近日,為(wèi)进一步落实《数据安(ān)全法》、《网络安(ān)全法》、《网络数据安(ān)全管理(lǐ)条例(征求意见稿)》中(zhōng)关于重要数据的相关要求,全國(guó)信息安(ān)全标准化技(jì )术委员会发布國(guó)家标准计划《信息安(ān)全技(jì )术 重要数据处理(lǐ)安(ān)全要求》(以下简称《要求》)。
《要求》拟给出重要数据收集、存储、使用(yòng)、传输、共享、销毁等处理(lǐ)过程中(zhōng)的安(ān)全要求,為(wèi)数据处理(lǐ)者合法、正当,以及安(ān)全地处理(lǐ)其掌握的重要数据提供技(jì )术支撑。
為(wèi)帮助各位深度理(lǐ)解《要求》,小(xiǎo)编邀请爱加密网络安(ān)全专家韩云老师对该國(guó)标进行解读。
《要求》适用(yòng)于数据处理(lǐ)者对重要数据开展处理(lǐ)活动,也可(kě)供监管部门、评估机构或其他(tā)有(yǒu)关组织对重要数据处理(lǐ)活动实施安(ān)全监管、评估等活动时参考。
“重要数据”一词最早见于《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》,2021年颁布的《中(zhōng)华人民(mín)共和國(guó)数据安(ān)全法》中(zhōng)首次对“重要数据”进行明确定义,目前有(yǒu)5大法规及國(guó)家标准中(zhōng)对“重要数据”给出了明确定义,详细内容见下图,浅蓝色背景部分(fēn)為(wèi)《要求》中(zhōng)的定义。
《要求》沿用(yòng)了《信息安(ān)全技(jì )术 网络数据分(fēn)类分(fēn)级要求》中(zhōng)的定义,将《网络数据安(ān)全管理(lǐ)条例》定义中(zhōng)的“公(gōng)共利益”细化為(wèi)“经济运行、社会稳定、公(gōng)共健康和安(ān)全”。
1.如果说《数据安(ān)全法》中(zhōng)数据安(ān)全是总集的话,那《要求》就是《数据安(ān)全法》的一个支撑点,其强调了重要数据同普通数据的差异性及特殊性。沿用(yòng)了《数据安(ān)全法》及其他(tā)标准的数据全生命周期的概念,从整體(tǐ)角度强调了处理(lǐ)重要数据的特殊性。
2.遵从了网络安(ān)全等级保护(2019版)第三级的安(ān)全要求,首次把云平台安(ān)全和系统安(ān)全分(fēn)开。
3.针对重要数据处理(lǐ)者提出技(jì )术方面安(ān)全要求,提及了重要数据的来源、识别、分(fēn)级分(fēn)类、数据目录、访问、评估等内容。
4.针对重要数据处理(lǐ)者提出管理(lǐ)方面安(ān)全要求,涉及机构、人员、制度、保密、供应链、应急措施、审计、监督管理(lǐ)等方面。
《要求》从设施安(ān)全、数据处理(lǐ)活动安(ān)全、运行管理(lǐ)安(ān)全等三个方面说明了重要数据处理(lǐ)的要求。
一、数据安(ān)全
1.1系统安(ān)全:处理(lǐ)重要数据的系统应符合GB/T 22239—2019第三级安(ān)全要求,并通过网络安(ān)全等级保护三级(含)以上测评。
1.2云计算服務(wù)平台安(ān)全:使用(yòng)社会化云计算服務(wù)平台处理(lǐ)重要数据前应进行风险评估,论证必要性、评估安(ān)全可(kě)信性及平台的安(ān)全状况。定期对云计算服務(wù)平台进行安(ān)全评估。发现不可(kě)接受的安(ān)全风险时,应停止使用(yòng)其处理(lǐ)重要数据。
本板块包括系统和云平台两个角度,《要求》从数据全生命周期(收集、存储、使用(yòng)、加工(gōng)、传输、提供、公(gōng)开和删除)提出整體(tǐ)要求。
2.1 收集:明确数据来源、 分(fēn)类分(fēn)级制度、识别重要数据、数据目录,强调合法性、参考法规并需要及时更新(xīn)。
2.2 存储:细化存储保护、存储位置、存储期限、备份与恢复要求。
2.3使用(yòng)与加工(gōng):强调重要数据在访问控制、评估与审批、保密审查的要求。
2.4 传输与提供:涵盖重要数据流动过程中(zhōng)需要遵守的8大要点,即法律文(wén)件、评估与审批、传输保护、交易、接收方义務(wù)、向境外提供、委托处理(lǐ)。
