《數(shù)據(jù)安全法》施行兩年來，網(wǎng)安部門聚焦信息數(shù)據(jù)泄露、濫用、篡改等行業(yè)領(lǐng)域問題亂象，加大監(jiān)督檢查、通報(bào)預(yù)警和行政執(zhí)法力度。嚴(yán)厲懲治不履行數(shù)據(jù)安全保護(hù)義務(wù)的違法行為，全面壓緊壓實(shí)網(wǎng)絡(luò)運(yùn)營單位數(shù)據(jù)安全主體責(zé)任。

截止2023年三季度，僅江蘇公安已累計(jì)依據(jù)《數(shù)據(jù)安全法》辦理行政案件336起，單筆處罰金額高達(dá)百萬元。說明隨著《數(shù)據(jù)安全法》實(shí)施和相關(guān)配套體系的完善，相關(guān)部門正加大執(zhí)法力度和頻度。

（一）未定期梳理數(shù)據(jù)，按照相關(guān)標(biāo)準(zhǔn)規(guī)范識別重要數(shù)據(jù)和核心數(shù)據(jù)并形成本單位具體目錄;

（二）未建立數(shù)據(jù)全生命周期安全管理制度，未針對不同級別數(shù)據(jù)明確數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、銷毀、轉(zhuǎn)移、委托處理等環(huán)節(jié)的具體分級防護(hù)要求和操作規(guī)程;

（三）未根據(jù)需要配備數(shù)據(jù)安全管理人員，統(tǒng)籌負(fù)責(zé)數(shù)據(jù)處理活動(dòng)的安全監(jiān)督管理，協(xié)助行業(yè)(領(lǐng)域)監(jiān)管部門開展工作;

（四）未合理確定數(shù)據(jù)處理活動(dòng)的操作權(quán)限，嚴(yán)格實(shí)施人員權(quán)限管理;

（五）未根據(jù)應(yīng)對數(shù)據(jù)安全事件的需要，制定應(yīng)急預(yù)案，并開展應(yīng)急演練;

（六）未定期對從業(yè)人員開展數(shù)據(jù)安全教育和培訓(xùn); 

（七）未開展數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測，及時(shí)排查安全隱患，采取必要的措施防范數(shù)據(jù)安全風(fēng)險(xiǎn);

（八）發(fā)現(xiàn)可能造成較大及以上數(shù)據(jù)安全事件的風(fēng)險(xiǎn)后，未按照風(fēng)險(xiǎn)信息報(bào)送與共享工作機(jī)制向所在地行業(yè)監(jiān)管部門報(bào)告并及時(shí)處置;

（九）數(shù)據(jù)安全事件發(fā)生后，未按照應(yīng)急預(yù)案開展應(yīng)急處置;

（十） 數(shù)據(jù)安全事件發(fā)生后，未按照規(guī)定向所在地行業(yè)監(jiān)管部門報(bào)告;

（十一） 數(shù)據(jù)安全事件發(fā)生后，未按照規(guī)定及時(shí)告知用戶，并提供減輕危害措施;

（十二）未在數(shù)據(jù)全生命周期處理過程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時(shí)間少于六個(gè)月;

（十三）工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未建立覆蓋本單位相關(guān)部門的數(shù)據(jù)安全工作體系，未明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，未建立常態(tài)化溝通與協(xié)作機(jī)制;

（十四）工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，未要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書;

（十五）工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未建立數(shù)據(jù)內(nèi)部登記、審批等工作機(jī)制，未對重要數(shù)據(jù)和核心數(shù)據(jù)的處理活動(dòng)進(jìn)行嚴(yán)格管理并留存記錄;

（十六）工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未按照有關(guān)規(guī)定做好重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案管理; 

（十七）涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件，未第一時(shí)間向所在地行業(yè)監(jiān)管部門報(bào)告，事件處置完成后未在規(guī)定期限內(nèi)形成總結(jié)報(bào)告，每年未向本地區(qū)行業(yè)監(jiān)管部門報(bào)告數(shù)據(jù)安全事件處置情況;

