《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 合規(guī)視角下的全生命周期數(shù)據(jù)安全治理

合規(guī)視角下的全生命周期數(shù)據(jù)安全治理

2021-06-03
來(lái)源: 安全牛
關(guān)鍵詞: 數(shù)據(jù)安全

  日前,《個(gè)人信息安全保護(hù)法》和《數(shù)據(jù)安全法》已完成第二次審議。對(duì)于企業(yè)來(lái)說(shuō),未來(lái)法規(guī)的正式頒布實(shí)施將會(huì)是把雙刃劍,一方面是可提高民眾的意識(shí),利于推動(dòng)數(shù)據(jù)安全各項(xiàng)工作的落地;另一方面則是利用法律的威懾力,對(duì)企業(yè)開(kāi)展數(shù)據(jù)安全工作進(jìn)行有效約束。

  如何做好數(shù)據(jù)全生命周期管理,一直是一個(gè)頭疼的課題。本文將對(duì)“數(shù)安法(草案)二次審議稿”中涉及企業(yè)數(shù)據(jù)全生命周期管理的合規(guī)要求進(jìn)行簡(jiǎn)要分析。

  法規(guī)背景

  “數(shù)安法(草案)二次審議稿”一共七章五十一條,其中“總則”、“法律責(zé)任”及“附則”三章屬于常規(guī)章節(jié),另外四個(gè)章節(jié)則圍繞“數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開(kāi)放”四個(gè)方面提出工作要求。

 微信圖片_20210603133258.jpg

  數(shù)據(jù)全生命周期安全合規(guī)要求

  1、制度建立

  建立健全全流程數(shù)據(jù)安全管理制度,落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任,組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施保障數(shù)據(jù)安全。

  2、風(fēng)險(xiǎn)監(jiān)測(cè)

  對(duì)數(shù)據(jù)處理活動(dòng)中出現(xiàn)的缺陷、漏洞等風(fēng)險(xiǎn),要釆取補(bǔ)救措施;發(fā)生數(shù)據(jù)安全事件要按規(guī)定上報(bào)。

  3、風(fēng)險(xiǎn)評(píng)估

  對(duì)數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并上報(bào)風(fēng)評(píng)報(bào)告。

  4、收集使用

  任何組織、個(gè)人收集數(shù)據(jù)必須釆取合法、正當(dāng)?shù)姆绞?,不得竊取或者以其他非法方式獲取數(shù)據(jù)。

  法律、行政法規(guī)對(duì)收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的,應(yīng)當(dāng)在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。

  5、數(shù)據(jù)交易

  數(shù)據(jù)服務(wù)商或交易機(jī)構(gòu),要提供并說(shuō)明數(shù)據(jù)來(lái)源證據(jù),要審核相關(guān)人員身份并留存記錄。

  6、存儲(chǔ)加工

  委托他人存儲(chǔ)、加工或提供政務(wù)數(shù)據(jù),要先審批,并做好監(jiān)督。

  7、配合調(diào)查

  要求依法配合公安、安全等部門(mén)進(jìn)行犯罪調(diào)查。境外執(zhí)法機(jī)構(gòu)要調(diào)取存儲(chǔ)在中國(guó)的數(shù)據(jù),須先審核。

  8、審批與監(jiān)督

  委托他人建設(shè)、維護(hù)系統(tǒng),或涉及存儲(chǔ)、加工數(shù)據(jù),應(yīng)當(dāng)經(jīng)過(guò)嚴(yán)格的批準(zhǔn)程序,并監(jiān)督受托方、數(shù)據(jù)接收方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)。

  以上八個(gè)方向作為數(shù)安法對(duì)企業(yè)落實(shí)數(shù)據(jù)安全生命周期管控的基本要求。

  數(shù)據(jù)全生命周期安全實(shí)施建議

  數(shù)據(jù)全生命周期涵蓋收集、傳輸、存儲(chǔ)、處理、共享、銷(xiāo)毀共六個(gè)階段,針對(duì)數(shù)據(jù)全生命周期的安全管理也是企業(yè)開(kāi)展數(shù)據(jù)安全管理的核心和難點(diǎn)工作。

  微信圖片_20210603133302.png

  1、數(shù)據(jù)采集:

  數(shù)據(jù)采集規(guī)范中要明確數(shù)據(jù)采集的目的、用途、方式、范圍、采集源、采集渠道等內(nèi)容,并對(duì)數(shù)據(jù)來(lái)源進(jìn)行源鑒別和記錄。制定明確的采集策略,只采集經(jīng)過(guò)授權(quán)的數(shù)據(jù)并進(jìn)行日志記錄。對(duì)數(shù)據(jù)采集過(guò)程中的風(fēng)險(xiǎn)項(xiàng)進(jìn)行定義,形成數(shù)據(jù)采集風(fēng)險(xiǎn)評(píng)估規(guī)范。數(shù)據(jù)采集全過(guò)程需要符合相關(guān)法律法規(guī)和監(jiān)管要求,做到合規(guī)合法的采集。

