)據(jù)處理的全生存周期進(jìn)行記錄,確保數(shù)據(jù)處理可審計(jì)、可追溯。
(二)數(shù)據(jù)應(yīng)用生命周期過(guò)程的數(shù)據(jù)處理安全技術(shù)要求
通用--開(kāi)展數(shù)據(jù)處理時(shí)應(yīng)進(jìn)行影響分析和風(fēng)險(xiǎn)評(píng)估,采取必要措施對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行控制。
收集--遵循合法、正當(dāng)、必要的原則,不收集與其提供的服務(wù)無(wú)直接或無(wú)合理關(guān)聯(lián)的個(gè)人信息,不強(qiáng)迫收集個(gè)人信息;收集敏感個(gè)人信息前應(yīng)獲取單獨(dú)同意。
存儲(chǔ)--存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息不應(yīng)超過(guò)約定期限或授權(quán)同意有效期;存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息等敏感網(wǎng)絡(luò)數(shù)據(jù),應(yīng)采用加密、訪問(wèn)控制、安全審計(jì)等安全措施。
使用--(1)定向推送及信息合成:提供定向推送信息服務(wù)的同時(shí)應(yīng)提供非定向推的選項(xiàng);在提供新聞、博客類(lèi)信息服務(wù)的過(guò)程中,利用算法自動(dòng)合成文字、圖片、音視頻等信息,應(yīng)明確告知用戶;(2)第三方應(yīng)用管理:監(jiān)督第三方應(yīng)用運(yùn)營(yíng)者加強(qiáng)數(shù)據(jù)安全管理;通過(guò)合同等形式明確雙方的責(zé)任和義務(wù);宜對(duì)接入或嵌入的第三方應(yīng)用開(kāi)展技術(shù)檢測(cè)。
加工--在開(kāi)展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過(guò)程中,知道或者應(yīng)知道可能危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的,應(yīng)立即停止加工活動(dòng)。
傳輸--傳輸重要數(shù)據(jù)和敏感個(gè)人信息時(shí),應(yīng)采用加密、脫敏等安全措施;向數(shù)據(jù)接收方傳輸數(shù)據(jù)時(shí),應(yīng)按要求采取安全措施并以合同進(jìn)行約定。
提供--(1)向他人提供:進(jìn)行安全影響分析和風(fēng)險(xiǎn)評(píng)估;向他人提供個(gè)人信息應(yīng)履行告知義務(wù)并獲取同意;委托第三方開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)通過(guò)合同等形式明確處理目的、權(quán)利義務(wù)等相關(guān)信息;共享、轉(zhuǎn)讓重要數(shù)據(jù)需簽訂合同明確數(shù)據(jù)保護(hù)責(zé)任并采取保障措施;(2)數(shù)據(jù)出境:遵循國(guó)家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求。境內(nèi)用戶在境內(nèi)訪問(wèn)境內(nèi)網(wǎng)絡(luò)的,其流量不應(yīng)路由至境外。
公開(kāi)--利用所掌握的數(shù)據(jù)資源,公開(kāi)市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息時(shí),不應(yīng)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定。
私人信息和可轉(zhuǎn)發(fā)信息的處理方式--即時(shí)通信等社交平臺(tái)運(yùn)營(yíng)者宜為用戶提供發(fā)送私人信息和可轉(zhuǎn)發(fā)信息的選項(xiàng),宜對(duì)以私人選項(xiàng)發(fā)送的信息不提供轉(zhuǎn)發(fā)功能;宜對(duì)以可轉(zhuǎn)發(fā)選項(xiàng)發(fā)送的信息或者轉(zhuǎn)發(fā)此類(lèi)信息的,同時(shí)發(fā)送信息始發(fā)者在該平臺(tái)上的賬號(hào)名稱(chēng),該賬號(hào)名稱(chēng)唯一且不可更改。
個(gè)人信息查閱、更正、刪除及用戶賬號(hào)注銷(xiāo)--建立渠道和機(jī)制,及時(shí)響應(yīng)個(gè)人信息主體查閱、復(fù)制、更正、刪除其個(gè)人信息及注銷(xiāo)賬號(hào)的請(qǐng)求,不應(yīng)對(duì)請(qǐng)求設(shè)置不合理?xiàng)l件。
投訴、舉報(bào)受理處置--建立投訴、舉報(bào)受理處置制度。
