文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

合规视角下的全生命周期数据安全治理

2024-12-03 03:35

关注

如何做好数据全生命周期管理,一直是一个头疼的课题。本文将对“数安法(草案)二次审议稿”中涉及企业数据全生命周期管理的合规要求进行简要分析。

法规背景

“数安法(草案)二次审议稿”一共七章五十一条,其中“总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节则围绕“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”四个方面提出工作要求。

数据全生命周期安全合规要求

(1) 制度建立

建立健全全流程数据安全管理制度,落实数据安全保护责任,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施保障数据安全。

(2) 风险监测

对数据处理活动中出现的缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件要按规定上报。

(3) 风险评估

对数据处理活动定期开展风险评估并上报风评报告。

(4) 收集使用

任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

(5) 数据交易

数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。

(6) 存储加工

委托他人存储、加工或提供政务数据,要先审批,并做好监督。

(7) 配合调查

要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,须先审核。

(8) 审批与监督

委托他人建设、维护系统,或涉及存储、加工数据,应当经过严格的批准程序,并监督受托方、数据接收方履行相应的数据安全保护义务。

以上八个方向作为数安法对企业落实数据安全生命周期管控的基本要求。

数据全生命周期安全实施建议

数据全生命周期涵盖收集、传输、存储、处理、共享、销毁共六个阶段,针对数据全生命周期的安全管理也是企业开展数据安全管理的核心和难点工作。

(1) 数据采集:

数据采集规范中要明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容,并对数据来源进行源鉴别和记录。制定明确的采集策略,只采集经过授权的数据并进行日志记录。对数据采集过程中的风险项进行定义,形成数据采集风险评估规范。数据采集全过程需要符合相关法律法规和监管要求,做到合规合法的采集。

(2) 数据传输:

做好传输接口管控和监测。建议对涉敏数据进行加密传输,主要用到的是对称加密算法和非对称加密算法,推荐的对称加密算法如:DES、IDEA、AES、SM1(国密算法),非对称加密算法如:RSA、ECC、SM2(国密算法)。

(3) 数据存储:

重要数据境内存储,做好存储介质管理,建立数据存储备份机制,并定期开展备份恢复演练。

(4) 数据处理:

严格遵循数据处理最小化、必要原则,明确数据的处理和使用规范,确保员工只能访问职责所需的最少够用的敏感数据。对数据进行操作时,应做好去标识化处理,明确数据脱敏的业务场景和统一使用适合的脱敏技术。

(5) 数据共享:

一是建立数据共享规范,共享前应进行严格的审批并存档,同时开展个人信息安全影响评估;二是共享前开展风险评估(记录留存3年),与共享的接口调用方签订合作协议;三是开展共享监测和审计,数据导入导出应进行严格的审批和监控,建立数据交换和共享审核流程和监管平台,以确保数据对于数据共享的所有操作和行为进行日志记录,并对高危行为进行风险识别和管控。

(6) 数据销毁:

应建立数据销毁机制,明确存储介质删除方法,数据销毁需由领导审批,同时采用可靠的技术手段,确保被删除和销毁的用户个人电子信息不能被再次还原。针对不同的存储介质和设备有其不可逆的销毁技术及流程,建立销毁监察机制,严防数据销毁阶段可能出现的数据泄露问题。

数据销毁包含物理层面和逻辑层面的销毁,按照处理成本、复杂性和安全性由低到高的顺序,将数据销毁方式分为三个级别:

在对数据全生命周期监管的同时,为了对数据实现监控和审计,数据分级分类必不可少。在数据分级分类之前,需要通过数据测绘来发现敏感数据,以及数据主要存储的位置。对数据进行结构化分级分类分级,实现对数据资产安全进行敏感分级管理,并依据各级别部署相对应的数据安全策略,以保障数据资产全生命周期过程中,数据的保密性、完整性、真实性和可用性。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

来源:51CTO专栏内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