前言
前段时间帮某大厂做生态链的安全检查,业内一专业人士问,你们这个检查的依据是什么?我答是网络安全法和数据安全法。他又问,那数据安全法说了什么内容?需要检查什么?不执行又有什么后果呢?
我有点答不上来。于是只把记忆中的东西说了,数据要分类分级啊,数据跨境传输需要做评估和审核等。
为了后面遇到这类问题能说服对方,自己做事也能有依据,我把数据安全法又搬出来读了读。
数据安全不仅是技术问题,更是战略问题,涉及到国家的整体利益,需要具体的治理措施,比如指定数据安全标准、建立监测和响应机制、加强数据访问控制和权限管理以及定期进行安全审计和培训等。
关注点
可以关注这几点:
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。解读:要求企业建立数据安全管理制度,开展教育培训,如果利用互联性开展信息处理活动,需要做等级保护。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。解读:这条其实也就是要我们做好日常的安全防护,该做基线加固就加固,漏扫也要做(不然怎么发现的漏洞呢?),一旦被上级主管部门通报了就要及时修复漏洞,发现安全事件有应急响应机制。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。解读:下面是一些重要数据的举例:
国家秘密:涉及国家安全和利益的信息。
关键信息基础设施数据:如能源、交通、金融等领域的重要数据。
经济数据:包括重大经济活动或商业机密的信息。
社会管理数据:涉及公共安全、医疗、教育等领域的重要信息。
有这些数据的处理者,要求定期开展风险评估,并向有关主管部门报送风险评估报告。
除了上面这些我认为和一般企业相关的点,我还总结了下面的几点内容:
下面做了一些要点的罗列:
1. 数据安全原则
合法性、公正性和必要性:数据的收集和处理必须遵循法律规定,符合公正的商业道德,并且仅限于实现特定目的所需的数据。
2. 数据分类与分级保护
分类管理:数据根据其重要性和敏感性分为不同类别,实施不同级别的保护措施。
分级保护:不同等级的数据需要采取相应的技术和管理措施,以降低数据泄露、损毁的风险。
3. 数据处理活动的安全管理
安全责任:企业和组织必须建立数据安全管理制度,落实安全责任,包括制定数据安全政策、开展安全培训等。
评估与监测:定期对数据处理活动进行安全评估和风险监测。
4. 数据跨境传输
安全审查:数据出境前需进行安全审查,确保在目的地国家也能得到适当保护。
5. 个人信息保护
数据主体权利:个人有权查询、修改和删除自己的数据,企业需尊重和保护个人隐私。
6. 法律责任
行政处罚:对于违反数据安全规定的行为,可能面临警告、罚款或责令改正。
刑事责任:严重违法行为可能涉及刑事责任,追究相关人员的法律责任。
7. 监督管理
政府机构职责:相关政府部门负责对数据安全的监督管理,并有权对企业和组织进行检查。