訪問(wèn)控制與審計(jì)--基于數(shù)據(jù)分類(lèi)分級(jí),明確相關(guān)人員的訪問(wèn)權(quán)限;對(duì)重要數(shù)據(jù)、個(gè)人信息的關(guān)鍵操作(例如批量修改、拷貝、刪除、下載等),設(shè)置內(nèi)部審批和審計(jì)流程,并嚴(yán)格執(zhí)行。
數(shù)據(jù)刪除和匿名化--符合法定情形時(shí)要及時(shí)履行刪除義務(wù);存儲(chǔ)重要數(shù)據(jù)和個(gè)人信息的介質(zhì)進(jìn)行報(bào)廢處理時(shí),應(yīng)采用物理?yè)p毀等方式銷(xiāo)毀介質(zhì),以確保數(shù)據(jù)不能被恢復(fù)。
(三)數(shù)據(jù)處理安全管理要求
數(shù)據(jù)安全責(zé)任人--處理重要數(shù)據(jù)和敏感個(gè)人信息的,應(yīng)明確數(shù)據(jù)安全責(zé)任人,并為其提供必要的資源保障,保證其獨(dú)立履行相關(guān)職責(zé)。
人力資源保障與考核--明確數(shù)據(jù)安全保護(hù)崗位及職責(zé),并提供人力資源保障;建立人力資源考核制度,明確數(shù)據(jù)安全管理考核指標(biāo)和問(wèn)責(zé)機(jī)制。
事件應(yīng)急處置--應(yīng)建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制,配備應(yīng)急響應(yīng)所需的資源,制定應(yīng)急演練計(jì)劃。
對(duì)數(shù)據(jù)安全管理體系建設(shè)的建議
《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》要求針對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的數(shù)據(jù)安全管理體系開(kāi)展認(rèn)證活動(dòng),那么組織首先應(yīng)當(dāng)如何建立有效的數(shù)據(jù)安全管理體系?
我們認(rèn)為組織的數(shù)據(jù)安全管理體系建設(shè)應(yīng)在《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》的基礎(chǔ)上,從數(shù)據(jù)安全規(guī)劃、數(shù)據(jù)安全治理機(jī)制、數(shù)據(jù)安全生命周期管理、數(shù)據(jù)安全技術(shù)應(yīng)用、數(shù)據(jù)安全日常運(yùn)營(yíng)五個(gè)方面開(kāi)展組織數(shù)據(jù)安全管理體系建設(shè),以滿足數(shù)據(jù)安全合規(guī)和保護(hù)組織數(shù)據(jù)安全的要求。
圖4:基于《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》的數(shù)據(jù)安全管理體系框架
(一)數(shù)據(jù)安全規(guī)劃
從數(shù)據(jù)安全總體策略、數(shù)據(jù)處理的業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)的分類(lèi)分級(jí)、數(shù)據(jù)保護(hù)目錄和數(shù)據(jù)保護(hù)計(jì)劃五個(gè)方面進(jìn)行數(shù)據(jù)安全規(guī)劃。
•數(shù)據(jù)安全總體策略
構(gòu)建全方位的數(shù)據(jù)安全體系,保障數(shù)據(jù)的安全與合規(guī)有序流動(dòng),在數(shù)據(jù)全生命周期過(guò)程中確保數(shù)據(jù)不丟失、不泄露、不被篡改、業(yè)務(wù)永遠(yuǎn)在線、可追溯和隱私合規(guī)等,已經(jīng)成為企業(yè)當(dāng)前數(shù)字轉(zhuǎn)型過(guò)程中的核心訴求。
企業(yè)應(yīng)建立數(shù)據(jù)安全總體策略,確保企業(yè)的所有數(shù)據(jù)是合法合規(guī)應(yīng)用、確保安全與發(fā)展并重;建立安全可信的數(shù)據(jù)基礎(chǔ)設(shè)施,建設(shè)覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全體系,從數(shù)據(jù)安全的治理機(jī)制、數(shù)據(jù)安全防護(hù)的關(guān)鍵技術(shù)、數(shù)據(jù)安全的合規(guī)體系建設(shè)等方面來(lái)規(guī)劃與建設(shè)適宜的數(shù)據(jù)安全體系。
•數(shù)據(jù)處理的業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估
