数据安全审查综合解读 | 如何从被动合规到主动战略风控?

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 防病毒版,最高20核 3个月
简介: 8月27日,《数据安全法》解读与阿里云三大合规方案线上直播活动完美收官。

8月27日,《数据安全法》解读与阿里云三大合规方案线上直播活动完美收官。


阿里云高级安全咨询专家李娜对数据安全相关法律法规做了综合解读,她指出,数据安全合规不能仅看片面,需要有整体的数据安全观,知其然也要知其所以然,真正做到从被动合规到主动战略风控。


PROFILE

image.png

李娜

阿里云高级安全专家

信安标委国家标准和公安安全行业标准评审专家

阿里云国家部委级大项目安全架构师兼混合云安全咨询业务负责人



《网络安全法》作为基础性法律,有哪些比较重要的数据安全要求?

01


1) 第二十一条: 国家实行网络安全等级保护制度。防止网络数据泄露或者被窃取、篡改。


    解读

这一条说明,等保2.0测评也包含数据安全相关内容。


2) 第三十一条:国家对重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。


    解读

这一条说明,涉及关键信息基础设施的数据泄露问题,在等保基础上,需要重点保护,包括但不限于商用密码应用安全性评估,数据安全审查、云计算评估等。


3) 第三十七条:关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。


    解读

这一条说明,向境外提供数据,需要经过网信部门评估后方可出境。


4) 第七十六条:术语中网络安全,包括保障网络数据的完整性、保密性、可用性的能力。


    解读

这一条说明,网络数据的完整性、保密性、可用性是网络安全的基础能力,需纳入基础安全防护能力的范畴。



《数据安全法》的立法进程非常迅速,这是为什么?

02


这要从《数据安全法》的立法背景来看:

  1. 社会经济发展层面,数字经济快速发展,数据成为“国家基础性战略资源”,保护这些数据保护需要法律依据;
  2. 数据开发利用层面,数据已经从生产要素转变为生产力,促进数据合理开发利用需要法律依据。


鉴于上述两个需求的迫切性,数据安全法从立法规划到正式颁布非常迅速,而且在其他行政法规中及时得到具体应用。



《数据安全法》的适用范围是什么?

03


1) 境内开展数据处理活动及其安全监管;


2) 境外开展数据处理活动,损害国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任;


    解读

这里明确了数据安全属地管辖为主,保护性管辖为辅。


《数据安全法》每章重点讲了什么?

04

1) 第一章总则,主要技术要求包括建立数据安全治理体系以及主要监管为国家网信和行业主管等。其中数据安全治理比较重要,包括数据梳理、数据安全风险分析、分类分级、监控预警、数据安全规划等较多内容,这些内容都涵盖在数据安全咨询的服务范围。


2) 第二章数据安全与发展:主要包括支持数据安全评估与认证、建立数据交易管理制度等。


    解读

第一,数据安全评估与认证有可能像等保和密评一样成为数安法落地的检查手段;

第二,建立数据交易管理制度而不是数据交易制度,重点在数据交易的管理。

3) 第三章数据安全制度,包括最受关注的数据分类分级、数据安全审查和数据出口管制。


4) 第四章数据安全保护义务,主要包括数据安全管理、风险监控与处置和数据处理及服务三部分。


    解读

数据处理中的数据来源核实及记录,主要针对的是数据交易场景中数据源的权属,不是传统数据安全的访问溯源取证场景。

本章最重要的是,数据出境,未经批准,不得对外提供。


5) 第五章政务数据安全与开放重点是国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台。


    解读

建议各单位遵循相关标准与规定,不要自行制定数据目录,可能导致互联互通困难。


6) 第六章法律责任,简单地说,多条处罚,包括除了罚款,还可以责令停业整顿、吊销相关业务许可证或营业执照。


    解读

可依法追究直接责任人的刑事责任。


第七章附则:数据安全法今年9月1号实施。



《数据安全法》有哪些条文需要重点关注?

