政策解讀:我國“數(shù)據(jù)安全保護”駛?cè)肟燔嚨?/h1>
時間:2019-07-12
2019年7月1日工業(yè)和信息化部發(fā)布的《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護能力專項行動方案》(以下簡稱《行動方案》)是自2013年7月16日工業(yè)和信息化部第24號令《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》以來�����,對數(shù)據(jù)安全保護要求的進一步強化和落地��。
《行動方案》的工作目標(biāo)之一是督促基礎(chǔ)電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)強化網(wǎng)絡(luò)數(shù)據(jù)安全全流程管理��,及時整改消除重大數(shù)據(jù)泄露����、濫用等安全隱患���,在2019年10月底前完成全部基礎(chǔ)電信企業(yè)(含專業(yè)公司)�����、50家重點互聯(lián)網(wǎng)企業(yè)以及200款主流App數(shù)據(jù)安全檢查����。工作目標(biāo)之二是建立行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保障體系�����,行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理和技術(shù)支撐平臺基本建成�,遴選網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)能力創(chuàng)新示范項目,基礎(chǔ)電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理體系的有效建立。
《行動方案》制定了為期一年�����、明確可執(zhí)行的詳細(xì)計劃:不同于標(biāo)準(zhǔn)��、規(guī)范���,更強調(diào)具體任務(wù)的推動��。方案分為四個階段����,將每階段的責(zé)任方����、工作任務(wù)進行了具體化,同時也調(diào)了對典型經(jīng)驗做法進行推廣��,鞏固相關(guān)工作成效的要求�。這使得《行動方案》形成了一個執(zhí)行力強并不斷迭代升級的長期計劃。
五大亮點引人關(guān)注
《行動方案》的亮點主要體現(xiàn)在以下五個方面�。
一是《行動方案》要求加快完善網(wǎng)絡(luò)數(shù)據(jù)安全制度標(biāo)準(zhǔn):基于《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)要求的驅(qū)動�����,電信運營商從合規(guī)角度出發(fā)對數(shù)據(jù)安全保護的重要性有足夠重視,但安全制度標(biāo)準(zhǔn)的不充分影響了這項工作的開展���,例如對同一項敏感數(shù)據(jù)的分類分級和控制措施��,在不同企業(yè)不同部門之間并不統(tǒng)一��,極易發(fā)生因合作雙方控制能力不同而導(dǎo)致敏感數(shù)據(jù)泄露的事件�。制度標(biāo)準(zhǔn)的完善能夠大幅促進數(shù)據(jù)安全保護的效果��,有利于正常數(shù)據(jù)業(yè)務(wù)的健康發(fā)展�,幫助各個企業(yè)步調(diào)一致�、統(tǒng)一行動。
二是《行動方案》將開展合規(guī)性評估和專項治理工作:其中包括網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估�����、App違法違規(guī)專項治理���、強化網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督執(zhí)法�。這些舉措劃出了數(shù)據(jù)安全違規(guī)行為的紅線��,并以行政處罰、軟件下架��、企業(yè)納入不良名單和失信名單等方式“迫使“各企業(yè)必須重視數(shù)據(jù)安全保護�。這些手段足以讓違反數(shù)據(jù)安全的經(jīng)營模式無法生存,讓忽略數(shù)據(jù)安全的企業(yè)付出代價�����。
三是《行動方案》將強化對行業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全管理����,并提出了四項具體意見:
首先,提出了數(shù)據(jù)資產(chǎn)“清單式”管理的要求�����。電信和互聯(lián)網(wǎng)企業(yè)在實體資產(chǎn)����、IT資產(chǎn)管理方面都有著豐富的經(jīng)驗,但并沒有對數(shù)據(jù)資產(chǎn)進行嚴(yán)格管理���,若無法形成數(shù)據(jù)清單�,也就無法對針對數(shù)據(jù)的行為進行有效的監(jiān)控��。數(shù)據(jù)資產(chǎn)管理的主要難點是技術(shù)難度,以及缺乏明確的標(biāo)準(zhǔn)和制度����。
其次,《行動方案》明確了企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全職能部門的設(shè)置��,根據(jù)以往經(jīng)驗��,某項工作開展困難的主要原因之一是企業(yè)對其重視不足而導(dǎo)致該職能科室權(quán)力小�、人數(shù)少、話語權(quán)低��。因此設(shè)立專門的網(wǎng)絡(luò)數(shù)據(jù)安全職能部門是數(shù)據(jù)安全保護工作健康發(fā)展的必要步驟�����。