數(shù)據(jù)處理的業(yè)務(wù)影響分析和風(fēng)險(xiǎn)評(píng)估,可遵循信息安全風(fēng)險(xiǎn)評(píng)估的基本原理,基于組織的數(shù)據(jù)安全策略,從數(shù)據(jù)全生命周期安全出發(fā),通過(guò)對(duì)數(shù)據(jù)資產(chǎn)的重要程度、數(shù)據(jù)安全管理制度流程的設(shè)計(jì)和執(zhí)行情況、數(shù)據(jù)安全技術(shù)工具的有效性等多方面進(jìn)行信息收集和分析,評(píng)估數(shù)據(jù)處理活動(dòng)存在的安全風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評(píng)估首先應(yīng)明確待評(píng)估的數(shù)據(jù)資產(chǎn)范圍,然后基于數(shù)據(jù)安全相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范設(shè)定具體的評(píng)估項(xiàng)和評(píng)估指標(biāo)。
《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》定義的數(shù)據(jù),包括重要數(shù)據(jù)、個(gè)人信息和其他數(shù)據(jù)。重要數(shù)據(jù)是指一旦泄露可能直接影響國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的數(shù)據(jù),其范圍可參照《中華人民共和國(guó)數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》等相關(guān)法律法規(guī),包括未公開(kāi)的政府信息、數(shù)量達(dá)到一定規(guī)模的基因、地理、礦產(chǎn)信息等。
個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可以識(shí)別自然人有關(guān)的各種信息,包括姓名、出生日期、公民身份號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。對(duì)個(gè)人信息處理活動(dòng)的風(fēng)險(xiǎn)評(píng)估,通常稱(chēng)為影響分析,可參考的標(biāo)準(zhǔn)有《GB/T 39335-2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》和《ISO/IEC 29134-2017信息安全技術(shù)隱私影響評(píng)估指南》。
個(gè)人信息安全影響評(píng)估,是針對(duì)個(gè)人信息處理活動(dòng),檢驗(yàn)其合法合規(guī)程度,判斷其對(duì)個(gè)人信息主體合法權(quán)益造成損害的各種風(fēng)險(xiǎn),以及評(píng)估用于保護(hù)個(gè)人信息主體的各項(xiàng)措施有效性的過(guò)程。
圖5:個(gè)人信息安全影響評(píng)估的基本原理
其他數(shù)據(jù)主要是組織的經(jīng)營(yíng)管理數(shù)據(jù),包括戰(zhàn)略數(shù)據(jù)、人事數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、科研數(shù)據(jù)、銷(xiāo)售數(shù)據(jù)等。
普通數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估沒(méi)有固定的標(biāo)準(zhǔn),為了與數(shù)據(jù)安全管理認(rèn)證緊密聯(lián)系,風(fēng)險(xiǎn)評(píng)估的依據(jù)可以在滿足《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》的基礎(chǔ)上結(jié)合本行業(yè)監(jiān)管部門(mén)的要求,如金融行業(yè)可參考《JR/T 0171-2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范》、《JR/T 0223-2021金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》,電信互聯(lián)網(wǎng)行業(yè)可參考《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)》等。
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的流程包括評(píng)估準(zhǔn)備、評(píng)估實(shí)施、安全分析、報(bào)告編制、結(jié)果評(píng)審等;數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的方法包括問(wèn)卷調(diào)查、人員訪談、文檔查驗(yàn)、配置核查、工具測(cè)試、旁站驗(yàn)證等。
通過(guò)對(duì)數(shù)據(jù)處理活動(dòng)開(kāi)展風(fēng)險(xiǎn)評(píng)估,可以評(píng)價(jià)組織自身以及數(shù)據(jù)處理活動(dòng)第三方合作機(jī)構(gòu)的數(shù)據(jù)安全保護(hù)能力,為組織建立數(shù)據(jù)安全保護(hù)體系、明確數(shù)據(jù)安全保護(hù)策略和加強(qiáng)第三方合作機(jī)構(gòu)的數(shù)據(jù)安全管理提供參考。
