全面解读数据安全法规.docx

上传人:夺命阿水 文档编号:1477362 上传时间:2024-06-29 格式:DOCX 页数:12 大小:83.60KB
返回 下载 相关 举报
全面解读数据安全法规.docx_第1页
第1页 / 共12页
全面解读数据安全法规.docx_第2页
第2页 / 共12页
全面解读数据安全法规.docx_第3页
第3页 / 共12页
全面解读数据安全法规.docx_第4页
第4页 / 共12页
全面解读数据安全法规.docx_第5页
第5页 / 共12页
点击查看更多>>
资源描述

《全面解读数据安全法规.docx》由会员分享,可在线阅读,更多相关《全面解读数据安全法规.docx(12页珍藏版)》请在课桌文档上搜索。

1、2) .商业数据针对商业数据这块,可概括分为:公共数据、平台数据与企业数据,企业数据企业数据,指企业业务系统中的数据.与平台数据关系上,一般来说企业有的数据,平台理论上都有。当然,不排除有些企业不嘿公开给平台的数据,通过加密方式传送,导致平台没有,而企业有.平台数据一个平台上会有多个企业,比如金融行业,贷款超市上的每个借贷产品,交通出行行业.聚合打车平台上面有多个打车企业的产品。公共数据公共数据涌1的范围最广,当然,也会有部分数据.由于企业或平台不愿公开,而无法成为公共数据。3) .理解要点如何理解个人数据与企业数据的交叉?个人行为数据这块,既属于个人数据,又属于商业数据,为个人与企业共有。如

2、企业或平台需使用(产生此数据的企业或平台),需征得个人的授权同意:如第三方企业或平台需使用,则需征得产生此数据的企业或平行以及个人双方/三方的授权同意。今如何理解市要数据和核心数据”?在图中标注的座要数据和核心数据,是在数据安全法规中提到的.这两类数据,和之前的分类并不在一个维度.重要数据,是指个人数据(除个人阳私外的部分)与企业、平台乃至公共数据的结合,通过大量数据的汇聚、关联、映射而产生数据价值及增值。例从业务角度出发,梳理哪些元数据璃于哪个业务范崎,也就是类别。这个业务他防囊括的范用Uf大可小,完全依托干企业前期基于业务的梳理结果0做数据分类并不是业务越细分越好,大部分细分之后的数据均具

3、有多里属性,会导致数据的多理划分,这是典型分类失败的体现.反之,如果分类过于粗犷,对于企业的指导意义也明显下降,找到分类颗粒度的平衡点,这很理要,数掳分镒不同于数据分类,对于大多数企业来说,更多是从满足监管要求的角度出发。数据分线属户数据安全领域,或许称其为敏感等级更为贴切。企业中的数据密级程度有的高、有的低、有的可公开、有的不可公开,敏感等级不同的数据对内使用时受到的保护策略不同,对外共享开放的程度也不同.如果企业对自Cl内部的数据没有一个明确的认识,公为企业的运营带来严坦的想患.2 ).分类分级实Bb电信下面以电信企业为例,说明如何诳行依据分类分级。数据分类分级原则安全性原则:从利于数据安

4、全管控的角度时数据进行分类分级.稳定性原则:分类分般设黄在相当长个时期内是稳定的,对冬类数据涵盖广,包容性强,可执行原则:为保障数据分类分级后续的可操作性,数据分类分级应贴近企业实际运营情况,不应过于红杂或过于粗犷,企业的安全防护要求均应在此分类分级基础上进行展开.时效性原则:数据的级别会依据相关要求进行动态变化和更新,企业应预留-定的管理和技术储备,以便应对数据级别变化产生的影响,令数据分级方法在数据分类基础匕根据基咄电信企业数据苴要程度以及泄露后前国家安全、社公秩序、企业经营管理和公众利益造成的影响和危击程度,对基础电信企业网络数据资源遂行分级.数据分级按照下图所示的步骤和方法进行,具体如

