数据安全建设的准绳和参考标准
数据安全与发展 第十五条
本条旨在说明数据在公共服务的应用:
- 智慧城市的兴起,离不开大数据的公共服务应用。基于利用
第十五条 国家支持开发利用数据提升公共服务的 大数据建立的智能养老、残疾人服务等医疗卫健大数据的应 智能化水平。提供智能化公共服务,应当充分考虑 用将获得更有效的法律支持。 老年人、残疾人的需求,避免对老年人、残疾人的 未来的大数据应用要多关心弱势群体的使用,特别是不善于 日常生活造成障碍。
使用数字货币,数字证书,智能手机的老人家和残疾人士, 公共服务应用应该致力于傻瓜化、智能化、人性化的应用。
数据安全与发展 第十六条
本条旨在指引数据安全生态的发展:
- 本条通过立法支持有关数据安全技术的研究开发和应用,推
第十六条 国家支持数据开发利用和数据安全技术 广安全可信的网络安全产品和服务,保护数据安全技术知识 研究,鼓励数据开发利用和数据安全等领域的技术 产权,支持企业、研究机构和高校等参与与国家数据安全技 推广和商业创新,培育、发展数据开发利用和数据 术的创新项目。
安全产品、产业体系。
- 数据和数据安全要形成共生生态,通过数据的发展引导数据 安全的发展,数据的创新使用引导数据安全的创新,最终成 为新的产业。
数据安全与发展 第十七条
本条旨在促进数据安全的标准建立:
- 专业标准的制定是数据安全体系实施的基础,鼓励制定各行
第十七条 国家推进数据开发利用技术和数据安全 业、各领域的数据安全标准和实施指南,工信部、质量监督 标准体系建设。国务院标准化行政主管部门和国务 部等标准制定单位会根据数据安全技术的发展和数据产业的 院有关部门根据各自的职责,组织制定并适时修订 发展组织相关行业、学术机构、科研团体、高校及专家共同 有关数据开发利用技术、产品和数据安全相关标准。
开发相关数据安全标准。 国家支持企业、社会团体和教育、科研机构等参与标准制定。
数据安全与发展 第十八条
本条旨在指导数据安全的评估和认证:
- 数据是否安全应该有检测、评估的标准。后续应该会有相关 的数据安全成熟度或者数据安全评测标准的出台。与等级保
第十八条 国家促进数据安全检测评估、认证等服进行背书。
护一样,应该会有专门的数据安全评测认证公司对数据安全 务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
- 数据安全的评测应该会在有关部门、行业组织、企业、教育
国家支持有关部门、行业组织、企业、教育和科研
和科研机构、有关专业机构进行执行。同时,也会有大量的 机构、有关专业机构等在数据安全风险评估、防范、
协作以确保评测方法的有效性和落地性。 处置等方面开展协作。
- 未来的应用开发、安全产品应该都会有相关的数据安全评测 机制进行合格评定。具体评定基础根据《中华人民共和国认 证认可条例》 有关规定进行展开。
数据安全与发展 第十九条
本条旨在指导征信市场的规范性:
- 目前国内正规数据市场分为企业征信和个人征信两类。其中 企业征信国家认可的有135家征信机构,个人征信国家认可
第十九条 国家建立健全数据交易管理制度,规范
的为百行和朴道2家征信机构。 数据交易行为,培育数据交易市场。
- 目前征信地下市场较为混乱,数据交易已经形成灰色产业链 条。数据交易活动管理成为数据安全工作的焦点问题,从数 据的来源、 交付、使用、传递等环节的合法性问题必须通过 国家立法形成有效的规制。大数据下的“人物画像”造成的 大量隐私泄露都问题迫使全球针对数据的良性使用和交易活 动立法化,通过立法培育一个良性数据市场。
数据安全与发展第二十条
本条旨在指导数据安全人才的培养:
- 人才是第一位要素,国家创建网络空间安全学院培养网络安 全专业人才,弥补现有的人才缺口,随着数据安全问题的日
第二十条 国家支持教育、科研机构和企业等开展
益突出,网络安全不再是简单的攻防对抗问题,数据安全在 数据开发利用技术和数据安全相关教育和培训,采
业务领域的多元化问题尤为突出,专业的数据安全课程的建 取多种方式培养数据开发利用技术和数据安全专业
设与开发势在必行。