•數(shù)據(jù)分類(lèi)分級(jí)
數(shù)據(jù)分類(lèi)分級(jí)是數(shù)據(jù)安全治理的基礎(chǔ),“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)按照相關(guān)國(guó)家標(biāo)準(zhǔn),根據(jù)合同規(guī)定和業(yè)務(wù)運(yùn)營(yíng)需要,對(duì)所識(shí)別的數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理。”
目前組織可參考或借鑒的數(shù)據(jù)分類(lèi)分級(jí)的標(biāo)準(zhǔn),主要有證監(jiān)會(huì)發(fā)布的《JR/T 0158-2018證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》、中國(guó)人民銀行發(fā)布的《JR/T 0197-2020金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》、中國(guó)人民銀行發(fā)布的《JR/T 0171-2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范》,工業(yè)和信息化部辦公廳發(fā)布的《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南(試行)》,以及全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引(v1.0-202112)》等。
數(shù)據(jù)分類(lèi)分級(jí)具有多種視角和維度,組織可在遵循國(guó)家和行業(yè)數(shù)據(jù)分類(lèi)分級(jí)要求的基礎(chǔ)上,按照組織經(jīng)營(yíng)維度,將個(gè)人或組織用戶的數(shù)據(jù)單獨(dú)劃分出來(lái)作為用戶數(shù)據(jù),其中個(gè)人用戶數(shù)據(jù),可參考《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《GB/T 35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》、《JR/T 0171-2020個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等要求進(jìn)行個(gè)人信息的分類(lèi)分級(jí)。
用戶數(shù)據(jù)之外的其他數(shù)據(jù)可從業(yè)務(wù)條線出發(fā),首先對(duì)業(yè)務(wù)細(xì)分,然后對(duì)數(shù)據(jù)細(xì)分,形成從總到分的樹(shù)形邏輯體系結(jié)構(gòu),最后對(duì)分類(lèi)后的數(shù)據(jù)從影響對(duì)象、影響范圍和影響程度三個(gè)方面確定級(jí)別,同時(shí)考慮確定數(shù)據(jù)形態(tài)。
圖6:數(shù)據(jù)分類(lèi)分級(jí)的基本流程
組織應(yīng)制定數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)和方法,對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí),并在數(shù)據(jù)內(nèi)容發(fā)生變化、數(shù)據(jù)時(shí)效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)應(yīng)用場(chǎng)景、數(shù)據(jù)加工處理方式等發(fā)生變化等多個(gè)場(chǎng)景下對(duì)數(shù)據(jù)進(jìn)行重新定級(jí)。
•數(shù)據(jù)保護(hù)目錄
數(shù)據(jù)保護(hù)目錄,也就是需要保護(hù)的數(shù)據(jù)資產(chǎn)清單。組織應(yīng)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理,包括結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù),明確數(shù)據(jù)資產(chǎn)的級(jí)別信息,形成數(shù)據(jù)資產(chǎn)清單。
圖7:數(shù)據(jù)資產(chǎn)清單示例
組織也需要對(duì)數(shù)據(jù)資產(chǎn)清單進(jìn)行維護(hù)、管理和定期審核,依據(jù)數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn),建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)策略,對(duì)數(shù)據(jù)實(shí)施全流程分類(lèi)分級(jí)管理和保護(hù)。
•數(shù)據(jù)安全保護(hù)計(jì)劃