5、下.第二级数据:一旦丢失、泄正、俄募改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成一定程度影响的数据,执行绻本的安全管控.第一级数据:一旦丢失漕露、被改、被损毁对国家安全、社会公共利益或企业利益或用户利益造成影响较小或无影响的数据,对安全管控不作要求.3 .解读法规与标准1).多层次法规与标准随着对数据安全重视不断加强,国家/地区、行业出台一系列法律法规与标准引导数据安全建设。总体来说,可分为三个层面:法律、行政法规和国家或地方标准,如下图,2.行政法规在法律层面,国家陆续出台包括国家安全法、数据安全法、个人信息保护法、网络安全法及密码法等一系列法律来规范指导.卜图摘自安全厂商炼

6、石科技的对外公开资料。国家安全法PODSre体安金的本法If“CttM严格现Hsmefiir分绩分要的累风呛讦信配合,UfKfllIRat交黑中介R吗嫌釜发敏个人值息保护法202111m2miSHI个人S遂“化QII密码法BB三三rttt*W0用本飨化与的Ml网络安全市)侯应Cl安全我个人(!儿个人信权利应其中2015年施行的国家安全法第25条明确提出“实现网络和信息核心技术、关键基础设施和里要领域信息系统及数据的安全可控”在2017年施行的网络安全法将数据安全纳入网络安全范畴,网络安全等级保护制度、关犍信息基础设施保护制度、个人信息保护制度等为保障数据安全提供审要制慢支投.2021年实施的,

7、:数据安全法则全面黄彻落实总体国家安全观,确立国家数据安全工作体制机制,构建数据安全协同治理体系,明确预防,控制和消除数据安全风险的一系列制度、措施,提升国家整体数据安全保障能力。令行政法规各行业根据白身特点,出台系列带有行业属性的规范、指引等,粗略整理如下:行业JFVT0197-2020金电数据安全数据安全分级指南中国人民限行2020.9.23行业JR/T0223-2021金眩数据安全数据生合周期安全观范中国人民银行2021.4.8行业JFVT0171-2020个人金H信息保妒技术规愈中国人民银行2020.2.13行业JR0158.2018证券期货行业数寤分类分级指引中囹证券监督管理委员会2

8、018.9.27行业工业数据分关分级后席(M)工业桁信息化部办公厅2020.2.27行业YD/T3813-2020万础电信企业敢电分类分圾方法中Sl通信标港化协会2020.12.9行业工业和信息化领域散抵安全管理办法(试行)工业和信息化部2023.1.1行业中国银伊监会靖管数据安全管理办法(试行)银保监会2020.9.23行业交通运输政务政襦共享着理办法交通运输部2021.4.15行业国京医疗保建号关于加强网格安全和数据俣护工作的指导意见国家医疗保!局2021.4.6行业敦g部机关及直事业单位蚊日敢克管理办法B852018.1.22名称发布单位发布时间sta4国家或地方标准在标状方面出台一系列

9、国家或地方标准,粗略整理如下:名将发布,0发布时闾sGBZT35273-2020信卷安全技术个人信彩安全规息at三ssw三s国家标准化管理要奥金202036M家GBrr38667.2020信怠技术大敬鹿政榭分煲IX南段家市场粒督管理毋同望不标准化管理委2会2020.4.28S7G&T39725-2020傀包安全技术健事医疗敷现安全府席区京市场通告管理后XM家标港化It津委员会2020.12.14M事GR-T41773-2022信卷安全授术步多识捌12%安全要末X索市场目管理.勺星国事际准化省理安奥会2022.10.12*GB?Y41800-2022信息安全技术基因识别UJ8安全要求潭本市场业客

