指南｜《資料安全法》生效在即，政企事業單位實施策略建議

作為我國關於資料安全的首部律法，《資料安全法》的頒佈為資料安全保障和數字經濟發展奠定重要基石，對政企事業資料安全管理也提出了更高的要求。9月1日，《資料安全法》將正式實施，在資料安全監管不斷強化的大形勢下，政企事業單位落實好資料安全建設工作成為重要任務。

那麼在建設過程中，政企事業單位需重點關注和解決哪些問題，又該如何有規劃、有步驟的進行安全建設，滿足合規要求？基於《資料安全法》所提出的安全要求和政企事業單位在實際建設過程中面臨的難點痛點，美創科技進行整理，為落實《資料安全法》提供參考。

 

一、       政企事業單位應重點關注的10大問題

1.       確立資料安全相關制度規範，讓資料安全管理工作有據可依，有章可循。

2.       進行組織建設，明確資料安全責任人及具體責任要求。

3.      落實 資料分類分級保護，瞭解資料資產分佈，明確資料資產構成、特徵、範圍及流轉情況，利用資料分級目錄重點保護重要資料。

4.      開展 資料安全風險評估工作，釐清組織自身的資料安全風險和資料安全能力目標差距。

5.      以資料為中心， 建立健全全生命週期安全能力，加強資料流動安全保護，針對資料流動路徑進行安全建設，確保資料依法有序流動。

6.      明確是否存在資料出境問題， 建立資料出境管理制度。

7.      增強員工資料安全意識，定期開展 資料安全教育培訓。

8.       制定應急響應預案，做好監測預警及安全事件的應急響應。

9.      關注所在 行業相關規範制度的制定。

10.  採取 符合國家安全標準的技術措施。

 

二、建立健全資料安全治理體系 做好4大步驟

《資料安全法》明確提出要建立健全資料安全治理體系，企事業單位如何進行資料安全治理體系和安全能力的提升，需做好4大保障：

(1)  資料安全管理保障

(2)  資料安全基礎支撐保障

(3)  資料安全技術保障

(4)  資料安全建設運營保障

在安全建設實踐過程中，不同單位組織根據自身實際情況制定合適的規劃，選擇合適的工作實踐指南，總體包括4大步驟：

 

1 、 前期準備（管理保障）：明現狀，訂規劃，立組織，定製度，建標準

● 明現狀：結合專業安全廠商進行資料安全諮詢；識別與梳理重要資料，落地資料分類分級保護；結合行業重要資料目錄管理資料；開展資料安全風險評估。

● 訂規劃：結合資料安全管理、技術現狀進行短期、長期安全建設路徑規劃。

● 立組織：建立資料安全組織框架；開展資料安全教育培訓，對內提升組織能力，對外促進資料安全專業人才發展。

● 定製度：以資料安全發展全域性視角做好資料安全戰略保障的制度建設。

● 建標準：共建共創資料安全技術與能力，制定資料安全相關標準。

 

2 、 關注安全技術最新發展，做好資料安全基礎支撐保障

● 企事業單位應全面認知新技術、新需求和新場景給資料安全防護帶來全新挑戰，轉變過去“被動防禦”的傳統安全思維，以資料為中心持續最佳化資料安全架構，透過輸出各項資料安全產品能力，實現主動化、立體化防護。

 

3 、 基於資料全生命週期，做好資料安全技術保障

● 建立覆蓋資料採集、傳輸、儲存、處理、交換、銷燬全生命週期安全防護體系，綜合利用資料來源驗證、傳輸加密、加密儲存、隱私保護、資料防洩漏、監管審計、追蹤溯源、資料銷燬等技術。

 

4 、 資料安全管理與運營，做好資料安全建設運營保障

● 提升資料安全態勢感知能力，加強資料安全風險資訊的獲取、分析、研判、預警工作；建立資料安全應急處置機制，加強資料安全風險監測。

 

三、政企事業單位安全建設過程涉及的技術手段

全生命週期安全管理

1 、資料全生命週期管控手段

● 資料採集：主要關注資料的採集源，需提前完成資料資產定性，梳理採集內容、採集方式、敏感資訊等，並採用級訪問控制技術實現對資料採集分析、使用人員授權的合規性管控。

● 資料傳輸：主要關注為對資料傳輸加密和防洩漏建設，需確定傳輸通道方式（SM1-SM4）、校驗方式符合相關規範和所制定的傳輸策略，並且可監測相關通道的資料流量及通道狀態。

● 資料儲存：主要關注為儲存保護能力建設，需梳理儲存位置、儲存方式、資料歸檔週期、資料分類、資料級別等，對入庫資料進行安全稽核並完成資料儲存加密，確保資料儲存安全，並制定資料的備份和恢復策略、儲存保護措施。

● 資料處理：主要關注為對各業務系統的資料交換階段所需的資料脫敏、資料加密進行管理，並遵循最小化許可權原則，限定資料的使用範圍，審計資料的操作過程。

● 資料交換：主要關注為對資料交換許可權劃分，需對相關資料應用申請進行安全審查，並且跟蹤敏感資料的訪問，對敏感資料進行脫敏並建立溯源能力，展示資料交換過程和內容，並對交換過程中異常資料進行監測分析。

● 資料銷燬：主要關注為規範資料銷燬操作流程，明確的銷燬資料物件、銷燬方法、銷燬操作流程及銷燬責任人；建立剩餘敏感資料自動識別機制，確保應銷燬的資料被完全銷燬。

 

2 、安全感知和風險監控

● 安全感知是未來組織資料安全建設中重要安全能力，是基於環境的、動態、整體洞察安全風險的能力。在該安全防護層次，以安全審計資料、風險資料、告警資料、執行資料、業務執行狀態等為基礎，從全域性視角提升對安全威脅的發現識別、理解分析和相應處置能力，為安全決策提供支撐。