組織依據(jù)數(shù)據(jù)分類(lèi)分級(jí)的結(jié)果和數(shù)據(jù)保護(hù)目錄,制定數(shù)據(jù)安全保護(hù)計(jì)劃,采用不同的安全策略和管理流程,以及采用的數(shù)據(jù)安全保護(hù)技術(shù)手段,對(duì)不同安全等級(jí)的數(shù)據(jù)資產(chǎn)實(shí)施差異化管控。
圖8:數(shù)據(jù)分級(jí)保護(hù)策略
(二)數(shù)據(jù)安全治理機(jī)制
從數(shù)據(jù)安全管理組織與職責(zé)、數(shù)據(jù)安全制度與流程、數(shù)據(jù)安全評(píng)估與考核、數(shù)據(jù)安全教育與培訓(xùn)四個(gè)方面來(lái)建立數(shù)據(jù)安全治理機(jī)制。
•數(shù)據(jù)安全管理組織與職責(zé)
數(shù)據(jù)安全管理組織的架構(gòu),可以參照信息安全管理體系的四層設(shè)計(jì),即決策層、管理層、執(zhí)行層、監(jiān)督層。
圖9:數(shù)據(jù)安全管理組織架構(gòu)示例
決策層,也就是數(shù)據(jù)安全管理委員會(huì)領(lǐng)導(dǎo)小組,由組織的高級(jí)管理層構(gòu)成,總體負(fù)責(zé)數(shù)據(jù)安全工作的統(tǒng)籌組織、指導(dǎo)推進(jìn)和協(xié)調(diào)落實(shí),明確數(shù)據(jù)安全管理部門(mén),協(xié)調(diào)組織內(nèi)部數(shù)據(jù)安全管理資源調(diào)配;
管理層,即數(shù)據(jù)安全管理委員會(huì)委員,由數(shù)據(jù)安全管理、信息科技、業(yè)務(wù)、法務(wù)、合規(guī)、風(fēng)險(xiǎn)管理、稽核審計(jì)、人事等相關(guān)部門(mén)的主要負(fù)責(zé)人構(gòu)成,負(fù)責(zé)數(shù)據(jù)安全相關(guān)工作的實(shí)施、相關(guān)政策和制度的制定評(píng)審工作,保障數(shù)據(jù)安全管理工作所需資源,并設(shè)立數(shù)據(jù)安全管理專(zhuān)職崗位,負(fù)責(zé)日常數(shù)據(jù)安全管理工作;
執(zhí)行層,由業(yè)務(wù)部門(mén)、信息系統(tǒng)建設(shè)部門(mén)、運(yùn)維部門(mén)以及分支機(jī)構(gòu)的員工組成,根據(jù)數(shù)據(jù)安全相關(guān)策略和規(guī)程,落實(shí)本部門(mén)或本單位的數(shù)據(jù)安全防護(hù)措施;
監(jiān)督層,由安全審計(jì)、合規(guī)稽核、風(fēng)險(xiǎn)管理等部門(mén)負(fù)責(zé)跟進(jìn)數(shù)據(jù)安全相關(guān)業(yè)務(wù)的實(shí)際情況,確定數(shù)據(jù)安全審計(jì)策略和規(guī)范,開(kāi)展數(shù)據(jù)安全內(nèi)部審計(jì),監(jiān)督數(shù)據(jù)安全政策、方針的執(zhí)行,公布投訴、舉報(bào)方式,并及時(shí)受理數(shù)據(jù)安全和隱私保護(hù)相關(guān)的投訴和舉報(bào)等。
•數(shù)據(jù)安全制度與流程
數(shù)據(jù)安全管理制度體系可分為四層架構(gòu),每一層作為上一層的支撐。
第一層是管理總綱,是組織數(shù)據(jù)安全頂層設(shè)計(jì)的方針和策略,應(yīng)明確數(shù)據(jù)安全治理的目標(biāo)和重點(diǎn);
第二層是管理制度,應(yīng)對(duì)數(shù)據(jù)安全管理活動(dòng)中的各類(lèi)管理內(nèi)容建立安全管理制度,如數(shù)據(jù)生命周期安全管理、數(shù)據(jù)分類(lèi)分級(jí)管理、數(shù)據(jù)安全應(yīng)急響應(yīng)、監(jiān)測(cè)預(yù)警、合規(guī)評(píng)估、檢查評(píng)價(jià)、教育培訓(xùn)等制度;
第三層是操作流程和規(guī)范性文件,是作為制度要求下指導(dǎo)數(shù)據(jù)安全策略落地的指南,如數(shù)據(jù)安全分類(lèi)分級(jí)操作指南、數(shù)據(jù)安全技術(shù)防護(hù)操作指南、數(shù)據(jù)安全審計(jì)規(guī)范等指導(dǎo)性文件;
第四層是流程圖和表單文件,是作為數(shù)據(jù)安全落地運(yùn)營(yíng)過(guò)程中產(chǎn)生的執(zhí)行文件,如數(shù)據(jù)資產(chǎn)管理清單、數(shù)據(jù)使用申請(qǐng)審批表、賬號(hào)權(quán)限申請(qǐng)審批表、數(shù)據(jù)安全定級(jí)流程圖等。
圖10:數(shù)據(jù)安全管理制度體系框架示例
圖11:個(gè)人信息保護(hù)制度體系框架示例
•數(shù)據(jù)安全評(píng)價(jià)與考核