人才,促进人才交流。
- 企业结合自己的资金、技术和环境优势,与专业科研机构、 培训教育行业开发与企业相关的数据安全培训,在本行业和 本组织建立良好的人才培养计划,以便更好的支持数据安全 工作。
数据安全制度 第二十一条
**第二十一条 国家建立数据分类分级保护制度,根 **
据数据在经济社会发展中的重要程度,以及一旦遭 本条旨在指导数据的分级分类保护: 到篡改、破坏、泄露或者非法获取、非法利用,对 ◆ 目前已经有很多地方、行业制定了数据的分级分类地方标准
国家安全、公共利益或者个人、组织合法权益造成 和行业标准。例如《金融数据安全 数据安全分级指南》。未
来国家也要出台统一的数据安全分级分类标准。各行业、各 的危害程度,对数据实行分类分级保护。国家数据
企业也可以基于国家的标准进行扩展和完善。 安全工作协调机制统筹协调有关部门制定重要数据 ◆ 对于关键基础设施、重要民生等国家核心数据,会有更加严
目录,加强对重要数据的保护。 格的保护措施和标准进行管理。金融、能源、卫生等行业将
会是重中之重。 关系国家安全、国民经济命脉、重要民生、重大公
- 国家机关、敏感行业要确定自己的那些数据是敏感数据,各
共利益等数据属于国家核心数据,实行更加严格的 行业应在本法的规制下分析本行业业务数据特征,制定数据 管理制度。 分类分级标准和准则,并依据数据重要性程度建立数据资产
各地区、各部门应当按照数据分类分级保护制度, 清单,针对重要数据实施重点保护工作奠定基础。对于这些
敏感数据会有更加具体的保护措施,例如脱敏,加密,不允 确定本地区、本部门以及相关行业、领域的重要数
许上传至外网等。 据具体目录,对列入目录的数据进行重点保护。
数据安全制度 第二十二条
本条旨在指导数据的国家层面的风险管理工作:
- 国家已经出台《GBT 31722-2015 - ISO 27005-2008 信息
第二十二条 国家建立集中统一、高效权威的数据
技术 安全技术 信息安全风险管理》和《GBT 20984-2007 安全风险评估、报告、信息共享、监测预警机制。 信息安全技术 信息安全风险评估规范》等标准,对安全风险
国家数据安全工作协调机制统筹协调有关部门加强 的管理进行了指导。 数据安全风险信息的获取、分析、研判、预警工作。 ◆ 对于数据的安全风险管理指导尚未有相关标准,后续应该会
以上文的风险管理要求进行扩展。
- 有关部门应该是指网信办,其负有对安全情报的统筹协调职 能。当然,公安作为特殊部门,也有相关职能。
- 国家应该会加强风险情报的共享机制,安全风险有统一的出 口。行业也应该形成情报生态,通过各类情报共享机制加强 国家的安全风险的管理水平。
数据安全制度 第二十三条
本条旨在指导数据安全事件的应急处置工作:
- 《网络安全法》在第五十三、五十四、五十五条款中分别描述网络安全 事件的预案制定及演练、事件确认和事件处置与通报等活动。数据安全 事件发生后,组织应根据国家建立的数据安全应急处置机制对结合应急
第二十三条 国家建立数据安全应急处置机制。发
响应工作六大流程准备-确认-遏制-根除-恢复-跟踪总结,做好事件响 生数据安全事件,有关主管部门应当依法启动应急 应工作,同时建立事件通报、上报和披露机制。
- 《网络安全法》在第 4 章中明确规定监测预警与应急处置相关工作要求。
预案,采取相应的应急处置措施,防止危害扩大, 国家在《中华人民共和国突发事件应对法》、《中华人民共和国网络安 消除安全隐患,并及时向社会发布与公众有关的警 全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管
理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 示信息。
20986-2007) 基础之上于 2017 年 4 月编制了《国家网络安全事件应 急响应预案》 , 2017 年 11 月再次发布《公共互联网网络安全突发事 件应急预案》 。国家制定有关数据安全事件应急预案的工作将势在必 行。
