数据安全审查综合解读|如何从被动合规到主动战略风控?
1.《網絡安全法》作為基礎性法律,有哪些比較重要的數據安全要求?
1)第二十一條: 國家實行網絡安全等級保護制度。防止網絡數據泄露或者被竊取、篡改。
劃重點:這一條說明,等保2.0測評也包含數據安全相關內容。
2)第三十一條:國家對重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
劃重點:這一條說明,涉及關鍵信息基礎設施的數據泄露問題,在等保基礎上,需要重點保護,包括但不限于商用密碼應用安全性評估,數據安全審查、云計算評估等。
3)第三十七條:關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲。確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。
劃重點:這一條說明,向境外提供數據,需要經過網信部門評估后方可出境。
4)第七十六條:術語中網絡安全,包括保障網絡數據的完整性、保密性、可用性的能力。
劃重點:這一條說明,網絡數據的完整性、保密性、可用性是網絡安全的基礎能力,需納入基礎安全防護能力的范疇。
2.《數據安全法》的立法進程非常迅速,這是為什么?
這要從《數據安全法》的立法背景來看:
1)社會經濟發展層面,數字經濟快速發展,數據成為“國家基礎性戰略資源”,保護這些數據保護需要法律依據;
2)數據開發利用層面,數據已經從生產要素轉變為生產力,促進數據合理開發利用需要法律依據。
鑒于上述兩個需求的迫切性,數據安全法從立法規劃到正式頒布非常迅速,而且在其他行政法規中及時得到具體應用。
3.《數據安全法》的適用范圍是什么?
1)境內開展數據處理活動及其安全監管;
2)境外開展數據處理活動,損害國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任;
劃重點:這里明確了數據安全屬地管轄為主,保護性管轄為輔。
4.《數據安全法》每章重點講了什么?
1)第一章總則,主要技術要求包括建立數據安全治理體系以及主要監管為國家網信和行業主管等。其中數據安全治理比較重要,包括數據梳理、數據安全風險分析、分類分級、監控預警、數據安全規劃等較多內容,這些內容都涵蓋在數據安全咨詢的服務范圍。
2)第二章數據安全與發展,主要包括支持數據安全評估與認證、建立數據交易管理制度等。
劃重點:第一,數據安全評估與認證有可能像等保和密評一樣成為數安法落地的檢查手段;第二,建立數據交易管理制度而不是數據交易制度,重點在數據交易的管理。
3)第三章數據安全制度,包括最受關注的數據分類分級、數據安全審查和數據出口管制,
4)第四章數據安全保護義務,主要包括數據安全管理、風險監控與處置和數據處理及服務三部分。
劃重點:數據處理中的數據來源核實及記錄,主要針對的是數據交易場景中數據源的權屬,不是傳統數據安全的訪問溯源取證場景。本章最重要的是,數據出境,未經批準,不得對外提供。
5)第五章政務數據安全與開放,重點是國家制定政務數據開放目錄,構建統一規范、互聯互通、安全可控的政務數據開放平臺。
劃重點:建議各單位遵循相關標準與規定,不要自行制定數據目錄,可能導致互聯互通困難。
6)第六章法律責任,簡單地說,多條處罰,包括除了罰款,還可以責令停業整頓、吊銷相關業務許可證或營業執照。
劃重點:可依法追究直接責任人的刑事責任。
7)第七章附則,數據安全法今年9月1號實施。
5.《數據安全法》有哪些條文需要重點關注?