05


1) 《数据安全法》第二十一条的数据分类分级首先国家建立数据分类分级保护制度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。


    解读

a)  国家部委或行业的分类分级,尽量采用已有的数据分类标准或目录,不建议单独制定专门的分类分级制度,避免因数据目录不同而影响数据集交换与共享。

b)  数据分类是为了更好地区分管理对象,分级是为了实施不同程度的保护,数据分类一定是面向某种管理目标、监管手段的,不能一言以蔽之。


2) 《数据安全法》十八条关于国家支持数据安全检测评估与认证服务的发展


    解读

a)  标准37988数据安全能力成熟度模型,可以作为数据安全法检测落地的抓手。该标准已在ISO立项,有可能成为国际数据安全标准;

b)  标准37988数据安全能力成熟度模型的1-5级不能和等保作简单的对应关系,企业确定自己的数据安全能力等级需要按照预评估的实际情况而定,能力不具备时盲目追求高等级可能整改困难。


3) 《数据安全法》第二十七条强调的也是全流程数据安全管理,涵盖数据安全的核心八大能力,包括数据安全生命周期的分类分级、传输加密、存储安全、数据脱敏、数据资产管理、终端数据安全、监控与审计、数据鉴别与访问控制。这些核心的技术能力加上数据管理能力和运维能力,是DSMM评估与认证检查的核心技术能力,如果满足DSMM评估与认证检查,数据安全法提出的技术要求基本满足。



《数据安全法》和《网络安全审查法》之间是什么关系?

06


新修订的《网络安全审查办法》将数据安全纳入网络安全审查范围。


《网络安全审查办法》修订前后比对情况:


1) 第二条:关键信息基础设施的运营者,数据处理者,开展数据处理活动,可能影响国家安全的,将进行网络安全审查。


    解读

数据处理活动是重点规范对象


2) 第六条:增加了掌握超过100万用户个人信息的运营者赴国外上市,必须向网信办申报安审。


    解读

对数据运营者作出了100万的定量描述。


3) 第四条:审查单位增加了中国证监会;


4) 第十条:网络安全审查评估内容增加了数据处理活动和海外上市场景,其中重点增加的国家安全风险有核心数据、重要数据或大量个人信息被窃取、泄露毁损以及非法利用或出境风险,国外上市后关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。


    解读

网络安全审查将数据处理活动及海外上市增加为评估内容,重点评估的是数据安全。


5) 第十三条将网络安全审查的时间从45个工作日,延长到3个月


6) 最关键的第一条:为了确保关键信息基础设施的安全,执法依据除了《国家安全法》、《网络安全法》,增加了《数据安全法》;第十六条,违反本办法规定的,处罚依据增加《数据安全法》。


    解读

这二条说明《数据安全法》被列为审查和处罚的依据。


因此整体来看,数据安全不仅有相关的数据安全能力评估认证作为抓手,还有网络安全审查作为检查和处罚手段。



数据安全法正式实施在即,我们应该如何看待数据合规?

07


    解读

数据安全要从被动合规转化为主动战略风控


首先,总体国家安全观中,网络安全是16个之一。从国家安全法的安全观到《网络安全法》的网络空间主权到《数据安全法》的具体条文,其内容一脉相承。目前涉及数据安全的还有《个人信息保护法》、民典法、刑法修正案(十一)等法律,都涵盖相关内容。


其次数据安全相关法律法规和政策的落地,正在经历一个逐渐完善监管手段、提升监管能力的过程,“让法律长出牙齿”,目前国家不仅在解决“有法可依”的问题,也在解决“违法必究”的问题。


在此情况下,企业对数据安全合规的理解不能片面,甚至怀有不检查不处罚的侥幸心理,需要将数据安全合规风险上升到业务风险,甚至企业风险,积极采纳企业法务与安全合规团队意见,或者聘请专业的安全咨询团队解决问题,确保对政策趋势有足够的敏感性和前瞻性,从被动数据安全合规到主动战略风控。



