随着《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全保护法》和《中华人民共和国个人信息保护法》等相关法律法规的颁布实施以及配套相关标准规范的落地执行,数据安全保护开始成为网络安全工作和监管的重点。
一、数据安全保护工作前提
数据安全保护的重心是对核心和重要的数据进行安全保护。运营者首先应全面的梳理组织数据资产清单,识别出核心和重要的数据,并依据相关政策标准对数据进行分类分级。关键信息基础设施的运营者,还应该通过对关键信息基础设施的关键业务流进行分析,识别出关键信息基础设施的关键数据资产。
运营者可以参考《网络安全标准实践指南网络数据分类分级指引》和行业数据安全分类分级标准对数据进行分类分级。数据分类方面,可以从公民个人维度、公共管理维度、信息传播维度、组织经营维度、行业领域维度进行数据分类。数据分级方面,可以从数据受到破坏后对国家安全、社会秩序和公众利益、个人隐私、组织及其它法人造成的侵害程度来进行分级,可以分为一般数据、重要数据和核心数据。
二、数据安全保护工作重心
合规要求、业务需求和数据安全面临的风险是指导数据安全保护的最主要安全需求。
目前我国《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》均对数据安全提出了保护要求,同时运营者还应根据其组织的业务特点梳理各自需要满足的安全政策和行业标准。如涉及数据出境的组织还应满足《数据出境安全评估办法》的要求。
对于业务需求和数据安全风险来说,需要运营者根据实际情况进行分析和梳理,通过业务流程分析、威胁建模和风险评估等方法分析组织面临的数据安全威胁和风险,例如敏感数据在不安全的环境传输或存储,就会存在安全风险,需要对其进行识别。
基于合规要求、业务需求和数据安全风险,组织提炼出数据安全需求,参考DSMM模型和行业最佳实践等,建立贴合组织现状的数据安全保护策略,构建数据安全保障架构,指导数据安全保护工作的开展。
三、数据安全保护工作基础
数据安全保护的基础是对数据承载环境的安全保护。因此运营者应依据网络安全等级保护政策和标准要求开展安全建设工作,保证等级保护对象满足相应等级的安全要求。关键信息基础设施运营者还应在等级保护工作基础上开展关键信息基础设施安全保护工作(简称关基保护)。
网络安全等级保护基本要求和关键信息基础设施安全保护要求也对数据安全提出了相关保护要求。等级保护基本要求强调了对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息的保护,包括基于安全策略的访问控制要求,传输和存储的保密性要求和完整性要求,以及重要数据备份和恢复的要求,并对个人信息保护进一步强调了收集限制和禁止非授权访问等。关键信息基础设施安全保护要求中,也在分析识别、安全防护等方面对数据提出了安全保护要求。