在人力資源管理方面,明確數(shù)據(jù)安全管理考核指標(biāo)和問(wèn)責(zé)機(jī)制,對(duì)相關(guān)人員特別是重要崗位人員的履職情況進(jìn)行考核。出現(xiàn)數(shù)據(jù)安全重大事件時(shí),對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員進(jìn)行問(wèn)責(zé)。
通過(guò)制定數(shù)據(jù)安全管理組織架構(gòu)和職責(zé)體系,明確數(shù)據(jù)安全管理組織架構(gòu)各層級(jí)的人員和職責(zé),尤其在特權(quán)賬號(hào)使用、敏感數(shù)據(jù)導(dǎo)出、數(shù)據(jù)訪問(wèn)、數(shù)據(jù)共享等環(huán)節(jié)明確安全責(zé)任人;通過(guò)合同協(xié)議等方式,明確組織及第三方合作機(jī)構(gòu)在數(shù)據(jù)安全方面的責(zé)任和義務(wù)。
建立評(píng)價(jià)與考核指標(biāo),如年度數(shù)據(jù)安全事件的次數(shù)、數(shù)據(jù)安全培訓(xùn)人員比例及學(xué)時(shí)等,對(duì)數(shù)據(jù)安全管理工作進(jìn)行評(píng)價(jià)和考核。
•數(shù)據(jù)安全教育與培訓(xùn)
組織可在三個(gè)層面開(kāi)展數(shù)據(jù)安全教育培訓(xùn),第一,針對(duì)高級(jí)管理層的培訓(xùn);第二,針對(duì)數(shù)據(jù)安全管理團(tuán)隊(duì)的培訓(xùn);第三,針對(duì)所有員工的培訓(xùn)。培訓(xùn)的目的是建立數(shù)據(jù)安全保護(hù)的文件、技能及意識(shí)。
圖12:數(shù)據(jù)安全培訓(xùn)對(duì)象和內(nèi)容示例
(三)數(shù)據(jù)安全生命周期管理
數(shù)據(jù)安全生命周期管理可以參考本文“三、對(duì)《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》解讀”的相關(guān)內(nèi)容。
(四)數(shù)據(jù)安全技術(shù)應(yīng)用
數(shù)據(jù)安全技術(shù)建設(shè)不是單一的產(chǎn)品或工具的構(gòu)建,而是覆蓋數(shù)據(jù)全生存周期、結(jié)合組織自身使用場(chǎng)景的體系建設(shè)。應(yīng)依據(jù)組織數(shù)據(jù)安全建設(shè)的方針策略,圍繞數(shù)據(jù)全生存周期各階段的安全要求,建立與制度流程相配套的技術(shù)和工具。
圖13:數(shù)據(jù)安全治理的技術(shù)和工具應(yīng)用
常見(jiàn)的數(shù)據(jù)安全技術(shù)有:
•數(shù)據(jù)資產(chǎn)管理系統(tǒng)--數(shù)據(jù)資產(chǎn)管理系統(tǒng)不僅保存數(shù)據(jù)資產(chǎn)的信息,通常具有數(shù)據(jù)發(fā)現(xiàn)的功能。在某些行業(yè)和特定場(chǎng)景下,可以實(shí)現(xiàn)數(shù)據(jù)的自動(dòng)分類(lèi)分級(jí)。
•身份認(rèn)證--身份認(rèn)證是實(shí)現(xiàn)數(shù)據(jù)安全管理的基礎(chǔ)功能,保障對(duì)人員合理授權(quán)的管理。
•訪問(wèn)控制--訪問(wèn)控制的目的是保證只有授權(quán)的人員才能訪問(wèn)數(shù)據(jù),訪問(wèn)指對(duì)數(shù)據(jù)的增刪改查等操作。
•數(shù)據(jù)加密--數(shù)據(jù)加密是指對(duì)結(jié)構(gòu)化數(shù)據(jù)(如數(shù)據(jù)庫(kù))進(jìn)行表、行、字段進(jìn)行加密,和對(duì)非結(jié)構(gòu)化數(shù)據(jù)(如電子文件)進(jìn)行文檔加密。
•數(shù)據(jù)防泄露--數(shù)據(jù)防泄露的產(chǎn)品主要包括終端防泄露、網(wǎng)絡(luò)防泄露、郵件防泄露等。
•數(shù)據(jù)脫敏--數(shù)據(jù)脫敏的功能是“去敏感化”,主要產(chǎn)品形式有靜態(tài)脫敏、動(dòng)態(tài)脫敏等。
•數(shù)據(jù)備份--數(shù)據(jù)備份技術(shù)包括磁帶備份、數(shù)據(jù)庫(kù)復(fù)制、網(wǎng)絡(luò)數(shù)據(jù)傳輸、遠(yuǎn)程鏡像等方式。
•安全存儲(chǔ)--存儲(chǔ)系統(tǒng)作為數(shù)據(jù)的保存空間,是數(shù)據(jù)保護(hù)的最后一道防線,安全存儲(chǔ)主要包括存儲(chǔ)安全技術(shù)、重復(fù)數(shù)據(jù)刪除技術(shù)、數(shù)據(jù)備份及災(zāi)難恢復(fù)技術(shù)等。
•數(shù)據(jù)銷(xiāo)毀--對(duì)磁介質(zhì)的銷(xiāo)毀,通常采用消磁機(jī);對(duì)磁盤(pán)等物理介質(zhì)的銷(xiāo)毀,較多采用粉碎的方式。
•安全審計(jì)--實(shí)現(xiàn)安全審計(jì)的技術(shù)/產(chǎn)品主要有數(shù)據(jù)庫(kù)審計(jì)和數(shù)據(jù)防泄露。