 阿里云安全  


国际领先的云安全解决方案提供方,保护全国 40% 的网站,每天抵御 60 亿次攻击。


2020 年,国内唯一云厂商整体安全能力获国际三大机构(Gartner/Forrester/IDC)认可,以安全能力和市场份额的绝对优势占据领导者地位。


阿里云最早提出并定义云原生安全,持续为云上用户提供原生应用、数据、业务、网络、计算的保护能力,和基础设施深度融合推动安全服务化,支持弹性、动态、复杂的行业场景,获得包括政府、金融、互联网等各行业用户认可。


作为亚太区最早布局机密计算、最全合规资质认证和用户隐私保护的先行者,阿里云从硬件级安全可信根、硬件固件安全、系统可信链、可信执行环境和合规资质等方面落地可信计算环境,为用户提供全球最高等级的安全可信云。

相关文章
|
12天前
|
存储 监控 安全
PCI DSS v4.0 |卓豪 Log360 实现PCI DSS v4.0数据安全合规要求
PCI DSS 是一项由主要信用卡公司支持的网络安全标准,旨在保护信用卡和借记卡数据安全。最新版本 v4.0 强调灵活的安全控制、强化身份管理及全面的网络活动监测。SIEM 解决方案在实现 PCI DSS 合规性中扮演关键角色,Log360 作为全面的 SIEM 工具,帮助企业轻松达成安全合规目标。
|
存储 监控 安全
|
运维 分布式计算 安全
阿里云数据安全中心DSC的安全审计功能如何满足等保合规要求和提高数据安全异常检测能力?
阿里云数据安全中心DSC的安全审计功能如何满足等保合规要求和提高数据安全异常检测能力?
258 0
|
存储 运维 监控
数据安全审查综合解读|如何从被动合规到主动战略风控?
8月27日,《数据安全法》解读与阿里云三大合规方案线上直播活动完美收官。阿里云高级安全咨询专家李娜对数据安全相关法律法规做了综合解读,她指出,数据安全合规不能仅看片面,需要有整体的数据安全观,知其然也要知其所以然,真正做到从被动合规到主动战略风控。
562 0
数据安全审查综合解读|如何从被动合规到主动战略风控?
|
6月前
|
存储 数据采集 安全
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
瓴羊Dataphin数据安全能力再升级,内置分类分级模板、上线隐私计算模块
202 0
|
4月前
|
安全 Java Apache
Java中的数据安全与隐私保护技术
Java中的数据安全与隐私保护技术
|
6月前
|
存储 人工智能 算法
数据安全与隐私保护在人工智能时代的挑战与应对
随着人工智能技术的快速发展,数据安全和隐私保护问题日益凸显。本文将探讨在人工智能时代下,数据安全面临的挑战以及如何有效应对,为保护用户数据和维护信息安全提供新思路。
1102 13
|
6月前
|
监控 安全 网络安全
云端防御策略:在云计算中确保数据安全与隐私
【4月更文挑战第6天】 随着企业和个人日益依赖云服务,数据安全性和隐私保护成为不容忽视的挑战。本文探讨了云计算环境中面临的主要网络安全威胁,并提出了综合性的安全措施来加强防护。我们将从云服务的基础知识出发,分析安全风险,并深入讨论如何通过加密技术、身份验证、访问控制以及持续监控等手段来提高数据的安全性。文章的目标是为读者提供一套实用的策略框架,以便在享受云计算带来的便利时,能够有效地保障信息安全。
|
6月前
|
存储 边缘计算 安全
边缘计算中的数据安全与隐私保护:挑战与应对策略
边缘计算中的数据安全与隐私保护:挑战与应对策略
|
6月前
|
存储 安全 数据安全/隐私保护
云计算中的数据安全与隐私保护:技术与挑战
云计算中的数据安全与隐私保护:技术与挑战
818 0