2021年9月1日,《中華人民共和國數(shù)據(jù)安全法》正式實施生效,這是我國第一部有關(guān)數(shù)據(jù)安全的專門法律?!稊?shù)據(jù)安全法》貫徹落實總體國家安全觀,立足我國數(shù)據(jù)安全工作實際,在規(guī)范數(shù)據(jù)處理活動、強化數(shù)據(jù)安全保障、促進數(shù)字經(jīng)濟發(fā)展、健全數(shù)據(jù)治理體系等方面建立了系列制度,讓數(shù)據(jù)安全有法可依、有章可循,對維護國家安全、數(shù)據(jù)安全、落實大數(shù)據(jù)發(fā)展戰(zhàn)略具有重大意義。
《數(shù)據(jù)安全法》增加了企業(yè)的安全責(zé)任,為實現(xiàn)合規(guī),企業(yè)需要針對數(shù)據(jù)保護增加成本,規(guī)避風(fēng)險,凡涉及數(shù)據(jù)處理的企業(yè)均在這部法律的調(diào)整范疇之內(nèi)。
然而目前因為數(shù)據(jù)安全包含的領(lǐng)域廣、場景多,企業(yè)對數(shù)據(jù)安全建設(shè)的認知度不足、重視程度不夠等問題普遍存在于各個行業(yè)之中。真正的數(shù)據(jù)安全建設(shè)需要咨詢服務(wù)、技術(shù)支撐和管理制度相結(jié)合,才能保障企業(yè)核心數(shù)據(jù)在合法合規(guī)的前提下創(chuàng)造出最大效益價值。
數(shù)據(jù)安全法相關(guān)條款
● 二十七條規(guī)定:“開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全?!?/p>
● 第三十一條規(guī)定:“重要數(shù)據(jù)相關(guān)活動定期開展包括重要數(shù)據(jù)的種類、數(shù)量,收集、存儲、加工、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等在內(nèi)的風(fēng)險評估,并向有關(guān)主管部門發(fā)送風(fēng)險評估報告。”
● 第三十一條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定?!?/p>
● 第三十二條規(guī)定:“任何組織、個人收集數(shù)據(jù),應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)。”
企業(yè)數(shù)據(jù)安全合規(guī)體系建設(shè)
01
● 建立健全數(shù)據(jù)分級分類制度
數(shù)據(jù)的分級分類管理是實施數(shù)據(jù)全生命周期安全防護的重要基礎(chǔ),只有在科學(xué)、規(guī)劃的分類分級管理基礎(chǔ)上,才能夠有效平衡數(shù)據(jù)的安全要求和使用需求,才能較好地實現(xiàn)數(shù)據(jù)的風(fēng)險管理成本與利用效率的平衡,為數(shù)據(jù)安全產(chǎn)業(yè)快速健康的可持續(xù)發(fā)展奠定基礎(chǔ)。
可以針對客戶企業(yè)實際情況制定數(shù)據(jù)安全管理體系。體系的制定可以在客戶全組織范圍內(nèi)進行,也可以在客戶指定的重要部門局部施行,可以分階段制定、執(zhí)行并擴充。通過對企業(yè)數(shù)據(jù)的調(diào)研梳理,對數(shù)據(jù)進行分類分級劃分,建立數(shù)據(jù)分級分類制度,出臺相關(guān)管理辦法。數(shù)據(jù)安全管理體系建設(shè)不僅僅是常見的技術(shù)標準、規(guī)范和手冊,還包括關(guān)鍵的操作程序和管理方針。
02
● 健全防護體系,明確責(zé)任主體
