数据安全法背景下的企业数据安全方案.docx

《数据安全法背景下的企业数据安全方案.docx》由会员分享，可在线阅读，更多相关《数据安全法背景下的企业数据安全方案.docx（12页珍藏版）》请在第一文库网上搜索。

1、数据安全法背景下的企业数据安全方案【摘要】信息安全是一场永无止境的战斗，而且会越来越难以取胜，数据安全的风险防御更是任重而道远，为更好的解决数据安全的问题只有通过有效的技术措施结合管理手段，从里到外识别风险，并解决风险。深刻理解2023年9月1日开始施行的数据安全法，会让企业在数据安全防御方面事半功倍。概述2023年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过了中华人民共和国数据安全法，下文简称数据安全法，并定于2023年9月1日施行。其主要目的是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定的法律。同时随着

2、互联网的迅速发展，万物互联崛起，对数据保护的需求也越发迫切，非常有必要单独出台一部针对数据安全保障领域的法律来加强对数据的监管，对数据的有效监管实现了有法可依，填补了数据安全保护立法的空白。数据安全法已于2023年9月1日正式落地实施，这标志着国家在数据安全方面已经初步建立起一套法律框架。在数字化转型浪潮中，数据作为业务的驱动，已经为各行业企业的关键生产要素，于国家而言，更是具有深远战略价值的核心资产。在未来，各行各业若要实现数字化到智能化的转型，海量数据的价值转化及挖掘是必经之路。数据安全法介绍我们要更好的践行数据安全法的要求及遵守相应的管理条例，就要先了解和理解其内容。数据安全法全文共有七

3、章五十五条，主要从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放及法律责任的角度对数据安全保护的义务和法律责任进行规定。内容概述数据安全法是我国实施数据安全监督和管理的一部基础法律，其根本目的是要提升国家数据安全的保障能力和数字经济的治理能力。作为国家的第一部关于数据安全的法律，不仅受到了安全从业者，也受到了来自各界人士的广泛关注：- 数据安全与发展众所周知，数字化转型的基石就是数据，以数据驱动业务发展，物联网的发展更是使数据爆炸性的增长，其中蕴含的价值，无法估量，这让国家和企业都越发的意识到数据的重要性，无论是从国家战略还是企业战略出发，都已经将数据作为核心资产，甚至上升

4、到国家安全层面。为此合理有效的利用数据，不仅关系个人、企业的利益，更关系到社会和经济的平稳发展，甚至影响国家安全。因此，数据安全法明确了数据安全与发展的关系，强调“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。- 数据安全制度数据安全法明确了六项数据安全制度：O数据分类分级与核心数据保制度：根据数据在经济社会发展中的重要程度及受到破坏后对国家安全、公共利益或个人、组织合法权益造成的危害程度进行分类分级，协调有关部门编制重要数据目录，要求下发到个地方，由地方部门按照要求编制地区的重要数据具体目录，对所列目录的数据加强保护。同时强调了对于关系

5、国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。O数据安全风险评估与工作协调机制：规定国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，建立工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。O数据安全应急处置机制：国家建立数据安全应急处置机制，当发生数据安全事件，主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，及时向社会发布有关的警示信息。O数据安全审查制度：要求对影响或者可能影响国家安全的数据处理活动，国家有权进行安全审查。O数据出口管制制度：对与维护国家安全

6、和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制，规定在与数据和数据开发利用技术等有关的投资或贸易等方面，对我国采取相关歧视性的禁止、限制或者其他类似措施的国家和地区，我国可以对其采取对等措施。- 数据安全保护义务数据安全法规定了四类数据安全义务：O数据处理者的安全义务：明确指出，重要数据的处理者应明确数据安全的负责人和组织架构，按照要求定期的展开风险评估，并将发现的风险主动报送主管部门。对于关基的运营，要求运营者在境内运营过程中产生或收集的重要数据，数据的出境安全管理，必须依据网络安全法执行，其他数据处理者的数据出境管理由网信办另行制定政策，要求组织、个人必须合法、依规收集和使用

7、数据等。O数据交易中介服务机构义务：数据交易中介服务机构应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。O有关组织、个人的数据支持义务：任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。公安或国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。O跨境司法或执法机构数据提供审批义务：未经主管机关批准，境内的任何组织及个人不得向境外司法或者执法机构提供存储于境内的数据。- 政务数据安全与开放数据安全法就政务数据安全与开放作出相应规定：O政务数据安全要求

8、：国家机关需要建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。同时要求国家机关应当依法合规收集和使用的个人隐私、个人信息、商业秘密、保密商务信息等数据，应当依法予以保密，不得泄露或者非法向他人提供。O外包政务系统数据安全要求：国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，同时国家机关应当监督受托方履行相应的数据安全保护义务。O政务数据开放要求：除依法不予公开的数据外，国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据，同时应制定政务数据开放目录，构建统一规

9、范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。- 法律责任对于数据处理者与数据交易中介服务机构不履行数据安全义务、数据安全监管履职国家工作人员滥权舞弊、违法获取或滥用数据等行为，数据安全法也作出了相应的处罚规定。其中，对于不履行数据安全义务的数据处理者除罚款外可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，而对于违反国家核心数据管理制度且构成犯罪的可以追究刑事责任，对于违规数据出境或未经授权向外国司法或者执法机构提供数据的，同样会处以相应处罚。企业责任随着万物互联时代的来临，数据安全法的正式落地实施，助推了大数据、云计算、物联网、人工智能等技术平台的蓬勃发

