正常视角下的全生命周期数据安全治理
发布时间:2021-06-08 19:11:12 所属栏目:安全 来源:互联网
导读:日前,《个人信息安全保护法》和《数据安全法》已完成第二次审议。对于企业来说,未来法规的正式颁布实施将会是把双刃剑,一方面是可提高民众的意识,利于推动数据安全各项工作的落地;另一方面则是利用法律的威慑力,对企业开展数据安全工作进行有效约束。
|
日前,《个人信息安全保护法》和《数据安全法》已完成第二次审议。对于企业来说,未来法规的正式颁布实施将会是把双刃剑,一方面是可提高民众的意识,利于推动数据安全各项工作的落地;另一方面则是利用法律的威慑力,对企业开展数据安全工作进行有效约束。
如何做好数据全生命周期管理,一直是一个头疼的课题。本文将对“数安法(草案)二次审议稿”中涉及企业数据全生命周期管理的合规要求进行简要分析。
法规背景
“数安法(草案)二次审议稿”一共七章五十一条,其中“总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节则围绕“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”四个方面提出工作要求。
数据全生命周期安全合规要求
(1) 制度建立
建立健全全流程数据安全管理制度,落实数据安全保护责任,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施保障数据安全。
(2) 风险监测
对数据处理活动中出现的缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件要按规定上报。
(3) 风险评估
对数据处理活动定期开展风险评估并上报风评报告。
(4) 收集使用
任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
(5) 数据交易
数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。
(6) 存储加工
委托他人存储、加工或提供政务数据,要先审批,并做好监督。
(7) 配合调查
要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,须先审核。
(8) 审批与监督
委托他人建设、维护系统,或涉及存储、加工数据,应当经过严格的批准程序,并监督受托方、数据接收方履行相应的数据安全保护义务。
以上八个方向作为数安法对企业落实数据安全生命周期管控的基本要求。
数据全生命周期安全实施建议
数据全生命周期涵盖收集、传输、存储、处理、共享、销毁共六个阶段,针对数据全生命周期的安全管理也是企业开展数据安全管理的核心和难点工作。
(1) 数据采集:
数据采集规范中要明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容,并对数据来源进行源鉴别和记录。制定明确的采集策略,只采集经过授权的数据并进行日志记录。对数据采集过程中的风险项进行定义,形成数据采集风险评估规范。数据采集全过程需要符合相关法律法规和监管要求,做到合规合法的采集。
(2) 数据传输:
做好传输接口管控和监测。建议对涉敏数据进行加密传输,主要用到的是对称加密算法和非对称加密算法,推荐的对称加密算法如:DES、IDEA、AES、SM1(国密算法),非对称加密算法如:RSA、ECC、SM2(国密算法)。
(3) 数据存储:
重要数据境内存储,做好存储介质管理,建立数据存储备份机制,并定期开展备份恢复演练。
(4) 数据处理:
严格遵循数据处理最小化、必要原则,明确数据的处理和使用规范,确保员工只能访问职责所需的最少够用的敏感数据。对数据进行操作时,应做好去标识化处理,明确数据脱敏的业务场景和统一使用适合的脱敏技术。
 (编辑:阜新站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