企業(yè)需要強化數(shù)據(jù)使用權(quán)限管控、數(shù)據(jù)加密以及日志審計等方面的工作。針對權(quán)限管控,應(yīng)設(shè)置最小授權(quán)、期限授權(quán)等安全機制;針對加密,對所有文檔數(shù)據(jù)實行分級分類后按照密級進行主動加密、傳輸加密及落地加密;針對日志審計,應(yīng)確保日志記錄信息的完整性。同時,采用外發(fā)管控、水印溯源、統(tǒng)一權(quán)限管理平臺等手段做到集中管控。
企業(yè)內(nèi)部需要明確數(shù)據(jù)安全責(zé)任主體及其相應(yīng)職責(zé)??梢猿闪⒖鐦I(yè)務(wù)部門的數(shù)據(jù)安全管理團隊,構(gòu)建由業(yè)務(wù)部門負責(zé)、技術(shù)平臺部門推動落地的數(shù)據(jù)安全責(zé)任制。技術(shù)部門重點負責(zé)數(shù)據(jù)存儲、管理和維護,業(yè)務(wù)部門成為數(shù)據(jù)的所有者,并對數(shù)據(jù)安全承擔(dān)最終責(zé)任。為使跨部門協(xié)作順暢開展,可以由第三方數(shù)據(jù)安全管理團隊統(tǒng)籌協(xié)調(diào),并制定符合法律法規(guī)的安全指引,推動企業(yè)內(nèi)部安全方案的落地。
03
● 落實制度規(guī)范,強化風(fēng)險管控
首先,企業(yè)內(nèi)部需要嚴格執(zhí)行數(shù)據(jù)安全的各項規(guī)章制度,并根據(jù)所在行業(yè)發(fā)展趨勢動態(tài)和有關(guān)部門監(jiān)管要求不斷完善完善數(shù)據(jù)安全制度;其次,管理層必須高度重視數(shù)據(jù)安全問題,明確數(shù)據(jù)安全保護是所有員工的職責(zé),各部門要主動承擔(dān)相應(yīng)的安全管理職能;第三,關(guān)注人員管理。除了加強平時數(shù)據(jù)安全意識培養(yǎng),在流程上也應(yīng)預(yù)設(shè)相應(yīng)的控制措施,嚴防因人事流動造成的數(shù)據(jù)安全事故;第四,完善內(nèi)部培訓(xùn)系統(tǒng)。定期開展數(shù)據(jù)安全教育培訓(xùn),及時掌握國家數(shù)據(jù)安全領(lǐng)域的法律法規(guī)及監(jiān)管要求的變動調(diào)整,在培訓(xùn)中反饋給內(nèi)部員工,形成數(shù)據(jù)安全咨詢。
在建立數(shù)據(jù)分級分類的基礎(chǔ)上,將企業(yè)數(shù)據(jù)的全生命周期都納入風(fēng)險管控系統(tǒng),并嚴格落實數(shù)據(jù)記錄與備份處理,重要數(shù)據(jù)按照法律要求將風(fēng)險評估報告定期送往主管部門。當(dāng)然風(fēng)險控制和業(yè)務(wù)效率之間需要達到平衡,應(yīng)基于風(fēng)險評估結(jié)論及業(yè)務(wù)部門的風(fēng)險承受能力,建立適宜恰當(dāng)?shù)娘L(fēng)控機制和補償措施。
敏捷科技作為國內(nèi)首家數(shù)據(jù)主動加密廠商,深耕數(shù)據(jù)安全領(lǐng)域近20年,致力于幫助企業(yè)解決數(shù)據(jù)安全和數(shù)據(jù)管理難題。敏捷科技憑借著行業(yè)領(lǐng)先的技術(shù)優(yōu)勢與豐富的實施場景,可以針對不同用戶類型、數(shù)據(jù)類型和使用環(huán)境,提供基于場景化的數(shù)據(jù)安全解決方案,實現(xiàn)企業(yè)數(shù)據(jù)安全保護“度”與業(yè)務(wù)發(fā)展效率的統(tǒng)一。
敏捷科技數(shù)據(jù)安全建設(shè)方案