10、展与安全保障。作为企业更应该在数据安全法落地后，持续加大数据安全的投入，将保护企业核心数据资产作为第一要务。同时针对2C业务，要尊重终端用户的数据所有权和使用权，并严格保障终端用户的隐私安全。企业在关注信息安全的同时，更要突出数据安全的重要性。要时刻谨记，安全是所有业务正常运行的前提条件。企业面临的数据安全风险在了解了数据安全法之后，目前企业主要面临的数据安全风险有哪些？识别这些风险，有利于企业更好的完善数据安全防护方面的短板，提升企业整体数据安全防御能力，保护核心数据资产的安全。存在的挑战现在我们已经进入了大数据时代，各行各业所产生的数据量呈现爆炸式增长。随着数字化转型步伐的加快，数据资产的

11、重要性就尤为重要。数据不仅是企业的核心资产，更是数字化转型的创新驱动。2023年一系列的关于安全的法律法规陆续出台，从国家层面已经意识到数据的重要性，甚至上升到国家安全层面。同时也迫使企业必须意识到了解数据、保护数据和发掘数据价值的重要性。企业既要保护数据安全，也要确保业务的稳定，从个人理解来看，目前企业针对数据安全保护主要面临以下四大挑战：- 海量数据万物互联时代，数据量成指数级激增，按照第三方机构的统计，数据量每两年就会增加一倍从2010年到2023年，数据量就增长了超过50倍。可想而知，作为企业很难厘清内部所有的数据，并从中发现哪些数据是核心的，哪些不是。如此大的数据量，企业甚至更无法准

12、确定位这些数据都存储在具体的哪些位So-存储分散现在的企业都非常的重视数据的安全，深知数据的重要性，所以会把数据分散存储到不同的数据中心。随着云计算的发展，数据上云也是混合云战略的体现，充分利用云资源实现按需的快速交付。但这种对基础设施架构的优化也带来了数据存储地点分散，加大了数据保护的难度。- 攻击频繁网络连接万物，我们的生活、工作对网络的依赖程度越来越深，网络安全事件也在近几年呈现攻击类型多、攻击范围广、攻击模式组织化、防御难度大的趋势，几乎每天都有企业被攻击沦陷。以G1ObeImPOSter、CrySiS为代表的勒索病毒日渐猖獗，各种挖矿病毒更是如洪水猛兽。他们攻击的对象也瞄准了政府单位

13、和各种转型中的企业，如制造业。勒索病毒的影响力和破坏性可见一斑，多次引发社会各界的广泛关注。- 数据合规大数据时代的到来，给企业自身的数据安全带来了挑战。目前尤其是传统企业，经常忽视安全审计在数据安全中的重要性。安全审计应贯穿应用系统的全生命周期，从设计到消亡，从代码安全到存储安全。同时安全审计人员较为短缺，随着数据安全法的落地，企业应关注数据安全审计人员的培养。面临的风险大数据时代给企业带来长远价值的同时，也让企业面临来自不同方面的数据安全问题，根据个人经验，分为以下6类：网络攻击互联网的发达不但方便了“我们”，也方便了“他们”。近年来网络攻击呈现向上暴增趋势，而且越来越具有针对性，他们攻击

14、的目标就是数据，尤其是企业的核心数据。正所谓无利不起早，黑客往往会对有价值的对象发起攻击。他们通常会采用数据获取后到黑市贩售，或者通过更加暴力的勒索方式让受害者支付赎金。在大数据时代，数据安全面临的最直接的、最频繁的威胁就是来自网络的各种恶意攻击。 APP数据泄露移动办公已成员工工作的新方式，尤其是在疫情频发的阶段，远程办公已经进入常态化。便捷的办公方式使员工可以随时随地轻松的接入公司内网，访问内网资源，同时也满足企业业务发展的需求。便捷的同时也给企业的数据安全带来了新的风险和挑战。移动设备多为开源系统，时常出现系统漏洞或者后门，其便利性的特点使其易丢失，给企业造成不可估量的安全风险。当下各种

15、APP泛滥，研发标准不一，有些APP自带后门和恶意程序，对脆弱的移动设备的安全使用环境造成威胁，所以在移动办公过程中极易发生信息泄露事件。 员工跳槽现在越来越多的商业机密泄露行为主要来自内部，过往很多企业的信息安全防御重心放在了企业外围，如网络攻击、黑客渗透等，忽略了来自内部的人员泄露行为。商业化竞争的加剧，跳槽成为一种常态。核心人员的离职很可能直接带走企业多年的研究成果，对企业造成严重影响。内部人员窃取在任何的公司总有这么一些人为了个人利益出卖集团利益，虽然入职时签署了各种保密协议、敬业协议，但仍会为蝇头小利窃取企业的核心数据。这类人一般都很小心，“潜伏”在公司内部，很难被发现，却时常用自身

16、的职位权力获取利益，一般的信息安全防御手段很难发现，所以对企业来说他们具有极强的杀伤力。 数据灾难数据作为企业的核心资产一直被严格保护，但是天有不测风云，很多企业由于自身成本或者基础设施的问题，不能确保数据100%的安全。各种意外事件导致数据丢失也在所难免，如人为误删除、建筑塌陷、自然因素等。 脆弱性口令最容易忽略的问题，往往会造成最严重的事件。系统上的脆弱性口令直接导致企业核心数据的泄漏，尤其在传统的制造企业。根据第三方评测机构的数据显示，12345这样的密码大量被使用，而且一般都被核心人员使用。强化数据安全措施数据安全法的落地，很好的指引企业该如何正确的收集数据、使用数据、流转数据和保护数据。通过对七章节的学习和个人理解，总结出符合企业更好的落实数据安全保