1)《數據安全法》第二十一條的數據分類分級。首先國家建立數據分類分級保護制度,對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,
**a)劃重點:國家部委或行業的分類分級,盡量采用已有的數據分類標準或目錄,不建議單獨制定專門的分類分級制度,避免因數據目錄不同而影響數據集交換與共享。
b)數據分類是為了更好地區分管理對象,分級是為了實施不同程度的保護,數據分類一定是面向某種管理目標、監管手段的,不能一言以蔽之。**
2)《數據安全法》十八條關于國家支持數據安全檢測評估與認證服務的發展。
**a)劃重點:標準37988數據安全能力成熟度模型,可以作為數據安全法檢測落地的抓手。該標準已在ISO立項,有可能成為國際數據安全標準;
b)標準37988數據安全能力成熟度模型的1-5級不能和等保作簡單的對應關系,企業確定自己的數據安全能力等級需要按照預評估的實際情況而定,能力不具備時盲目追求高等級可能整改困難。**
3)《數據安全法》第二十七條強調的也是全流程數據安全管理,涵蓋數據安全的核心八大能力,包括數據安全生命周期的分類分級、傳輸加密、存儲安全、數據脫敏、數據資產管理、終端數據安全、監控與審計、數據鑒別與訪問控制。這些核心的技術能力加上數據管理能力和運維能力,是DSMM評估與認證檢查的核心技術能力,如果滿足DSMM評估與認證檢查,數據安全法提出的技術要求基本滿足。
6.《數據安全法》和《網絡安全審查辦法》之間是什么關系?
新修訂的《網絡安全審查辦法》將數據安全納入網絡安全審查范圍。
《網絡安全審查辦法》修訂前后比對情況:
1)第二條:關鍵信息基礎設施的運營者,數據處理者,開展數據處理活動,可能影響國家安全的,將進行網絡安全審查,
劃重點:數據處理活動是重點規范對象
2)第六條:增加了掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網信辦申報安審。
劃重點:對數據運營者作出了100萬的定量描述。
3)第四條:審查單位增加了中國證監會;
4)第十條:網絡安全審查評估內容增加了數據處理活動和海外上市場景,其中重點增加的國家安全風險有核心數據、重要數據或大量個人信息被竊取、泄露毀損以及非法利用或出境風險,國外上市后關鍵信息基礎設施、核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險。
劃重點:網絡安全審查將數據處理活動及海外上市增加為評估內容,重點評估的是數據安全。
5)第十三條:將網絡安全審查的時間從45個工作日,延長到3個月。
6)最關鍵的第一條,為了確保關鍵信息基礎設施的安全,執法依據除了《國家安全法》、《網絡安全法》,增加了《數據安全法》;第十六條,違反本辦法規定的,處罰依據增加《數據安全法》。
劃重點:這二條說明《數據安全法》被列為審查和處罰的依據。
因此整體來看,數據安全不僅有相關的數據安全能力評估認證作為抓手,還有網絡安全審查作為檢查和處罰手段。
7.數據安全法正式實施在即,我們應該如何看待數據合規?
劃重點:數據安全要從被動合規轉化為主動戰略風控
首先,總體國家安全觀中,網絡安全是16個之一。從國家安全法的安全觀到《網絡安全法》的網絡空間主權到《數據安全法》的具體條文,其內容一脈相承。目前涉及數據安全的還有《個人信息保護法》、民典法、刑法修正案(十一)等法律,都涵蓋相關內容。
其次數據安全相關法律法規和政策的落地,正在經歷一個逐漸完善監管手段、提升監管能力的過程,“讓法律長出牙齒”,目前國家不僅在解決“有法可依”的問題,也在解決“違法必究”的問題。
在此情況下,企業對數據安全合規的理解不能片面,甚至懷有不檢查不處罰的僥幸心理,需要將數據安全合規風險上升到業務風險,甚至企業風險,積極采納企業法務與安全合規團隊意見,或者聘請專業的安全咨詢團隊解決問題,確保對政策趨勢有足夠的敏感性和前瞻性,從被動數據安全合規到主動戰略風控。
兩
原文鏈接:https://developer.aliyun.com/article/789229?
版權聲明:本文內容由阿里云實名注冊用戶自發貢獻,版權歸原作者所有,阿里云開發者社區不擁有其著作權,亦不承擔相應法律責任。具體規則請查看《阿里云開發者社區用戶服務協議》和《阿里云開發者社區知識產權保護指引》。如果您發現本社區中有涉嫌抄襲的內容,填寫侵權投訴表單進行舉報,一經查實,本社區將立刻刪除涉嫌侵權內容。 與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的数据安全审查综合解读|如何从被动合规到主动战略风控?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 云开发系列课程让你从入门到精通快速上手S
- 下一篇: 报告!钉钉宜搭的8月总结,请查收~