01
●數(shù)據(jù)加密
敏捷科技可針對客戶企業(yè)實際情況提供基于敏捷安全衛(wèi)士(簡稱DGS)的數(shù)據(jù)安全技術(shù)解決方案。系統(tǒng)可自動對指定計算機中的數(shù)據(jù)進行加密,并且不影響其它應(yīng)用程序的正常運行。確保在企業(yè)辦公環(huán)境中,所有應(yīng)用程序的功能和加密文件都能正常使用而不影響正常工作。由于所有文件始終都處于加密狀態(tài),一旦離開本企業(yè)的網(wǎng)絡(luò)加密環(huán)境,文件無法使用。文件無論以任何方式存儲或轉(zhuǎn)移,不必擔(dān)心企業(yè)數(shù)據(jù)泄密。
02
●數(shù)據(jù)溯源
系統(tǒng)提供數(shù)據(jù)溯源功能,利用數(shù)字水印和電子標簽技術(shù),可以對設(shè)備屏幕、涉密文檔和紙質(zhì)文件上打標記,預(yù)防拍照、截圖和打印外泄敏感內(nèi)容等數(shù)據(jù)安全事件。如果發(fā)生此類數(shù)據(jù)安全事件,可以對外泄文件進行分析,定位出泄密源頭,有效解決電子文檔和紙質(zhì)文件泄密難溯源舉證問題。
03
●DLP審計
系統(tǒng)提供日志審計功能,可以全面監(jiān)控和審計企業(yè)員工在辦公過程產(chǎn)生的另存為、打印、拷貝粘貼、截屏、發(fā)送郵件或使用QQ、微信等即時通訊工具傳播文件等會引起泄密的操作行為,并向管理員發(fā)送預(yù)警信息或直接阻斷操作,防止員工泄露企業(yè)信息。
04
●數(shù)據(jù)備份
系統(tǒng)備份模塊可定時備份企業(yè)核心數(shù)據(jù),用戶在備份文檔庫隨時可以找得到歷史版本數(shù)據(jù)。敏捷容災(zāi)備份系統(tǒng)可保障企業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)安全,如果出現(xiàn)企業(yè)應(yīng)用系統(tǒng)癱瘓的情況,數(shù)據(jù)很快可以恢復(fù),大大提高了數(shù)據(jù)的安全性,為企業(yè)運行的連續(xù)性提供了有利的保障。
05
●跨境數(shù)據(jù)安全
針對跨境數(shù)據(jù)安全風(fēng)險,敏捷科技提出一套電子文件外出使用安全管控平臺來解決企業(yè)的實際需求。通過管控平臺的部署,充分保障企業(yè)內(nèi)部的電子文件跨境外出辦公的安全管控和便利使用,實現(xiàn)對移動設(shè)備在外使用過程中的全程保護,有效杜絕外出人員主動和被動的數(shù)據(jù)泄密。系統(tǒng)采用終端授權(quán)、文檔云中心、在線預(yù)覽編輯、落地加密存儲、安全認證、脫機時效性、授信進程智能識別等功能技術(shù),實現(xiàn)外出移動設(shè)備的授權(quán)使用、安全認證和電子文件的高效安全使用。
核心數(shù)據(jù)和重要數(shù)據(jù)資產(chǎn)是數(shù)據(jù)經(jīng)濟發(fā)展的壓艙石,更是關(guān)系到國家安全、國民經(jīng)濟命脈、重要民生及重大公共利益。企業(yè)積極做好數(shù)據(jù)安全建設(shè)不僅是法律合規(guī)要求下的競爭優(yōu)勢,更是對社會和國家建設(shè)發(fā)展的責(zé)任心的體現(xiàn)。
未來,在數(shù)據(jù)安全法等法律法規(guī)的嚴格監(jiān)管下,敏捷將立足于企業(yè)需求,發(fā)揮自身技術(shù)優(yōu)勢與項目經(jīng)驗,秉持著數(shù)據(jù)安全行業(yè)先驅(qū)企業(yè)的社會責(zé)任感,助力更多企業(yè)的數(shù)字化轉(zhuǎn)型,護航數(shù)字中國的長遠發(fā)展。