  2、數(shù)據(jù)傳輸:

  做好傳輸接口管控和監(jiān)測(cè)。建議對(duì)涉敏數(shù)據(jù)進(jìn)行加密傳輸,主要用到的是對(duì)稱(chēng)加密算法和非對(duì)稱(chēng)加密算法,推薦的對(duì)稱(chēng)加密算法如:DES、IDEA、AES、SM1(國(guó)密算法),非對(duì)稱(chēng)加密算法如:RSA、ECC、SM2(國(guó)密算法)。

  3、數(shù)據(jù)存儲(chǔ):

  重要數(shù)據(jù)境內(nèi)存儲(chǔ),做好存儲(chǔ)介質(zhì)管理,建立數(shù)據(jù)存儲(chǔ)備份機(jī)制,并定期開(kāi)展備份恢復(fù)演練。

  4、數(shù)據(jù)處理:

  嚴(yán)格遵循數(shù)據(jù)處理最小化、必要原則,明確數(shù)據(jù)的處理和使用規(guī)范,確保員工只能訪問(wèn)職責(zé)所需的最少夠用的敏感數(shù)據(jù)。對(duì)數(shù)據(jù)進(jìn)行操作時(shí),應(yīng)做好去標(biāo)識(shí)化處理,明確數(shù)據(jù)脫敏的業(yè)務(wù)場(chǎng)景和統(tǒng)一使用適合的脫敏技術(shù)。

  5、數(shù)據(jù)共享:

  一是建立數(shù)據(jù)共享規(guī)范,共享前應(yīng)進(jìn)行嚴(yán)格的審批并存檔,同時(shí)開(kāi)展個(gè)人信息安全影響評(píng)估;二是共享前開(kāi)展風(fēng)險(xiǎn)評(píng)估(記錄留存3年),與共享的接口調(diào)用方簽訂合作協(xié)議;三是開(kāi)展共享監(jiān)測(cè)和審計(jì),數(shù)據(jù)導(dǎo)入導(dǎo)出應(yīng)進(jìn)行嚴(yán)格的審批和監(jiān)控,建立數(shù)據(jù)交換和共享審核流程和監(jiān)管平臺(tái),以確保數(shù)據(jù)對(duì)于數(shù)據(jù)共享的所有操作和行為進(jìn)行日志記錄,并對(duì)高危行為進(jìn)行風(fēng)險(xiǎn)識(shí)別和管控。

  6、數(shù)據(jù)銷(xiāo)毀:

  應(yīng)建立數(shù)據(jù)銷(xiāo)毀機(jī)制,明確存儲(chǔ)介質(zhì)刪除方法,數(shù)據(jù)銷(xiāo)毀需由領(lǐng)導(dǎo)審批,同時(shí)采用可靠的技術(shù)手段,確保被刪除和銷(xiāo)毀的用戶個(gè)人電子信息不能被再次還原。針對(duì)不同的存儲(chǔ)介質(zhì)和設(shè)備有其不可逆的銷(xiāo)毀技術(shù)及流程,建立銷(xiāo)毀監(jiān)察機(jī)制,嚴(yán)防數(shù)據(jù)銷(xiāo)毀階段可能出現(xiàn)的數(shù)據(jù)泄露問(wèn)題。

  數(shù)據(jù)銷(xiāo)毀包含物理層面和邏輯層面的銷(xiāo)毀,按照處理成本、復(fù)雜性和安全性由低到高的順序,將數(shù)據(jù)銷(xiāo)毀方式分為三個(gè)級(jí)別:

  一級(jí)銷(xiāo)毀方式:在軟件系統(tǒng)層刪除數(shù)據(jù);

  二級(jí)銷(xiāo)毀方式:在存儲(chǔ)介質(zhì)層清除數(shù)據(jù);

  三級(jí)銷(xiāo)毀方式:物理破壞數(shù)據(jù)及其存儲(chǔ)介質(zhì)。

  在對(duì)數(shù)據(jù)全生命周期監(jiān)管的同時(shí),為了對(duì)數(shù)據(jù)實(shí)現(xiàn)監(jiān)控和審計(jì),數(shù)據(jù)分級(jí)分類(lèi)必不可少。在數(shù)據(jù)分級(jí)分類(lèi)之前,需要通過(guò)數(shù)據(jù)測(cè)繪來(lái)發(fā)現(xiàn)敏感數(shù)據(jù),以及數(shù)據(jù)主要存儲(chǔ)的位置。對(duì)數(shù)據(jù)進(jìn)行結(jié)構(gòu)化分級(jí)分類(lèi)分級(jí),實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)安全進(jìn)行敏感分級(jí)管理,并依據(jù)各級(jí)別部署相對(duì)應(yīng)的數(shù)據(jù)安全策略,以保障數(shù)據(jù)資產(chǎn)全生命周期過(guò)程中,數(shù)據(jù)的保密性、完整性、真實(shí)性和可用性。



微信圖片_20210517164139.jpg


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。