（十八）工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者未按照規(guī)定對其數(shù)據(jù)處理活動(dòng)每年至少開展一次風(fēng)險(xiǎn)評估，及時(shí)整改風(fēng)險(xiǎn)問題，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告;

（十九）工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者報(bào)送的風(fēng)險(xiǎn)評估報(bào)告未包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對措施等;

（二十）對于核心數(shù)據(jù)跨主體提供、轉(zhuǎn)移、委托處理，未按照有關(guān)規(guī)定進(jìn)行評估、保護(hù)、報(bào)批等;

（二十一）其他不履行數(shù)據(jù)安全保護(hù)義務(wù)的。

>> 加強(qiáng)數(shù)據(jù)安全內(nèi)部防護(hù)

1、對數(shù)據(jù)進(jìn)行分類分級，梳理數(shù)據(jù)資產(chǎn)，了解企業(yè)中有哪些機(jī)密數(shù)據(jù)，并且按照保密等級進(jìn)行分類，嚴(yán)格把控?cái)?shù)據(jù)使用權(quán)限。

2、對企業(yè)內(nèi)部所有重要數(shù)據(jù)進(jìn)行強(qiáng)制、主動(dòng)加密，保證數(shù)據(jù)全生命周期都在加密狀態(tài)下得到保護(hù)，防止數(shù)據(jù)被非正常獲取與使用。

3、對外發(fā)數(shù)據(jù)進(jìn)行嚴(yán)格管控，經(jīng)過相關(guān)領(lǐng)導(dǎo)審批后內(nèi)部文件才能擺脫密文狀態(tài)，進(jìn)行查看和編輯。防止內(nèi)部員工進(jìn)行有意或無意的機(jī)密文件發(fā)送，避免數(shù)據(jù)外泄。

4、對外提供的文件打上水印，記錄操作人員信息，在安全事故發(fā)生后第一時(shí)間鎖定泄密源頭，啟動(dòng)應(yīng)急措施。

>> 完善數(shù)據(jù)安全管理制度

1、根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等相關(guān)規(guī)定，對數(shù)據(jù)進(jìn)行分類分級，梳理數(shù)據(jù)資產(chǎn)，按照“最小必要”原則收集數(shù)據(jù)，遵循合法、正當(dāng)、必要原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍。

2、對于第三方或者聘用人員，在協(xié)議中應(yīng)當(dāng)清楚載明相關(guān)的數(shù)據(jù)安全要求，包括但不限于在合作中需遵循的合規(guī)、內(nèi)控及風(fēng)險(xiǎn)管理要求，服務(wù)質(zhì)量考核評價(jià)，安全保密等內(nèi)容；

3、對數(shù)據(jù)交互過程進(jìn)行持續(xù)監(jiān)控，制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施，盡可能降低過程中的網(wǎng)絡(luò)和信息安全風(fēng)險(xiǎn)；

4、建立數(shù)據(jù)安全事件應(yīng)急處理機(jī)制，并定期進(jìn)行事故處置演練。開展員工數(shù)據(jù)安全意識培訓(xùn)，了解最新的數(shù)據(jù)安全國家政策和行業(yè)規(guī)范，強(qiáng)化員工數(shù)據(jù)安全意識，明確數(shù)據(jù)泄密后企業(yè)和個(gè)人將會(huì)承擔(dān)的法律后果。

當(dāng)前，還是有不少企業(yè)或組織對于數(shù)據(jù)安全的認(rèn)知和重視性不足，投入較少，存在僥幸心理。在執(zhí)法趨嚴(yán)的形勢下，各企業(yè)或組織還需盡快查缺補(bǔ)漏、落實(shí)數(shù)據(jù)保護(hù)義務(wù)，防止重大數(shù)據(jù)安全事件發(fā)生，避免遭受處罰。