再次��,《行動方案》提出了強化網(wǎng)絡(luò)數(shù)據(jù)對外合作安全管理的要求��,自從瑞智華勝�����、數(shù)據(jù)堂的案件發(fā)生以來�����,電信運營商對于數(shù)據(jù)合作業(yè)務(wù)從積極轉(zhuǎn)向謹(jǐn)慎����,但網(wǎng)絡(luò)數(shù)據(jù)安全保護的本意是促進業(yè)務(wù)的健康發(fā)展,數(shù)據(jù)合作業(yè)務(wù)應(yīng)該在安全����、合規(guī)的情況下有序進行。
最后��,《行動方案》提出了行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全應(yīng)急管理的要求����,提出了網(wǎng)絡(luò)數(shù)據(jù)安全事件發(fā)生事前、事中�、事后的不同階段要求,對惡性事件形成預(yù)案��,不打無準(zhǔn)備之仗�。
四是《行動方案》在能力建設(shè)方面提出了要有手段建設(shè)、技術(shù)創(chuàng)新���、專業(yè)化支撐隊伍的要求�����。此項要求有利于數(shù)據(jù)安全產(chǎn)業(yè)的甲乙方共同發(fā)展��,首先為企業(yè)開展數(shù)據(jù)安全類采購和研發(fā)指明了方向���,也為高水平數(shù)據(jù)安全公司發(fā)揮其水平和能力提供了絕佳機會�����。目前國內(nèi)的數(shù)據(jù)安全類產(chǎn)品大多沿用國外產(chǎn)品的思路�����,視角和技術(shù)并不適合電信和互聯(lián)網(wǎng)企業(yè)這種地域覆蓋大�、組織結(jié)構(gòu)復(fù)雜�、業(yè)務(wù)眾多、發(fā)展迅速的經(jīng)營模式�,使得網(wǎng)絡(luò)數(shù)據(jù)安全類產(chǎn)品嚴(yán)重碎片化�����、孤島化��,實際應(yīng)用中難以起到防護效果,客戶采購的意愿逐步降低����。
五是《行動方案》強調(diào)了社會監(jiān)督和宣傳交流。目前網(wǎng)絡(luò)數(shù)據(jù)安全在電信和互聯(lián)網(wǎng)企業(yè)中仍是少部分人的任務(wù)����,而本質(zhì)上數(shù)據(jù)安全與企業(yè)的經(jīng)營模式、業(yè)務(wù)模式緊密相關(guān)��,這方面區(qū)別于其它安全技術(shù)���。網(wǎng)絡(luò)數(shù)據(jù)安全必須得到企業(yè)決策者的充分重視����,必須得到企業(yè)文化的認(rèn)可��,從業(yè)者也須高度自律�����,具有全面的監(jiān)督處罰機制���。
企業(yè)需構(gòu)建數(shù)據(jù)安全保護體系
數(shù)據(jù)安全保護關(guān)系到企業(yè)的切身利益����,我們應(yīng)認(rèn)真對標(biāo)《網(wǎng)絡(luò)安全法》等相關(guān)行政命令的要求,形成企業(yè)自身的數(shù)據(jù)安全保護體系�,從策略(規(guī)章制度及差距分析)、組織(部門與人)�����、技術(shù)(生產(chǎn)平臺和數(shù)據(jù)安全保護技術(shù))�����、運營(運轉(zhuǎn)保障)等方面進行全面建設(shè)和不斷提升�����。
我們需要正確面對現(xiàn)有業(yè)務(wù)模式和技術(shù)平臺存在的安全風(fēng)險����、侵犯隱私等數(shù)據(jù)安全問題,例如“短信保管箱“類業(yè)務(wù)已經(jīng)全部下線�,目前運營商普遍會在業(yè)務(wù)環(huán)節(jié)中增加二次認(rèn)證和信息脫敏措施,都是在數(shù)據(jù)安全方面的進步表現(xiàn)���。企業(yè)還應(yīng)該對存量業(yè)務(wù)進行評估�、建立起新業(yè)務(wù)評估的“三同步”機制(即數(shù)據(jù)安全能力與業(yè)務(wù)功能同步規(guī)劃���、同步建設(shè)��、同步運行)�、對人員管理及合作伙伴管理等機制的優(yōu)化����,避免新的數(shù)據(jù)安全事件發(fā)生。
另外����,還要加強對設(shè)立數(shù)據(jù)安全專職部門的重視,提升話語權(quán)��,保持合理的人員配備��,將敏感數(shù)據(jù)進行資產(chǎn)化管理�,建立分類分級制度,采用自動化識別跟蹤技術(shù)形成敏感數(shù)據(jù)清單����,將敏感數(shù)據(jù)的異常分布與流動作為安全事件處置,對于敏感數(shù)據(jù)的訪問行為增加強身份認(rèn)證和敏感行為審計。
同時加強對合作伙伴的管理����,我們建議采用數(shù)據(jù)安全能力評級和考核制度,降低數(shù)據(jù)擴散的風(fēng)險���,以合作合同條款的方式明確在數(shù)據(jù)安全方面的違約條款與責(zé)任��。
最后還要建設(shè)立體的數(shù)據(jù)安全防護體系�。例如在數(shù)據(jù)泄露案例中�����,將數(shù)據(jù)泄露到外網(wǎng)存在著多種途徑�����,并且涉及數(shù)據(jù)不同環(huán)節(jié)的風(fēng)險��,僅靠單一技術(shù)手段無法覆蓋所有主要途徑�,我們建議基于不同途徑選擇各領(lǐng)域最優(yōu)技術(shù)搭建數(shù)據(jù)安全的立體防御體系,以基于實戰(zhàn)總結(jié)的經(jīng)驗作為數(shù)據(jù)保護技術(shù)手段的有效性評估標(biāo)準(zhǔn)��。
來源:奇安信集團
在線咨詢
在線咨詢
0371-63319761