《数据安全法》专业解读2

发布时间 2021-06-12

《数据安全法》的出台引起了社会各界的广泛热议和关注。这表明大家对数据安全保护有着迫切的需求。本文从数据处理者的角度出发,给出几点基础性的建议供参考。



明确行业监管职责


● 法律条款要求


《数据安全法》第六条规定:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。


● 专业解读


在数据安全保护工作中,行业主管部门需要发挥行业监管职责,加强本行业的数据安全保护工作。


● 合规建议


(一) 制定本行业的数据分类分级标准

(二) 完善行业数据安全保护标准

(三) 开展行业的数据安全风险评估

(四) 进行行业数据安全事件应急演练

(五) 进行行业数据安全攻防演练

(六) 开展行业数据安全培训教育

(七) 定期开展行业数据安全监督检查工作



 建立本单位数据安全管理制度和管理机构


● 法律条款要求


《数据安全法》第二十七条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。


重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。


● 专业解读


在数据安全保护工作中,本单位需要明确数据安全负责人,建立数据安全管理机构,落实数据安全保护责任。


● 合规建议


(一) 建立数据安全制度体系


例如:可参照等级保护等业界最佳实践的做法,建立三级或四级制度文件体系,即:


一级文件:数据安全策略和方针

二级文件:数据安全管理制度和管理办法

三级文件:数据安全相关流程、规范、指南、模板

四级文件:数据安全相关计划、报告、记录、日志


(二) 建立数据安全管理机构


例如:建立数据安全管理机构,包含:决策层、管理层、实行层、监督层。


同时,本单位需要制定数据安全保护规划,逐步推进数据安全保护工作。


此外,数据安全管理机构和制度,需要考虑和本单位现有的网络安全等级保护制度体系进行融合,以达到能够有效地协同工作。


(三) 开展数据安全教育培训


面向全员开展数据安全保护的宣传教育,通过安全意识培训、宣传周、互动体验等多样化的手段对员工进行数据安全教育培训,增强企业员工的数据安全意识,提升数据安全保护的技能。


(四) 采取技术措施保障数据安全


技术手段是保障数据安全不可或缺的重要支撑,在数据安全保护过程中,将多种技术手段相结合,形成多维度的数据安全保护机制。例如:加密、认证、访问控制、审计、脱敏、数字水印、零信任、隐私计算等技术手段。


制定重要数据目录,定期开展数据安全风险评估


● 法律条款要求


《数据安全法》第二十一条规定:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。


关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。


各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。


《数据安全法》第三十条规定:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。


风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。


● 专业解读


识别出重要数据的范围,建立重要数据目录,摸清数据资产的家底,对重要数据进行分类分级,为制定重要数据具体目录提供参考和引导。


● 合规建议


本单位需要识别出重要数据的范围,建立重要数据目录,摸清数据资产的家底,对重要数据进行分类分级。定期开展数据安全风险评估工作,按要求输出评估报告。


制定数据安全事件应急预案,及时处置数据安全事件


● 法律条款要求


《数据安全法》第二十三条规定:国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。


● 专业解读


建立数据安全应急处置机制和预案,按需定期演练。


● 合规建议


本单位可参考《国家网络安全事件应急预案》和《信息安全技术 网络安全事件应急演练指南》(GB/T 38645-2020),制定《数据安全应急响应预案》,当发生数据安全事件时,可启动应急预案,采取措施进行应急处置。定期进行数据安全应急演练,不断提升数据安全应急响应的能力。


《数据安全法》的正式出台,进一步促进了以数据为关键要素的数字经济发展。作为信息安全行业的领军企业,澳门浦京娱乐场集团紧跟国家号召,将数据要素化安全纳入集团战略当中,并基于沉淀多年的数据安全技术优势和丰富的实践经验积累,将场景化安全思维与用户的实际业务相结合,满足用户不同数字化场景需求,帮助用户全面应对数字中国建设过程中的新安全挑战,做安全的最佳实践,进一步推动中国数字经济高质量发展。


往期相关文章链接:

正式颁布!解读《中华人民共和国数据安全法》