《中華人民共和國資料安全法》
第二十二條
國家建立集中統一、高效權威的資料安全風險評估、報告、資訊共享、監測預警機制。國家資料安全工作協調機制統籌協調有關部門加強資料安全風險資訊的擷取、分析、研判、預警工作。
3實踐探究
近日,由全國資訊安全标準化技術委員會秘書處組織制定和釋出的《網絡安全标準實踐指南——網絡資料安全風險評估實施指引》為指導網絡資料安全風險評估工作,發現資料安全隐患,防範資料安全風險等提供支撐。并在内容中給出了網絡資料安全風險評估思路、工作流程和評估内容,面向資料處理者、第三方機構開展資料安全評估,面向有關主管監管部門開展檢查評估提供參考。同時,在資料安全領域,針對資料安全防護提出了“韌性資料安全防禦體系”理念,本文在實踐探究側重點探究以下幾個要點:
(1)《網絡安全标準實踐指南——網絡資料安全風險評估實施指引》原則性内容提煉本;
(2)韌性資料安全防禦體系與風險評估實施指引進行比對分析,量化滿足要點;
具體内容如下:
| 《網絡安全标準實踐指南——網絡資料安全風險評估實施指引》原則性内容提煉 | |
| 評估原則 |
|
| 評估對象 |
|
| 評估目的 |
|
| 圍繞要點 |
|
| 出發風險 |
|
| 資訊調研要點 |
|
| 識别風險隐患要點 |
|
| 後期産出要點 |
|
| 韌性資料安全防禦體系目标要點 | |
| 1. | 保持資料和業務的安全運作能力; |
| 2. | 遭遇破壞快速感覺、幹預和恢複; |
| 3. | 保持備援能力支援資料和系統快速重建; |
| 4. | 适應性進化安全政策; |
| 5. | 适應性進化保障身份和資産安全; |
| 6. | 以人為中心的充分可見能力; |
| 7. | 以可見性驅動的快速幹預能力; |
| “韌性資料安全防禦體系”能力要點與《網絡安全标準實踐指南——網絡資料安全風險評估實施指引》映射關聯分析 | |
| (一)韌性體系 能力要點 | (二)關聯分析 |
| 網絡安全 防禦能力 | 韌性資料安全防禦體系強調網絡安全是第一道邊界,目的是降低資料安全事件發生機率; 比對: 此能力可滿足于風險評估實施指引中的“資訊調研---安全保護措施”評估内容等; |
| 身份安全體系 | 韌性資料安全防禦體系強調以人為中心的身份安全體系為第二道邊界; 比對: 此能力可滿足于風險評估實施指引中的“資料安全技術---身份鑒别與通路控制”、“個人資訊保護---敏感個人資訊保護”、“資料安全管理---人員管理”等 |
| 資産安全體系 | 韌性資料安全防禦體系強調建構以資産為中心的防禦堡壘和有序流動; 比對: 此能力可滿足于風險評估實施指引中的“資料處理活動安全---資料傳輸、資料使用、資料提供”、“資料安全管理---開發運維”、“資訊調研---業務和資訊系統”中的評估要求; |
| 運作安全體系 | 韌性資料安全防禦體系強調從臨界反應角度來檢測和響應安全風險; 比對: 此能力可滿足于風險評估實施指引中的“資料安全技術---監測預警、安全審計”等要求; |
| 底線防禦能力 | 韌性資料安全防禦體系強調當資料資産目标被完全破壞或者部分破壞的情況下,建構最後防線以保障極限生存能力; 比對: 此能力可滿足于風險評估實施指引中的“資訊調研---資料處理者基本情況、資料資産情況”、“資料處理活動安全---資料存儲、資料使用和加工”、“資料安全管理---安全應急”等要求; |
| 風險檢測能力 (适應性) | 韌性資料安全防禦體系強調以資産和身份的不斷互相作用建構适應性進化生态,通過突變來檢測風險; 比對: 此能力可滿足于風險評估實施指引中的“資料安全技術---通路控制、安全審計、接口安全”、“資料安全管理---制度流程、安全應急”等要求; |
| 快速響應能力 (看見) | 韌性資料安全防禦體系強調從封閉邊界到看見回報的不同層級的快速響應系統; 比對: 此能力可滿足于風險評估實施指引中的“資料安全管理---分類分級、安全應急”、“資料安全技術---監測預警、通路控制”等要求; |
| 以人為中心的 安全體系 | 韌性資料安全防禦體系強調通過看見提高人的能力,并把人的能力貫入到安全體系; 比對: 此能力可滿足于風險評估實施指引中的“資料安全管理---組織機構、人員管理、合作外包管理、開發運維”、“資料安全技術---身份鑒别與通路控制、安全審計”、“資訊調研---安全保護措施”、個人資訊保護等要求; |
| 日志采集能力 (全流量) | 韌性資料安全防禦體系強調全網的流量和日志采集; 比對: 此能力可滿足于風險評估實施指引中的“資料處理活動安全---資料收集、資料存儲”、“資料安全技術---備份恢複”、“資料安全管理---開發運維”等要求; |
| 存儲能力 (存儲安全資料) | 韌性資料安全防禦體系強調有組織的存儲來自于全流量和日志采集的安全資料; 對比: 此能力可滿足于風險評估實施指引中的“資料安全管理---組織機構、分類分級”、“資料處理活動安全---資料收集、資料存儲”、“資料安全技術---資料脫敏、資料防洩漏、備份恢複”、“個人資訊保護---敏感個人資訊保護”等要求; |
| 許可能力 (統一控制平面) | 韌性資料安全防禦體系強調統一的一般性形式規則建構許可; 對比: 此能力可滿足于風險評估實施指引中的“資料安全管理---制度流程、人員管理”、“資料處理活動安全---資料使用和加工、資料提供、資料公開、資料删除、資料傳輸”、“資料安全技術---通路控制”、“個人資訊保護---個人資訊處理”等要求; |
| 場景化合規能力 | 韌性資料安全防禦體系強調讓碎片化場景導入韌性安全體系; |
| 風險評估與修複能力 (收斂暴露面) | 韌性資料安全防禦體系強調通過收斂和隐藏暴露面來降低安全風險,在紅後效應中獲勝; 對比: 此能力可滿足于風險評估實施指引中的“資料安全技術---網絡安全防護、通路控制、資料脫敏、資料防洩漏、接口安全”、“資料安全管理---分類分級、人員管理、開發運維、安全應急”等要求; |
4總 結
本文基于《資料安全法》第二十二對資料安全風險機制的要求要點出發,從條款映射的内涵、不同主體面對的風險及可行的實踐進行探究。其中,條款内涵側重點明确本條要求的法規、行政法規、部門規章的關聯性,事前、事中、事後的保護要點等内容;風險洞察側圍繞政務資料、企業資料、個人資訊可能面對的風險進行量化;在實施探究側将最新出台的關于資料安全風險的指南與行業内最新的資料安全防禦體系進行比對分析,量化滿足要點。
參考文獻:
①《中華人民共和國資料安全法》
②《中華人民共和國個人資訊保護法》
③《中華人民共和國網絡安全法》
④《中華人民共和國密碼法》
⑤《網絡安全标準實踐指南—網絡資料安全風險評估實施指引》[M]. 全國資訊安全标準化技術委員會, 2023
⑥“韌性資料安全體系緣起與三個目标”. 美創資訊
⑦“韌性資料安全體系的原則群組成”. 美創資訊,
來源 | CCIA資料安全工作委員會
本文作者:杭州美創科技股份有限公司 王澤
![吊炸天的1500億,到底有多魔性[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)