首页> 技术观点 > 数据安全领域再添国家标准!一文读懂《重要数据处理安全要求》

数据安全领域再添国家标准!一文读懂《重要数据处理安全要求》

发布时间:2023-09-21
近日,为进一步落实《数据安全法》、《网络安全法》、《网络数据安全管理条例(征求意见稿)》中关于重要数据的相关要求,全国信息安全标准化技术委员会发布国家标准计划《信息安全技术 重要数据处理安全要求》(以下简称《要求》)。
《要求》拟给出重要数据收集、存储、使用、传输、共享、销毁等处理过程中的安全要求,为数据处理者合法、正当,以及安全地处理其掌握的重要数据提供技术支撑。
为帮助各位深度理解《要求》,小编邀请爱加密网络安全专家韩云老师对该国标进行解读。

适用范围

《要求》适用于数据处理者对重要数据开展处理活动,也可供监管部门、评估机构或其他有关组织对重要数据处理活动实施安全监管、评估等活动时参考。

关键术语

“重要数据”一词最早见于《中华人民共和国网络安全法》,2021年颁布的《中华人民共和国数据安全法》中首次对“重要数据”进行明确定义,目前有5大法规及国家标准中对“重要数据”给出了明确定义,详细内容见下图,浅蓝色背景部分为《要求》中的定义。

《要求》沿用了《信息安全技术 网络数据分类分级要求》中的定义,将《网络数据安全管理条例》定义中的“公共利益”细化为“经济运行、社会稳定、公共健康和安全”。

要点总结

1.如果说《数据安全法》中数据安全是总集的话,那《要求》就是《数据安全法》的一个支撑点,其强调了重要数据同普通数据的差异性及特殊性。沿用了《数据安全法》及其他标准的数据全生命周期的概念,从整体角度强调了处理重要数据的特殊性。
2.遵从了网络安全等级保护(2019版)第三级的安全要求,首次把云平台安全和系统安全分开。
3.针对重要数据处理者提出技术方面安全要求,提及了重要数据的来源、识别、分级分类、数据目录、访问、评估等内容。
4.针对重要数据处理者提出管理方面安全要求,涉及机构、人员、制度、保密、供应链、应急措施、审计、监督管理等方面。

主要内容

《要求》从设施安全、数据处理活动安全、运行管理安全等三个方面说明了重要数据处理的要求。

一、数据安全

1.1系统安全:处理重要数据的系统应符合GB/T 22239—2019第三级安全要求,并通过网络安全等级保护三级(含)以上测评。
1.2云计算服务平台安全:使用社会化云计算服务平台处理重要数据前应进行风险评估,论证必要性、评估安全可信性及平台的安全状况。定期对云计算服务平台进行安全评估。发现不可接受的安全风险时,应停止使用其处理重要数据。
二、数据处理活动的安全
本板块包括系统和云平台两个角度,《要求》从数据全生命周期(收集、存储、使用、加工、传输、提供、公开和删除)提出整体要求。
2.1 收集:明确数据来源、 分类分级制度、识别重要数据、数据目录,强调合法性、参考法规并需要及时更新。
2.2 存储:细化存储保护、存储位置、存储期限、备份与恢复要求。
2.3使用与加工:强调重要数据在访问控制、评估与审批、保密审查的要求。
2.4 传输与提供:涵盖重要数据流动过程中需要遵守的8大要点,即法律文件、评估与审批、传输保护、交易、接收方义务、向境外提供、委托处理。
2.5公开:需要制定管理制度、技术措施等要求。定期更新和评估已公开的重要数据,对不宜公开或超期数据召回或销毁。
2.6删除:明确了重要数据的数据删除、介质销毁详细步骤与要求。
三、运行与管理安全
《要求》更加注重管理方面的要求,从体系化角度对组织与人员、数据治理设施、供应链管理、应急响应、审计、风险评估、配合监督管理提出了极为全面的安全要求。

目的与意义

提供实践指南:本标准拟给出重要数据收集、存储、使用、传输、共享、销毁等处理过程中的安全要求,为数据处理者、重要数据监管者、测评人员提供了实践指南。

助力法规落地:与《重要数据识别规则》等标准规范构成其重要的技术基础,有助于数据安全监管法律法规的落地实施。

便于数据流动及利用:明确了数据处理者处理重要数据的安全要求,有助于数据交易、出境安全评估、安全审查等制度的科学且有效实施,从而便利数据跨境流动和开发利用、促进国际贸易发展,有利于经济发展与国际合作。

爱加密专注于数据安全的合规治理,可提供数据安全分类分级系统、数据出境合规治理平台、API监测平台、全域数据流动监测平台等数据安全产品,并将优质技术与业务场景相结合,为企业数据安全合法合规提供解决方案与技术保障。

1.爱加密数据安全分类分级系统,该平台是一款面向企业数据发掘并进行自动化数据分级分类分析的产品 。平台对海量的数据资产自动化分类分级,在零业务打扰的情况下于扫描的同时完成对数据资产的自动化标识。

可参考国标、行标、企业特点,协同制定企业分类分级标准,定义元数据打标的表级别标签 、字段级别标签,根据映射关系咨询访谈,形成映射表,提取合并各个数据标签的识别规则。最终借助工具沉淀各数据标签识别规则,配合机器学习提升识别效率。

平台支持多种数据库类型,并可快速水平扩展,通过服务扫描、资产扫描,形成表级/字段级的数据资产底账,分级工作基于资产底账开展。

通过人工逐个字段进行标记效率低下,专家在运营过程中需要不断将标签沉淀为自动化的策略,保障数据分类分级持续有效 。平台可以进行多元素、多条件自由组合,发挥策略打标优势,应对复杂业务数据。

2.爱加密数据出境合规治理平台,该平台是以敏感数据出境为核心,帮助企业持续有序地治理出境业务,提供数据出境评估和监测能力,规范数据出境活动以满足合规监管要求的产品。

可对应用系统、FTP服务、Web邮件等进行识别,并自动识别数据资产类型、出境类型、出境地区、出境数据范围等。且拥有持续监测能力

产品遵循事前评估、事中监测、事后留档的治理思路,事前对出境资产进行合规风险评估,事中对出境行为变化进行实时监测并将风险事件纳入处置中心,事后可依据实际情况决定是否采纳治理或再次进行评估,生成报告会存档以便后期进行对比分析和整改。

爱加密作为国内知名的移动信息安全综合服务提供商,将持续加强技术创新与研究,持续关注数据安全领域监管要求与企业痛点。从法律、技术、规则等角度继续提升数据流动治理能力,帮助企业有效防范化解风险,为数字经济高质量发展保驾护航。

加入收藏