(五)數(shù)據(jù)安全運(yùn)營(yíng)
數(shù)據(jù)安全管理和技術(shù)體系的落地,離不開(kāi)數(shù)據(jù)安全運(yùn)營(yíng)。首先應(yīng)當(dāng)把數(shù)據(jù)安全納入組織的網(wǎng)絡(luò)安全體系中,然后可從數(shù)據(jù)處理風(fēng)險(xiǎn)監(jiān)測(cè)、數(shù)據(jù)安全事件管理、數(shù)據(jù)安全應(yīng)急管理、數(shù)據(jù)安全審計(jì)等方面來(lái)建設(shè)運(yùn)營(yíng)體系。
•與組織現(xiàn)有安全管理體系的融合
當(dāng)前國(guó)內(nèi)組織按照國(guó)際標(biāo)準(zhǔn)ISO27000開(kāi)展信息安全管理體系,以及按照國(guó)內(nèi)等級(jí)保護(hù)規(guī)范要求開(kāi)展網(wǎng)絡(luò)安全保障體系的建設(shè)已經(jīng)有多年的實(shí)踐經(jīng)驗(yàn)和較完整的體系,數(shù)據(jù)安全管理體系應(yīng)當(dāng)是信息安全管理體系或網(wǎng)絡(luò)安全保障體系的重要組成部分。因此,組織在進(jìn)行數(shù)據(jù)安全管理體系建設(shè)時(shí),要確保與現(xiàn)有安全管理體系的融合,并把數(shù)據(jù)安全管理體系的運(yùn)營(yíng)納入到現(xiàn)有的安全體系運(yùn)營(yíng)中來(lái)。
•對(duì)數(shù)據(jù)處理風(fēng)險(xiǎn)的持續(xù)監(jiān)控與評(píng)估
建議通過(guò)自動(dòng)化手段對(duì)數(shù)據(jù)處理的各個(gè)環(huán)節(jié)進(jìn)行安全風(fēng)險(xiǎn)監(jiān)測(cè)。對(duì)于大部分組織來(lái)說(shuō),可以借助已有的網(wǎng)絡(luò)安全管理中心的安全運(yùn)營(yíng)平臺(tái)(SOC),持續(xù)監(jiān)測(cè)數(shù)據(jù)處理流程和關(guān)鍵環(huán)節(jié)中的安全風(fēng)險(xiǎn)。
圖14:把數(shù)據(jù)安全運(yùn)營(yíng)納入網(wǎng)絡(luò)安全運(yùn)營(yíng)管理
通過(guò)自動(dòng)化安全運(yùn)營(yíng)平臺(tái)可以對(duì)與敏感數(shù)據(jù)處理相關(guān)的安全設(shè)備、主機(jī)、終端和系統(tǒng)進(jìn)行集中管理,以及日志的集中收集和分析,進(jìn)而對(duì)數(shù)據(jù)安全相關(guān)的系統(tǒng)進(jìn)行安全狀態(tài)監(jiān)控、安全風(fēng)險(xiǎn)評(píng)估、故障快速定位、事件關(guān)聯(lián)分析、事件處置、系統(tǒng)分析報(bào)表等;還可以對(duì)數(shù)據(jù)安全相關(guān)的安全策略、惡意代碼、補(bǔ)丁升級(jí)等事項(xiàng)進(jìn)行集中管理,具備策略統(tǒng)一下發(fā)、流程統(tǒng)一管理和人員及賬戶管理功能;此外,通過(guò)建立面向安全策略、安全風(fēng)險(xiǎn)、安全事件的KPI指標(biāo),對(duì)數(shù)據(jù)安全運(yùn)營(yíng)情況統(tǒng)計(jì)分析,對(duì)潛在可能發(fā)生的數(shù)據(jù)安全事件與風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)與預(yù)警。
•對(duì)數(shù)據(jù)安全事件與應(yīng)急管理
對(duì)組織的數(shù)據(jù)安全事件進(jìn)行分類(lèi),對(duì)產(chǎn)生的數(shù)據(jù)安全事件進(jìn)行收集與告警,并安排相關(guān)人員及流程進(jìn)行日常處置;對(duì)于發(fā)生的重大數(shù)據(jù)安全事件,啟動(dòng)應(yīng)急響應(yīng)流程,必要時(shí)進(jìn)行事件溯源調(diào)查與取證。
•開(kāi)展針對(duì)數(shù)據(jù)安全的IT審計(jì)
由組織的內(nèi)審部門(mén)按照信息系統(tǒng)審計(jì)的規(guī)范與要求,開(kāi)展數(shù)據(jù)安全審計(jì),或者聘請(qǐng)獨(dú)立的第三方機(jī)構(gòu)對(duì)組織的數(shù)據(jù)安全管理體系或數(shù)據(jù)安全控制措施進(jìn)行IT審計(jì)。根據(jù)審計(jì)結(jié)論,管理層可以了解組織當(dāng)前數(shù)據(jù)安全管控狀態(tài),促進(jìn)組織對(duì)于重大風(fēng)險(xiǎn)領(lǐng)域與環(huán)節(jié)及時(shí)進(jìn)行整改。
•開(kāi)展數(shù)據(jù)安全管理認(rèn)證與外部協(xié)作
