《數據安全法》專業解讀2
作者:啟明星辰
2021-10-25
《數據安全法》的出臺引起了社會各界的廣泛熱議和關注�。這表明大家對數據安全保護有著迫切的需求�。本文從數據處理者的角度出發�����,給出幾點基礎性的建議供參考�����。
明確行業監管職責
● 法律條款要求
《數據安全法》第六條規定:工業����、電信����、交通�����、金融���、自然資源���、衛生健康��、教育���、科技等主管部門承擔本行業�����、本領域數據安全監管職責�����。
● 專業解讀
在數據安全保護工作中����,行業主管部門需要發揮行業監管職責����,加強本行業的數據安全保護工作�����。
● 合規建議
(一) 制定本行業的數據分類分級標準
(二) 完善行業數據安全保護標準
(三) 開展行業的數據安全風險評估
(四) 進行行業數據安全事件應急演練
(五) 進行行業數據安全攻防演練
(六) 開展行業數據安全培訓教育
(七) 定期開展行業數據安全監督檢查工作
建立本單位數據安全管理制度和管理機構
● 法律條款要求
《數據安全法》第二十七條規定:開展數據處理活動應當依照法律���、法規的規定��,建立健全全流程數據安全管理制度���,組織開展數據安全教育培訓�,采取相應的技術措施和其他必要措施����,保障數據安全��。利用互聯網等信息網絡開展數據處理活動����,應當在網絡安全等級保護制度的基礎上�����,履行上述數據安全保護義務���。
重要數據的處理者應當明確數據安全負責人和管理機構��,落實數據安全保護責任�。
● 專業解讀
在數據安全保護工作中���,本單位需要明確數據安全負責人���,建立數據安全管理機構����,落實數據安全保護責任����。
● 合規建議
(一) 建立數據安全制度體系
例如:可參照等級保護等業界最佳實踐的做法�,建立三級或四級制度文件體系���,即:
一級文件:數據安全策略和方針
二級文件:數據安全管理制度和管理辦法
三級文件:數據安全相關流程���、規范���、指南�����、模板
四級文件:數據安全相關計劃���、報告�����、記錄���、日志
(二) 建立數據安全管理機構
例如:建立數據安全管理機構�����,包含:決策層����、管理層�����、執行層����、監督層��。
同時�,本單位需要制定數據安全保護規劃���,逐步推進數據安全保護工作��。
此外�����,數據安全管理機構和制度���,需要考慮和本單位現有的網絡安全等級保護制度體系進行融合��,以達到能夠有效地協同工作�。
(三) 開展數據安全教育培訓
面向全員開展數據安全保護的宣傳教育�,通過安全意識培訓�����、宣傳周���、互動體驗等多樣化的手段對員工進行數據安全教育培訓����,增強企業員工的數據安全意識�,提升數據安全保護的技能�。
(四) 采取技術措施保障數據安全
技術手段是保障數據安全不可或缺的重要支撐���,在數據安全保護過程中���,將多種技術手段相結合��,形成多維度的數據安全保護機制�����。例如:加密����、認證�����、訪問控制�����、審計����、脫敏���、數字水印�、零信任��、隱私計算等技術手段���。
制定重要數據目錄����,定期開展數據安全風險評估
● 法律條款要求
《數據安全法》第二十一條規定:國家建立數據分類分級保護制度���,根據數據在經濟社會發展中的重要程度����,以及一旦遭到篡改��、破壞�、泄露或者非法獲取���、非法利用�����,對國家安全����、公共利益或者個人��、組織合法權益造成的危害程度��,對數據實行分類分級保護���。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄���,加強對重要數據的保護�����。
關系國家安全���、國民經濟命脈���、重要民生�、重大公共利益等數據屬于國家核心數據����,實行更加嚴格的管理制度���。
各地區����、各部門應當按照數據分類分級保護制度����,確定本地區�、本部門以及相關行業����、領域的重要數據具體目錄����,對列入目錄的數據進行重點保護���。
《數據安全法》第三十條規定:重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估�����,并向有關主管部門報送風險評估報告�。
風險評估報告應當包括處理的重要數據的種類����、數量��,開展數據處理活動的情況�����,面臨的數據安全風險及其應對措施等��。
● 專業解讀
識別出重要數據的范圍��,建立重要數據目錄����,摸清數據資產的家底�,對重要數據進行分類分級�,為制定重要數據具體目錄提供參考和指導���。
● 合規建議
本單位需要識別出重要數據的范圍��,建立重要數據目錄�,摸清數據資產的家底�����,對重要數據進行分類分級��。定期開展數據安全風險評估工作���,按要求輸出評估報告����。
制定數據安全事件應急預案��,及時處置數據安全事件
● 法律條款要求
《數據安全法》第二十三條規定:國家建立數據安全應急處置機制�����。發生數據安全事件�,有關主管部門應當依法啟動應急預案����,采取相應的應急處置措施���,防止危害擴大��,消除安全隱患�����,并及時向社會發布與公眾有關的警示信息���。
● 專業解讀
建立數據安全應急處置機制和預案���,按需定期演練�。
● 合規建議
本單位可參考《國家網絡安全事件應急預案》和《信息安全技術 網絡安全事件應急演練指南》(GB/T 38645-2020)���,制定《數據安全應急響應預案》�,當發生數據安全事件時�����,可啟動應急預案�,采取措施進行應急處置��。定期進行數據安全應急演練���,不斷提升數據安全應急響應的能力�。
《數據安全法》的正式出臺����,進一步促進了以數據為關鍵要素的數字經濟發展��。作為信息安全行業的領軍企業��,啟明星辰集團緊跟國家號召��,將數據要素化安全納入集團戰略當中�,并基于沉淀多年的數據安全技術優勢和豐富的實踐經驗積累���,將場景化安全思維與用戶的實際業務相結合�,滿足用戶不同數字化場景需求���,幫助用戶全面應對數字中國建設過程中的新安全挑戰��,做安全的最佳實踐�,進一步推動中國數字經濟高質量發展����。
京公網安備11010802024551號