近年来,按照党中央决策部署和贯彻总体国家安全观的要求,全国人大常委会积极推动数据安全立法工作。2021年6月10日,十三届全国人大常委会第二十九次会议经三次审议,表决通过《中华人民共和国数据安全法》(以下简称《数据安全法》)。
《数据安全法》将于2021年9月1日起施行,是数据安全领域的基础性法律,是关乎国家安全的重要法律。《数据安全法》的制定与实施意味着我国网络安全防护空间逐渐深入,防护的颗粒度也日渐细化。
在此背景下,如何能够更好地贯彻落实《数据安全法》中的各项要求,成为政府部门、企事业单位和各领域组织机构亟需思考并开展相关工作的关键问题,也是国家制定这部法律的核心目标。数据安全市场亟需一套完善、可落地的数据安全建设与治理方案!
在落实《数据安全法》过程中,需要重点关注以下条款:
第三章数据安全制度第二十一条提出“国家建立数据分类分级保护制度”,“制定重要数据目录,加强对重要数据的保护”;
第四章数据安全保护义务第二十七条提出“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”
第二十九条提出“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。”
根据上述条款,基本可以摸清《数据安全法》的实施逻辑,即在落实《数据安全法》过程中,“数据分类分级保护”既是原则也是先决条件,应首先建立数据分类分级清单,为数据安全防护打下坚实的管控基础;之后,需要建立健全基于数据全生命周期的数据安全管理制度和流程,并依据管理要求形成持续、有效、可落地的技术防护策略与手段方法,实现对数据分级管控;最终,在完善分类分级、制度流程与技术防护之上,针对残余的数据风险以及可能触发的数据安全问题,采取必要的监测、应急、处置措施,进一步避免数据安全事件的发生。
1. 高覆盖、高效率、免人工、多精度的数据安全分类分级
数据分类分级保护制度是落实《数据安全法》的第一步!走好这一步,才能在后续工作中有效落实各项法律条款及相关措施。因此,尽可能覆盖行业客户的所有高敏感数据,做到精准的数据定级、打标,同时无需耗费过多的人力和资源,便是落实《数据安全法》中“数据分类分级”相关工作的要点。多年以来,安华金和通过在众多行业开展数据分类分级工作,积累了丰富的实践经验,并形成一套“高覆盖、高效率、免人工、多精度”的数据分类分级解决方案与服务支撑体系——通过自主研发的自动化数据梳理工具,无死角探查行业客户数据,规整梳理形成数据资产清单;依托专业人员对于行业标准的研究和解读,形成一套可匹配不同行业客户自身数据情况和需求的规则;通过对数据字段注释的分析,精确定位每个字段进行级别打标,并结合前期行业客户自身业务调研结果,形成多维度、内容清晰的数据分类分级清单。凭借“多维度数据分类分级管控方法”,安华金和能够为客户提供动态的、依据数据不同敏感程度和级别的管控策略和规则。
2. 结合不同业务数据应用场景,建立数据安全管理、技术应用及运营流程体系
依托多年数据安全治理实践、理论研究与技术创新发展,在落实《数据安全法》中有关“数据安全管理制度、技术防护手段、对称数据安全管理机构、明确相关数据安全管理人员职责”等方面,为各行业客户提供优质的产品、技术与服务支撑。安华金和数据安全管理体系建设,通过三大横向防控阶段(防控准备阶段、防控运行阶段、防控稽查阶段)以及四大纵向管理流程(管理制度、安全策略、操作规范、运营管理),可满足数据安全治理组织架构、职责建设以及建立健全数据安全管理制度相关法律法规要求;同时,基于上述数据安全管理体系建设,结合不同业务应用场景,分别提供不同功能的技术防护措施与稽查手段;并通过完善的数据安全运营管控平台,结合上述管理与技术体系进行流程灌输,最终形成一套合法合规的行业客户数据安全防护架构,实现“集中管理、统一监测、风险处置,应急管控、打通数据与业务联动”等目标,为数据安全的全面管理方案提供灵活的组合能力。
新时期,《数据安全法》作为数据安全相关法律的上位法,它的正式施行势必进一步推动国家及各行业、领域的数据安全治理能力提升!安华金和将积极相应并坚定落实《数据安全法》相关内容要求,持续专注数据安全治理实践落地与生态建设,让数据使用自由而安全!