10、量康2WM不标准化詈理委员会2022.1012三*GB/T4180720Z2信&安全技术声馍设别15超安全要求三*i三iStf三.9里复标激化管理委员会2022.1012OE季GaT41817-2022值,安全接十个人僧,安仝InS值席AB床环环诔建9喝壁*标Jtt化管理委员会2022.10.12M京GBT41819-2022信包史仝技术人除0别敢找安全昼求SE*市场监第管理20国家标准化臂理委后金2022.1012GBT4187120Z2信包安全校木汽车|38处理安全要求M家壬踢位等置理总N军簟标腐化管理委员会2022.1012GRT420122022信,安仝技术即时通也圉务敢摄安仝求图家市

11、场IfitSIt理由SE家标准化管理委员会2022.10.12名粽发布重位三WW国家GB.T42013-2022信息安全技术快透物凝参务骰霜安全要求国夜市场Ifi督Ilt殍尊网国家历港化管理委员会2022.10.12OntGBZT42014.2022U息安全技术网上附物80务蚊索安仝要求国米市通监督管津纪N国京标准化胃理豆员会2022.10.12XGB-T42015-2022信息安仝技术网络支付BB芬蚊泰安仝要求国宝小埼匕备位居总焉国京行准化If理委员会2022.10.12*GB-T42016-2022(S患安全授为网培哥蝴彩苏12菇安全更农国求市场发*意注6同BI夜行准化管理安员会2022.

12、10.12OB-GB-T42017.2022信息安全授术网培预约汽写“将数5安全要求国东市场总普管理6同国求力港化管理要员会2022.10.12国家GB41479-20228息安全技术网络被器效殍安全要求中国阿塔安全市技术与认注中心中ES电子技术蛛准化研究K2022.11.1地方DB332351-2021数字化茂革公夬敢据分类分取Hi爱游江备市堵监督董律马2021.75缗方D852/T1123-2016改若蚊3S敢露分类分母搭:畲州杳居技本益W.Q2016928地方DB3301/T0322.3-2020数据渭源管理S3分:段若数况分柒分锻桃邦南市环监督管过局2020.10.31均方2).解读3

13、OB22OVT17-2020政务数重安全分柒分场店南GBA35273-2020(个人信息安全规范长岑市磨场监管理局202214下面以国家标准-个人信息安全规范为例,说明如何定义(分类分级)及约束数据及相关行为。引数据定义(分类分级)个人信息personalinformation个人信息是指以电子或者其他方式记录的能做单独或者与其他信息结合识别特定。自然人身份或者反映特定自然人活动情况的各种信息.如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。判定某项信息是否属于个人信息,应考虑

14、以卜两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人.个人信息应有助于识别出特定个人.二是关联,即从个人到信息.!已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。个人基本资料个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号询、电的附地等个人身份信息身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等个人生物识S监息个人基因、指纹、声纹、掌纹、耳麻、虹膜、面部识另胸等网络身份信息个人信息主体账号、IP地址、个人数字证书等个人W三i信息个人因生

15、痛医治等产生的相关记录,如痛症、住院志.医峥、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况家族病史、现病史、传颊史等,以及与个人身体健康状况相关的信息,如体ar身高、肺活量等个人教育工作信息个人职业、职位、工作单位、学历、学位、敢育经历、工作经历、培训记录、成绩单等个人财产信息银行账户、鉴别信息(口令)、丽信息(包括资金数量、支付收款记录等)、房产信息.信贷记录、征信信息、交易和消费记录、流水记录等,以及J魏货市、蝴交易、游戏类兑换码等蝴财产信息个人通信信息通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等联系人信息

16、通讯录、好友列敦群列孤电子邮件地址列表等个人上网记录指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等个人常用设备信息指包括硬件序列号、设备MAC地址、软件列表、唯TgSiR码(如IMEI/AndroidID/IDFA/OpenUDID/GUID/SIM卡IMSI信息指融内的描述个人常用设备疆本情况的信息个人位信息包括行踪轨迹、精准定位信息、住宿信息、经纬度等匐信息婚史、宗教信仰、性取向、未公开的违法犯罪记录等个人敏感信息personalsensitiveinformation个人敏感信息,是指一旦泄露、非法提供或滥用可能危古人身和财产安全,极易导致个人

