《数据安全法》将于9月1日起施行,这是我国数据安全领域首部基础性法律规范,也是国家安全领域的又一重要立法。国联易安网络安全专家认为,要想夯实《数据安全法》,必须加强数据安全治理。
数据安全治理属于数据治理体系中的一个过程,从业务层到安全层,从管理层到技术层都会涉及。具体加强数据安全治理思路如下:
一是强化数据分类分级核心,搭建数据安全监管制度。《数据安全法》第21条以“数据在经济社会发展中的重要程度”,以及“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”为标准,对数据实行分类分级保护。
在此基础上,对重要数据采取目录管理,由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,同时授权各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录,并强化重要数据处理者的数据安全保护义务,加强对重要数据的保护。
另外,该法三审期间首次提出“国家核心数据”概念,明确对“关系国家安全、国民经济命脉、重要民生、重大公共利益等”国家核心数据,实行更加严格的管理制度。
二是强化风险全流程管理,建立健全管理机制。《数据安全法》第22条明确国家建立数据安全风险评估、报告、信息共享、监测预警机制,实现事前风险评估、报告和信息共享,以及事中监测预警。
《数据安全法》第23条明确国家建立数据安全应急处置机制,通过事后应急处置,防止数据安全事件的危害扩大,消除安全隐患。同时要求数据处理者履行相应的风险监测、数据安全事件报告、数据安全风险评估等义务。
三是强化落实数据处理主体,明确义务与责任。《数据安全法》第四章专章规定了各类数据处理者的数据安全保护义务。一般数据处理者应当建立健全全流程数据安全管理制度,并加强风险监测,及时报告数据安全事件,同时要求开展数据处理活动等应当符合社会公德和伦理,不得窃取或者以非法方式获取数据。
重要数据处理者还负有明确数据安全负责人和管理机构、定期开展数据处理活动风险评估并报送主管部门等义务,并应遵守出境安全管理要求。对于从事数据交易中介服务的机构,明确其负有审核交易双方身份、数据来源,并留存审核、交易记录的义务。
最后,《数据安全法》明确数据处理服务提供者应当依法取得行政许可,为未来对数据处理服务市场准入环节实施准入资格监管提供了严格的法规依据。
云计算、移动互联、大数据、物联网、人工智能的到来,让各行各业发生了巨大的变革,各行业对数据整合利用,进行服务模式转变同时,尤其要充分考虑数据安全治理。唯其对管理、防护产品等多个方面进行数据安全治理意识、制度、技术的持续性提升,真正实现安全、业务与数据有效融合,才可以达到数据安全治理的目标。数据安全治理达标了,《数据安全法》落地就无后顾之忧。国联易安网络安全专家表示。
关于国联易安
北京国联易安信息技术有限公司(原北京智恒联盟科技有限公司)简称“国联易安”,成立于2006年,拥有“国联易安”和“智恒联盟”两个品牌,是国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业。公司多项安全技术补了国内技术空白,并且在政府、金融、保密、电信运营商、军队军工、大中型企业、能源、教育、医疗电商等领域得到广泛应用。
国联易安除研发生产专业安全产品外,还为客户提供全面的检测与防护方案专家咨询、源代码安全评估、安全运维值守、智能终端安全评估、安全渗透测试、专业安全培训等专业安全服务。
有关国联易安详情,敬请浏览公司官网:http://www.glya.com.cn
