• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      數據安全治理的參考框架

      2021-11-13 23:49:51中國信息通信研究院
      檢察風云 2021年17期
      關鍵詞:安全法數據安全生命周期

      中國信息通信研究院

      2021年6月《中華人民共和國數據安全法》(以下簡稱“《數據安全法》”)正式頒布,標志著我國數據安全進入有法可依、依法建設的新發(fā)展階段?!稊祿踩ā访鞔_提出在堅持總體國家安全觀基礎上,建立健全數據安全治理體系,提高數據安全保障能力。

      由于數據本身具有流動性、多樣性、可復制性等不同于傳統(tǒng)生產要素的特性,數據安全風險在數字經濟時代被不斷放大,因此,對數據安全治理的要求也越來越高。如何協(xié)調政府、行業(yè)、企業(yè)、個人等多元主體,形成協(xié)同共治機制?如何平衡數據開發(fā)利用和數據安全保護,實現(xiàn)發(fā)展與安全的齊頭并進?這些都是當前數據安全治理面臨的重要問題。

      數據安全治理概念內涵

      隨著數據作為生產要素的重要性凸顯,數據安全的地位不斷提升,尤其隨著《數據安全法》的正式頒布,數據安全在國家安全體系中的重要地位得到了進一步明確。發(fā)展數字經濟、加快培育發(fā)展數據要素市場,必須把保障數據安全放在突出位置。這就要求我們著力解決數據安全領域的突出問題,有效提升數據安全治理能力。

      為指導行業(yè)數據安全治理能力建設,促進行業(yè)數據安全治理能力發(fā)展,中國互聯(lián)網協(xié)會發(fā)布團體標準T/ISC-0011-2021《數據安全治理能力評估方法》,為不斷提升數據安全治理能力提供標準依據。以上述標準為基礎,梳理數據安全治理概念內涵,應該從廣義和狹義兩個角度進行理解。

      廣義地說,數據安全治理是在國家數據安全戰(zhàn)略的指導下,為形成全社會共同維護數據安全和促進發(fā)展的良好環(huán)境,國家有關部門、行業(yè)組織、科研機構、企業(yè)、個人共同參與和實施的一系列活動集合。包括完善相關政策法規(guī),推動政策法規(guī)落地,建設與實施標準體系,研發(fā)并應用關鍵技術,培養(yǎng)專業(yè)人才等。

      狹義地說,數據安全治理是指在組織數據安全戰(zhàn)略的指導下,為確保數據處于有效保護和合法利用的狀態(tài),多個部門協(xié)作實施的一系列活動集合。包括建立組織數據安全治理團隊,制定數據安全相關制度規(guī)范,構建數據安全技術體系,建設數據安全人才梯隊等。它以保障數據安全、促進開發(fā)利用為原則,圍繞數據全生命周期構建相應安全體系,需要組織內部多利益相關方統(tǒng)一共識,協(xié)同工作,平衡數據安全與發(fā)展。

      無論是廣義還是狹義的數據安全治理,都可以從三個方面進行闡釋。首先,以數據為中心。數據的高效開發(fā)和利用,涵蓋了數據的采集、傳輸、存儲、使用、共享、銷毀等全生命周期的各個環(huán)節(jié),由于不同環(huán)節(jié)的特性不同,面臨的數據安全威脅與風險也大相徑庭。因此,必須構建以數據為中心的數據安全治理體系,根據具體的業(yè)務場景和各生命周期環(huán)節(jié),有針對性地識別并解決其中存在的數據安全問題,防范數據安全風險。

      其次,多元化主體共同參與。無論是從廣義還是狹義的角度出發(fā),數據安全治理不是僅僅依靠一方力量可以開展的工作。對國家和社會而言,面對數據安全領域的諸多挑戰(zhàn),政府、企業(yè)、行業(yè)組織甚至個人都需要發(fā)揮各自優(yōu)勢,緊密配合,承擔數據安全治理主體責任,共同營造適應數字經濟時代要求的協(xié)同治理模式。這也與《數據安全法》中強調建立各方共同參與的工作機制相一致。對組織機構而言,數據安全治理需要從組織戰(zhàn)略層面出發(fā),協(xié)調管理層、執(zhí)行層等各相關方,打通不同部門之間的溝通障礙,統(tǒng)一內部數據安全共識,實現(xiàn)數據安全防護建設一盤棋。因此,數據安全治理必然是涉及多元化主體共同參與的工作。

