开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:06-安全法规-ACA-02-网络安全法律法规】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18876
06-安全法规-ACA-02-网络安全法律法规
内容介绍:
一、国内外较大数据安全处罚事件及数据安全分类
二、网络安全法的基本结构及重要条文
三、数据安全法的正式实施
一、国内外较大数据安全处罚事件及数据安全分类
本次课程学习第二个章节,网络安全法律法规,这张幻灯片揭示了近年来国内外较大的一些数据安全处罚事件,都是依据像 GDPR 这种通用数据保护条例,以及国内的一些相关法律标准,对其进行这种巨额的罚款,造成企业巨大的损失。通过这些案例,向我们就揭示了数据安全的建设就是企业的生命线。
近几年国家对数据安全的监管也是要求越发的严格,数据安全包含两大类,一类是重要数据安全,另一类是个人信息保护。
个人信息保护主要指的是以自然人为基础衍生出来的相关的隐私数据,重要数据安全包含个人信息保护的基础之上,又包含向企业重要数据的安全以及其他数据的安全。 重要数据安全相对来说是一个更加广义的概念,个人信息保护是由近几年来出台的各种办法组合而成,最具代表性的就是 2021 年 8 月份中华人民共和国个人信息保护法表决通过,于 2021 年 11 月 1 日起正式实施。在数据安全这个领域,最具代表性的就是在 2021 年的 9 月份正式实施了数据安全法。
二、网络安全法的基本结构及重要条文
网络安全法的基本结构,从第一章的总则,到第二章的网络安全支持与促进,再到第三章、第四章的网络运行以及网络信息的安全,再到第五章的监测、预警与应急处置,第六章的法律责任以及第七章的负责,其中的第三章的网络运行安全就指出履行网络安全等级保护的制度以及义务,以及数据安全相关的条例要求。 第四章就主要规范个人信息保护及内容安全相关的法律条例。
这里阐述网络安全法中的一些重要条文,其中第 21 条规定网络运行基本的安全要求以及企业应履行网络安全等级保护制度的必要性。第 25 条规定企事业单位应加强应急预案与响应能力等要求的法律条文及内容。
网络安全法的第 41,42 条规定了个人信息保护相关的法律条例及内容,第 30 条规定关键信息基础设施测评的相关法律条例及内容。
这里对数据安全法做一个综述,数据安全法立法的背景对外是提高国家网络空间主权及数据话语权,对内是对国家基础性资源提供战略保护,同时也是经济发展的需要。适用的范围涵盖了境内和境外数据处理相关的活动内容,同时也对部分的术语进行阐述。
三、数据安全法的正式实施
随着 2021 年9月1日数据安全法正式实施,也确立了国家对于重要数据保护的基调,就是由原来以系统为中心,在本法中适用于以数据为中心,对重要数据进行智能分析、全面防护、自动响应以及持续运营的策略。右边这幅图是关于数据安全法的结构图,和网络安全法一样,也分为了 七 张,只是里面更加侧重于数据相关的法律条文以及内容。
了解数据安全法重要条文当中的分类分级的解读,数据安全法的第 21 条规定数据生命周期的第一个环节,也就是数据采集过程中分类分级的保护制度,这一条具体是指对数据实行分类分级保护制度,是国家数据安全工作协调机制,统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
下面这两张截图分别是金融行业以及汽车行业对于数据分类分级的相关技术规范与征求意见稿。在刑法以及个人信息保护法中也分别规定敏感数据的保护措施及相关的处罚条例以及内容。
我们再来了解数据安全法中的数重点条文,数据安全评估认证解读。第 18 条规定国家促进数据安全检测、评估认证等服务的发展,支持数据安全检测、评估认证等专业机构依法开展服务活动。第 27 条也规定需要建立健全流程数据安全的管理制度以及教育培训措施。
接下来这张图是关于数据安全成熟度的一个模型参考,该模型发布于 2019 年的 9 月份,是阿里巴巴集团主要起草的关于数据安全能力成熟度模型的国家标准,又称为 37988 模型。该模型从三个不同的维度定义了数据安全的成熟度能力,在能力成熟等级这里共分为 5 个等级,其中等级越高就代表数据安全成熟度越高,是一种量化的结果。 数据与生命周期的安全主要是以这个数据安全评估为主要抓手,是围绕数据安全周期的每个阶段来展开安全建设的。安全能力这个维度主要指的就是团队、工具以及制度流程等方面。右边的这张图就是针对的数据生命周期安全来展开的具体工作的内容和不同层面上的一些安全防护点。
最后我们再来学习个人信息保护法中的相关法律条例,其中第3条规定了本法的适用范围涵盖了境外和境内。第 38 条规定了个人信息处理者跨境数据流转的流程是什么样的?下面说明是在这四条里面满足任何一项即可。第 44 条规定个人对个人信息处理过程中应享有的这种权益有哪些?里面提到有知情权和决定权。第 51 条规定个人信息处理者对个人信息的安全保障义务有哪些?本条也融合网络安全法中部分的相关条例,规定数据分类分级的管理制度以及相应的技术手段等内容。
