近日,工信部為貫徹落實《數(shù)據安全法》《工業(yè)和信息化領域數(shù)據安全管理辦法(試行)》,研究起草了《工業(yè)和信息化領域數(shù)據安全行政處罰裁量指引(試行)》并向社會公開征求意見,這意味著工業(yè)和信息化領域的數(shù)據安全將從“需要怎么做,應該怎么做”進入到“不這么做,將會受什么處罰”的監(jiān)管執(zhí)法階段,此辦法推動著工業(yè)和信息化領域數(shù)據安全行政處罰工作向制度化、規(guī)范化方向開展。
來看看行政處罰裁定的工作方式是怎樣的。
依據網安法、數(shù)安法、行政處罰法和工信部行政處罰程序,工業(yè)和信息化領域數(shù)據安全行政處罰由違法行為發(fā)生地的行政處罰機關管轄,兩個及以上行政處罰機關對同一違法行為均有管轄權 ,應當由最先立案的行政處罰機關管轄,工業(yè)和信息化部依職權指導監(jiān)督工業(yè)和信息化領域數(shù)據安全違法行為管轄工作。
已經明確了處罰情形,需要著重關注。
裁量指引中定義的數(shù)據安全行政處罰情形,按不履行數(shù)據安全保護義務、向境外非法提供數(shù)據和不配合監(jiān)管三個方面,明確了25個違規(guī)情形,對重要數(shù)據和核心數(shù)據處理者進行了著重要求。
25個明確的違規(guī)情形包含了數(shù)據安全工作的組織體系、管理體系、技術體系和運營體系,進一步銜接、細化、落實《網絡安全法》《數(shù)據安全法》《工業(yè)和信息化領域數(shù)據安全管理辦法(試行)》,推動著工業(yè)和信息化領域組織的數(shù)據安全進行體系化建設、實戰(zhàn)化建設。
昂楷科技的方案是不錯的選擇。
昂楷數(shù)據安全治理體系化、實戰(zhàn)化解決方案,從“一中心、四體系、六過程”的頂層設計思路出發(fā),構建以工業(yè)和信息化領域重要數(shù)據、核心數(shù)據的安全防護為中心;以組織、管理、技術和運營四個數(shù)據安全體系;實現(xiàn)工業(yè)和信息化領域重要數(shù)據、核心數(shù)據全生命周期六大過程的安全防護。
工業(yè)企業(yè)數(shù)據安全組織體系,需要構建一個由企業(yè)數(shù)據部門、業(yè)務部門、信息安全部門共同組成的,既懂安全,又懂數(shù)據的,獨立的,為數(shù)據安全端到端負責的組織,包括數(shù)據安全管理團隊、數(shù)據安全建設運營團隊、數(shù)據安全審計團隊等數(shù)據安全治理相關角色。建立相互促進、相互監(jiān)督的數(shù)據安全管理組織機制。
工業(yè)企業(yè)數(shù)據安全管理體系的制度流程規(guī)劃需要從組織層面整體考慮和設計,并形成體系框架。制度體系需要分層,層與層之間,同一層不同模塊之間需要有關聯(lián)邏輯,在內容上不能重復或矛盾,一般分為四級。
工業(yè)數(shù)據安全防護技術能力,要以基礎網絡安全能力為支撐,根據數(shù)據安全需求、標準、規(guī)范、目標等,在數(shù)據全生命周期不同的過程中執(zhí)行最佳的數(shù)據安全防護實踐,構建一套有效保障工業(yè)數(shù)據安全使用、共享的技術保障體系。
(1)數(shù)據采集安全:結合數(shù)據采集、清洗、轉換、匯聚階段的不同特點和要求,利用敏感數(shù)據識別、分類分級、身份認證、安全審計等技術,保障數(shù)據采集安全、數(shù)據真實可靠。
(2)數(shù)據傳輸安全:數(shù)據在傳輸過程中可能會面臨被竊取風險,可利用鏈路加密、數(shù)據加密、數(shù)據脫敏等技術,保障數(shù)據在傳輸過程中的安全。
(3)數(shù)據存儲安全:結合數(shù)據分級分類,實現(xiàn)關鍵數(shù)據加密存儲與分級數(shù)據的安全隔離,保障數(shù)據的存儲安全,主要包括實施用戶訪問控制、數(shù)據存儲合規(guī)審計、存儲介質安全、訪問行為審計等。
(4)數(shù)據處理安全:根據數(shù)據分級分類,明確數(shù)據處理模式和要求,為處理過程提供安全保障,主要包括數(shù)據權限管控、數(shù)據脫敏、數(shù)據處理異常行為監(jiān)控和分析、數(shù)據處理合規(guī)審計等。
(5)數(shù)據交換安全:根據數(shù)據管理制度規(guī)定、數(shù)據分類分級結果,利用權限管控、數(shù)據脫敏、數(shù)據水印等技術保障數(shù)據交換過程中的安全,同時對交換過程中數(shù)據類別、數(shù)據量進行識別監(jiān)控,防止數(shù)據被過量交換。
(6)數(shù)據銷毀安全:數(shù)據銷毀常采用刪除、格式化等常規(guī)操作來“銷毀”數(shù)據,事實上數(shù)據并沒有被真正銷毀,在新數(shù)據寫入同一存儲空間前,該數(shù)據會一直保留,從而存在被他人刻意恢復的風險,所以在數(shù)據銷毀時,需要采用多次復寫,或者加密復寫等技術保證數(shù)據完全被銷毀。
以應用數(shù)據安全管理平臺的“化零為整、機器學習、威脅分析、感知未然、聯(lián)防聯(lián)控、健康預警”功能作為數(shù)據安全運營的抓手,對全網數(shù)據安全風險持續(xù)監(jiān)測、風險識別、安全防護、安全響應,提升數(shù)據安全運營的效率。
同時,通過數(shù)據安全風險評估、應急演練、定期審計等運營手段,對數(shù)據安全能力度和效果進行稽核,對短板指標對應的人員、制度、技術多維度分析與優(yōu)化,不斷豐富和提升數(shù)據安全建設的完整性和成熟度,最終達到對整個數(shù)據安全的全方位管控和動態(tài)調優(yōu)。
●全面覆蓋處罰裁定指引中的處罰情形,規(guī)避組織的處罰風險;
●建立并完善工業(yè)和信息化領域組織的數(shù)據安全管理體系,引導組建數(shù)據安全管理團隊,完善安全制度及流程體系,提高數(shù)據安全管理能力和運營能力;
●為工業(yè)和信息化領域組織構建起統(tǒng)一的、聯(lián)動聯(lián)防的、合成作戰(zhàn)的數(shù)據安全防護控制體系,可應對更加復雜的數(shù)據安全威脅及問題,提升數(shù)據安全防控能力;