      最后,兼顧發(fā)展與安全。隨著國內數字化建設的快速推進,無論是政府部門,還是其他組織均沉淀了大量的數據。數字經濟時代的應用場景下,數據只有在流動中才能充分發(fā)揮其價值,而數據流動又必須以保障數據安全為前提,因此,必須要辯證的看待數據安全治理。正如《數據安全法》提出的“堅持以數據開發(fā)利用和產業(yè)發(fā)展促進數據安全,同時也要以數據安全保障數據開發(fā)利用和產業(yè)發(fā)展?!睌祿踩卫聿皇菑娬{數據的絕對安全,而是需要兼顧發(fā)展與安全的平衡。

      數據安全治理參考框架?

      參考框架是組織數據安全治理所需的體系化結構,依據團體標準T/ISC-0011-2021《數據安全治理能力評估方法》,其包括數據安全戰(zhàn)略、數據全生命周期安全、基礎安全三部分。

      數據安全戰(zhàn)略。在組織啟動數據安全治理工作前,必須制定相應的戰(zhàn)略規(guī)劃,明確治理目標和具體任務,匹配對應的資源,使得治理工作能夠有條不紊地展開。數據安全戰(zhàn)略可以從數據安全規(guī)劃、機構人員管理兩方面入手,前者確立目標任務,后者組建治理團隊。數據安全規(guī)劃是指結合組織業(yè)務發(fā)展需要,對當前面臨的數據安全風險現(xiàn)狀進行梳理,并制定組織整體的發(fā)展規(guī)劃。機構人員管理是指建立負責組織數據安全治理的團隊及人員,并通過在人員入職、轉崗、離職等環(huán)節(jié)設置安全控制措施,防范由人員本身帶來的數據安全風險。

      數據全生命周期安全。數據安全治理應圍繞數據全生命周期展開,以采集、傳輸、存儲、使用、共享、銷毀各個環(huán)節(jié)為切入點,設置相應的管控點和管理流程,以便于在不同的業(yè)務場景中進行組合復用。數據全生命周期安全包括數據采集安全、數據傳輸安全等九項內容。數據采集安全是指為確保在組織系統(tǒng)中生成新數據,或者從外部收集數據過程的合法、合規(guī)及安全性,而采取的一系列措施。數據傳輸安全是指為防止傳輸過程中的數據泄漏,而采取的一系列數據加密保護策略和安全防護措施。存儲安全是指為確保存儲介質上的數據安全性,而采取的一系列措施。數據備份與恢復是指通過規(guī)范數據存儲的冗余管理工作機制,保障數據的高可用性。使用安全是指為保障在組織內部對數據進行計算、分析、可視化等操作過程的安全性,而采取的一些列措施。數據處理環(huán)境安全是指為確保組織的數據處理系統(tǒng)、終端、平臺等環(huán)境的安全性,而采取的一系列措施。數據內部共享安全是指為確保組織內部之間的數據交互過程安全,而采取的一系列措施。數據外部共享安全是指為確保不同組織之間的數據交互過程安全,而采取的一系列措施。數據銷毀安全是指通過對數據及其存儲介質實施相應的操作手段,使得數據徹底消除且無法通過任何手段恢復。