組織按照以上思路與框架建立數(shù)據(jù)安全體系并運(yùn)行一段時(shí)間后,可以向數(shù)據(jù)安全管理認(rèn)證的專(zhuān)業(yè)機(jī)構(gòu)提出認(rèn)證申請(qǐng),并提交認(rèn)證委托資料;認(rèn)證機(jī)構(gòu)審核認(rèn)證委托申請(qǐng)資料后,如果確定受理,將向申請(qǐng)人提交認(rèn)證方案,包括數(shù)據(jù)類(lèi)型和數(shù)量、涉及的數(shù)據(jù)處理活動(dòng)范圍、技術(shù)驗(yàn)證機(jī)構(gòu)信息等,并通知認(rèn)證委托人;認(rèn)證機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)審核,并向認(rèn)證委托人出具現(xiàn)場(chǎng)審核報(bào)告。對(duì)符合認(rèn)證要求的,頒發(fā)認(rèn)證證書(shū)。
組織除了可以申請(qǐng)外部機(jī)構(gòu)的認(rèn)證服務(wù)外,還可以聘請(qǐng)外部咨詢服務(wù)機(jī)構(gòu)在準(zhǔn)備申請(qǐng)認(rèn)證之前協(xié)助組織建立數(shù)據(jù)安全管理體系,以快速提升自身的數(shù)據(jù)安全管理水平,更順利地通過(guò)數(shù)據(jù)安全管理認(rèn)證。
總結(jié)
•18號(hào)文的發(fā)布,表明國(guó)家主管部門(mén)對(duì)數(shù)據(jù)安全管理體系正式提出了認(rèn)證要求,這對(duì)于推進(jìn)國(guó)內(nèi)各類(lèi)機(jī)構(gòu)加強(qiáng)數(shù)據(jù)安全建設(shè)具有重要的指導(dǎo)作用。
•國(guó)內(nèi)各類(lèi)機(jī)構(gòu)可以借此政策“東風(fēng)”,加強(qiáng)自身數(shù)據(jù)安全管理體系建設(shè),既滿足了監(jiān)管合規(guī)的要求,又能夠通過(guò)體系認(rèn)證過(guò)程有效保護(hù)組織自身的數(shù)據(jù)安全。
•通過(guò)認(rèn)證拿到證書(shū)只是一個(gè)結(jié)果,如何達(dá)到認(rèn)證要求并切實(shí)提高自身的數(shù)據(jù)安全管理水平則是需要科學(xué)的方法。本文結(jié)合數(shù)據(jù)安全認(rèn)證的相關(guān)依據(jù)與標(biāo)準(zhǔn),描述了組織如何有效建立數(shù)據(jù)安全管理體系的一些基本方法和良好實(shí)踐,希望對(duì)有志于開(kāi)展數(shù)據(jù)安全管理認(rèn)證的組織提供一些參考思路。
•細(xì)化的數(shù)據(jù)安全管理認(rèn)證實(shí)施程序和認(rèn)證實(shí)施細(xì)則還有待于認(rèn)證機(jī)構(gòu)的制定與公布,請(qǐng)大家保持關(guān)注。有關(guān)認(rèn)證事項(xiàng)要以主管部門(mén)及認(rèn)證機(jī)構(gòu)最終正式發(fā)布的政策與相關(guān)解釋為準(zhǔn)。
作者簡(jiǎn)介
張兵,谷安天下數(shù)據(jù)安全咨詢合伙人,數(shù)據(jù)安全治理委員會(huì)專(zhuān)家,全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)證券分技術(shù)委員會(huì)專(zhuān)家,《中小銀行數(shù)據(jù)安全治理研究報(bào)告》、《數(shù)據(jù)防泄露產(chǎn)品選型指南》報(bào)告主編,20多年的信息安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)、科技風(fēng)險(xiǎn)等咨詢及審計(jì)服務(wù)經(jīng)驗(yàn),獲得CISA、CDPSE、CISP-DSG、ISO 27701等證書(shū),熟悉銀行業(yè)、保險(xiǎn)業(yè)、證券業(yè)、電信互聯(lián)網(wǎng)行業(yè)、醫(yī)療健康行業(yè)及大型央企的科技管理與風(fēng)險(xiǎn)應(yīng)對(duì)措施,掌握專(zhuān)業(yè)的數(shù)據(jù)安全建設(shè)方法論,并具備豐富的項(xiàng)目實(shí)踐經(jīng)驗(yàn)。
李欣韋,谷安天下咨詢經(jīng)理,10多年的信息安全咨詢和信息科技風(fēng)險(xiǎn)審計(jì)工作經(jīng)驗(yàn),獲得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等證書(shū),熟悉銀行業(yè)、保險(xiǎn)業(yè)、證券業(yè)、大型央企的科技管理風(fēng)險(xiǎn)與應(yīng)對(duì)措施,對(duì)數(shù)據(jù)安全、個(gè)人信息保護(hù)、科技風(fēng)險(xiǎn)管理等領(lǐng)域均有著較為深入的研究,掌握專(zhuān)業(yè)的數(shù)據(jù)安全建設(shè)方法論,并具備豐富的項(xiàng)目實(shí)踐經(jīng)驗(yàn)。