17、名誉、身心健康受到损害或歧视性待遇等的个人信息,通常情况卜,14岁以N含)儿童的个人信息和涉及自然人隐私的信息属于个人微感信息.可从以下角度判定是否属于个人敏礴信息:- 溃寤:个人信息一旦漫露,将导致个人信总主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息如敢范围和用途的不可控.某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能时个人信息主体权益带来更大风险,应判定为个人敏掇信息。例如,个人信息主体的身份证发印件被他人用于手机号卡实名登记、银行账户开户办卡等。- 非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩放,即可对

18、个人信息主体权益带来瓯大风险,应判定为个人皱嬷信息,例如,性取向、存款信息、传染病史等。- 滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等).可俄对个人信息主体权益带来至大风险,应判定为个人敏感信息.例如I,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保初高低。个人财产信息银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信费记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息个人健康生理信息个人因生病医治等产生的相关记录,如病症、住院志、医IS单、检版报告、手术及麻醉记录

19、、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传谢史等个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识另触征等个人身份信息身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等其息性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等记J束行为数据分类使用范崎妁束要求个人信息数抿存储个人信息行健期限应为实现个人信息主体授权使用的目的所必需的最短时间,法馋法规另有规定或者个人信息主体另行授权同的除外;鼓卮捕毁超出上述个人信息存钻期跟后,应对个人信息进行热除成

20、国名化处理.数据使用收集个人信息后,个人信息控制者宜立即迸行去标识化处理,并采取技术如管理方面的措施,挎可用于恢震谀别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理.个人微等信息数搪传输传姐个人敢恁信息的,应采用加密等安全塔舱.数据存储存储个人敏近信息时,应枭用加空等安全搭56,密码技术时百道碧空码管理相关国家标准.个人生物识别信息应用个人身份信息分开存储.4.落地痛点分析及解法企业在数据安全域域落地,是存在一系列痛点与难点。这里主要来自两个方面:是对安全法规及标准的解读;二是如何结合企业白身情况,制定并落地数据安全改进。针对前者,通过上面一系列内容的解读,相信读者己对数据安全

21、法规及标准有了大致的认识,在具体操作上可遵循先法律法规、后标准规范,先国家行业、后区域地方的原则遂行解读,摸清企业数据应遵循的安全原则.很多安全或咨询公司,也提供此类安全咨询服务,格助企业做好政策解读.针对后者,则相对较为复杂,一方面需要摸清企业数据家底.方面福建立数据全生命周期安全规划,根据前面的解读,有针时性地采取系列安全改造措施。如下图是个人简单整理的数据生命周期的各阶段所涉及的主要安全能力,包括从数据识别、传输、存储、使用、销毁多环节.数据生成/收集数据传输数穿存铺数据使用数据销毁口重例口可占有信承影K(”:S9Sstoe般梅存儡(2Q)9ttKK口生虞堪走ItSttK蝴InKInS!

22、传输日苏布fti(me.根依)口佻附长数据2D密存O与计,安金审计mKlMtlK示m三SHB38安全审计上述安全能力在具体构建上,是需要有一系列技术支推才旄完成.受限于对数据安全认识不足,大部分企业并没有在早期就有这个意识去构建,因而存在边上马边改造,边摸索边实施的问题。这也是困扰很多企业数据安全工作的痛点。特别是针刻数据重要载体-数据库方面,企业存在多数据库栈林立、各产品安全能力各异、云与非云环境并存等痛点,无法建立统一的数据安全治理体系.通常的思路是在企业应用层去解决上述问题.但乂会对应用系统开发造成很大困扰,因而在数据库与应用之间构建这一能力成为“必然、针对这实践理念,个人有些实践,感兴趣的小伙伴可与我联系.

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号