      基礎安全?;A安全能力作為數據全生命周期安全能力建設的基本支撐,可以在多個生命周期環(huán)節(jié)內復用,是整個數據安全治理體系建設的通用要求,能夠實現(xiàn)建設資源的有效整合?;A安全能力包括數據分類分級在內的七項內容。數據分類分級是指根據法律法規(guī)以及業(yè)務需求,明確組織內部的數據分類分級原則及方法,并對數據進行分類分級標識,以實現(xiàn)差異化的數據安全管理。合規(guī)管理是指根據組織內部的業(yè)務需求和業(yè)務開展場景,明確相關法律法規(guī)要求,通過制定管理措施降低組織面臨的合規(guī)風險。合作方管理是指通過建立組織的合作方管理機制,防范組織對外合作中的數據安全風險。監(jiān)控審計是指通過建立監(jiān)控及審計的工作機制,有效防范不正當的數據訪問和操作行為,降低數據全生命周期未授權訪問、數據濫用、數據泄漏等安全風險。鑒別與訪問,顧名思義,即用戶身份鑒別與訪問控制管理,是組織實現(xiàn)數據安全保障的關鍵環(huán)節(jié)。

      數據安全治理未來展望

      數據應用場景和參與主體的日益多樣化,使得數據安全的外延不斷擴展。未來數據安全治理將走向何方?

      國家層面,《數據安全法》作為數據安全領域的上位法,將數據安全上升到了國家安全層面。作為綱領性法律,《數據安全法》明確了數據、數據權力、數據安全的范疇,厘清了數據安全防護主體責任,規(guī)范了國家行政主管部門、企業(yè)、個人的職責與權力。后續(xù)各部門、各行業(yè)、各領域將推進《數據安全法》配套制度、措施、規(guī)范和標準的構建,推動《數據安全法》的全面落地。行業(yè)層面,通過持續(xù)跟進技術及行業(yè)應用研究,加速構建更加完善的數據安全治理標準體系;并依據相關標準,面向企業(yè)推出權威、專業(yè)的第三方咨詢及評估評測服務,大力推廣數據安全治理最佳實踐,提升行業(yè)數據安全治理水平。同時,推動建立健全數據安全人才培養(yǎng)機制,儲備人才資源。企業(yè)層面,積極探索數據溯源、隱私計算等技術的發(fā)展動態(tài),夯實數據安全治理能力底座,推動數據安全治理落地實踐。同時,積極參與標準編寫,貢獻優(yōu)秀實踐,并結合第三方咨詢與評估評測工作,完善企業(yè)內部數據安全治理體系建設。

      考慮到數據安全治理在以上三個層面的發(fā)展,未來一段時間內,數據安全治理將圍繞以下兩個核心展開。一是促進數據安全治理實踐的“行業(yè)化”和“場景化”。二是探索數據安全治理從“離散”到“體系”的演進路線。

      編輯:張程? 3567672799@qq.com

      猜你喜歡
      安全法數據安全生命周期
      動物的生命周期
      全生命周期下呼吸機質量控制
      《道路交通安全法》修改公開征求意見
      商用汽車(2021年4期)2021-10-17 02:04:15
      從生命周期視角看并購保險
      中國外匯(2019年13期)2019-10-10 03:37:46
      云計算中基于用戶隱私的數據安全保護方法
      電子制作(2019年14期)2019-08-20 05:43:42
      民用飛機全生命周期KPI的研究與應用
      建立激勵相容機制保護數據安全
      當代貴州(2018年21期)2018-08-29 00:47:20
      大數據云計算環(huán)境下的數據安全
      電子制作(2017年20期)2017-04-26 06:57:48
      大數據安全搜索與共享
      日本修訂勞動衛(wèi)生安全法(ISHL)
      常州市| 沙雅县| 翁源县| 乐亭县| 保亭| 广宗县| 宁德市| 赤峰市| 凤山县| 临湘市| 玉溪市| 福鼎市| 扎囊县| 大化| 大兴区| 留坝县| 榕江县| 陵水| 霍林郭勒市| 黎川县| 天台县| 金门县| 都江堰市| 裕民县| 康定县| 九江市| 平远县| 乡城县| 泾阳县| 湟源县| 息烽县| 潼南县| 红河县| 盐津县| 曲靖市| 高要市| 湘阴县| 修水县| 云和县| 南华县| 东海县|