- 应急响应工作是建立在风险评估基础之上,在应急响应准备阶段应切实 做好风险评估,以便客观有效的制定响应预案。根据《网络安全法》 第五十一条规定“国家建立网络安全监测预警和信息通报制度。国家网 信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作, 按照规定统一发布网络安全监测预警信息。
数据安全制度 第二十四条
本条旨在指导数据安全事件的国家级别的安全审查工作:
第二十四条 国家建立数据安全审查制度,对影响 ◆ 只要从事和国家安全相关的工作都有可能导致数据安全的审 或者可能影响国家安全的数据处理活动进行国家安 查活动。相关数据处理活动在第三条中所描述有关“收集、
全审查。 存储、使用、加工、传输、提供、公开”全生命周期下任何
一个环节都会受到严格审查及监督。 依法作出的安全审查决定为最终决定。 ◆ 如果发现真的有相关数据安全事件,并且影响到国家安全,
网信办做出的结论就是最终结论。
数据安全制度 第二十五条
本条旨在说明国际合作的数据方面的出口要求:
第二十五条 国家对与维护国家安全和利益、履行 ◆ 根据《中华人民共和国出口管制法》 的要求,源代码、算法 国际义务相关的属于管制物项的数据依法实施出口 等技术资料列入管制范围,这些数据的出口企业需按照出口
管制。 管制法的要求执行。
- 本条款衔接《网络安全审查办法》 ,通过制定数据安全审查制 度进一步针对涉及国家安全数据的入境与离境活动实施审查 机制。
数据安全制度 第二十六条
本条旨在说明国际合作的数据方面的贸易摩擦的处理方式:
第二十六条 任何国家或者地区在与数据和数据开 ◆ 《中华人民共和国反外国制裁法(草案)》立法背景指出: 发利用技术等有关的投资、贸易等方面对中华人民 近些年来,某些西方国家为了遏制我国发展,利用涉台涉港
共和国采取歧视性的禁止、限制或者其他类似措施 涉藏涉疆涉海涉疫等问题对我进行遏制打压,粗暴干涉我国
内政,严重违反国际法和国际关系基本准则。为了维护我国 的,中华人民共和国可以根据实际情况对该国家或 的国家主权、安全、发展利益,有必要制定专门法律应对某
者地区对等采取措施。 些西方国家对我实施的所谓“单边制裁”,为对外斗争提供
法律支撑。
- 本法强调在数据开发利用技术中,对于他国歧视性措施我国 依据相关立法采取对等措施。例如国外用GDPR之类的法律 卡我们,不和我们好好做生意,我们就会采用对等措施怼回 去。
数据安全保护义务 第二十七条
第二十七条 开展数据处理活动应当依照法律、法 规的规定,建立健全全流程数据安全管理制度,组 织开展数据安全教育培训,采取相应的技术措施和 其他必要措施,保障数据安全。利用互联网等信息 网络开展数据处理活动,应当在网络安全等级保护 制度的基础上,履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理 机构,落实数据安全保护责任。
本条旨在说明数据处理活动首先要通过管理制度进行安全保障:
- 首先要在组织中健全数据安全管理体系,包括数据处理流程 的安全管理流程、建立相关的数据安全管理机构及专职人员 负责数据安全具体工作,并监督、指导数据安全治理活动。 必要时可以引入零信任体系进行访问控制的防护。
- 全组织员工要有足够的数据安全管理意识,应该了解组织数 据的分级分类,了解自己在数据安全工作中应尽的义务与责 任,并理解数据安全对自身的影响和损害,使其成为
- 工作中忠实的执行者,并能够有足够的意识判断数据是否敏 感。组织高层的意识教育尤为重要,安全是一个自上而下的 活动,针对高层进行有关数据安全工作重要性及合规性要求 教育。
- 数据流出互联网的时候进行严格管控,确保敏感数据无法泄 露,参考等级保护要求,设置相关的防泄露系统。
- 组织对数据有直接责任,应该明确哪些数据类型为重要数据, 并依据“谁生产、谁负责”的原则进行主责,同时,对于数 据管理组织,也依据“谁主管、谁负责”的原则进行担责。
参考资料
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南