2.5公(gōng)开:需要制定管理(lǐ)制度、技(jì )术措施等要求。定期更新(xīn)和评估已公(gōng)开的重要数据,对不宜公(gōng)开或超期数据召回或销毁。
2.6删除:明确了重要数据的数据删除、介质(zhì)销毁详细步骤与要求。
《要求》更加注重管理(lǐ)方面的要求,从體(tǐ)系化角度对组织与人员、数据治理(lǐ)设施、供应链管理(lǐ)、应急响应、审计、风险评估、配合监督管理(lǐ)提出了极為(wèi)全面的安(ān)全要求。
提供实践指南:本标准拟给出重要数据收集、存储、使用(yòng)、传输、共享、销毁等处理(lǐ)过程中(zhōng)的安(ān)全要求,為(wèi)数据处理(lǐ)者、重要数据监管者、测评人员提供了实践指南。
助力法规落地:与《重要数据识别规则》等标准规范构成其重要的技(jì )术基础,有(yǒu)助于数据安(ān)全监管法律法规的落地实施。
便于数据流动及利用(yòng):明确了数据处理(lǐ)者处理(lǐ)重要数据的安(ān)全要求,有(yǒu)助于数据交易、出境安(ān)全评估、安(ān)全审查等制度的科(kē)學(xué)且有(yǒu)效实施,从而便利数据跨境流动和开发利用(yòng)、促进國(guó)际贸易发展,有(yǒu)利于经济发展与國(guó)际合作(zuò)。
爱加密专注于数据安(ān)全的合规治理(lǐ),可(kě)提供数据安(ān)全分(fēn)类分(fēn)级系统、数据出境合规治理(lǐ)平台、API监测平台、全域数据流动监测平台等数据安(ān)全产(chǎn)品,并将优质(zhì)技(jì )术与业務(wù)场景相结合,為(wèi)企业数据安(ān)全合法合规提供解决方案与技(jì )术保障。
1.爱加密数据安(ān)全分(fēn)类分(fēn)级系统,该平台是一款面向企业数据发掘并进行自动化数据分(fēn)级分(fēn)类分(fēn)析的产(chǎn)品 。平台对海量的数据资产(chǎn)自动化分(fēn)类分(fēn)级,在零业務(wù)打扰的情况下于扫描的同时完成对数据资产(chǎn)的自动化标识。
可(kě)参考國(guó)标、行标、企业特点,协同制定企业分(fēn)类分(fēn)级标准,定义元数据打标的表级别标签 、字段级别标签,根据映射关系咨询访谈,形成映射表,提取合并各个数据标签的识别规则。最终借助工(gōng)具(jù)沉淀各数据标签识别规则,配合机器學(xué)习提升识别效率。
平台支持多(duō)种数据库类型,并可(kě)快速水平扩展,通过服務(wù)扫描、资产(chǎn)扫描,形成表级/字段级的数据资产(chǎn)底账,分(fēn)级工(gōng)作(zuò)基于资产(chǎn)底账开展。
通过人工(gōng)逐个字段进行标记效率低下,专家在运营过程中(zhōng)需要不断将标签沉淀為(wèi)自动化的策略,保障数据分(fēn)类分(fēn)级持续有(yǒu)效 。平台可(kě)以进行多(duō)元素、多(duō)条件自由组合,发挥策略打标优势,应对复杂业務(wù)数据。
2.爱加密数据出境合规治理(lǐ)平台,该平台是以敏感数据出境為(wèi)核心,帮助企业持续有(yǒu)序地治理(lǐ)出境业務(wù),提供数据出境评估和监测能(néng)力,规范数据出境活动以满足合规监管要求的产(chǎn)品。
可(kě)对应用(yòng)系统、FTP服務(wù)、Web邮件等进行识别,并自动识别数据资产(chǎn)类型、出境类型、出境地區(qū)、出境数据范围等。且拥有(yǒu)持续监测能(néng)力。
产(chǎn)品遵循“事前评估、事中(zhōng)监测、事后留档”的治理(lǐ)思路,事前对出境资产(chǎn)进行合规风险评估,事中(zhōng)对出境行為(wèi)变化进行实时监测并将风险事件纳入处置中(zhōng)心,事后可(kě)依据实际情况决定是否采纳治理(lǐ)或再次进行评估,生成报告会存档以便后期进行对比分(fēn)析和整改。
爱加密作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng),将持续加强技(jì )术创新(xīn)与研究,持续关注数据安(ān)全领域监管要求与企业痛点。从法律、技(jì )术、规则等角度继续提升数据流动治理(lǐ)能(néng)力,帮助企业有(yǒu)效防范化解风险,為(wèi)数字经济高质(zhì)量发展保驾护航。
京公(gōng)网安(ān)备
11010802025310号