要求更加強化落地我國數(shù)據(jù)安全保護駛?cè)肟燔嚨?/h1>

2019-10-24 07:23:20呂韜

中國電子報訂閱 2019年47期 收藏

關鍵詞：企業(yè)

呂韜

2019年7月1日發(fā)布的《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡數(shù)據(jù)安全保護能力專項行動方案》（以下簡稱《行動方案》）是自2013年7月16日工業(yè)和信息化部第24號令《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》以來的數(shù)據(jù)安全保護要求的進一步強化和落地。

《行動方案》的工作目標之一是督促基礎電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)強化網(wǎng)絡數(shù)據(jù)安全全流程管理，及時整改消除重大數(shù)據(jù)泄露、濫用等安全隱患，在2019年10月底前完成全部基礎電信企業(yè)（含專業(yè)公司）、50家重點互聯(lián)網(wǎng)企業(yè)以及200款主流App數(shù)據(jù)安全檢查。工作目標之二是建立行業(yè)網(wǎng)絡數(shù)據(jù)安全保障體系，行業(yè)網(wǎng)絡數(shù)據(jù)安全管理和技術(shù)支撐平臺基本建成，遴選網(wǎng)絡數(shù)據(jù)安全技術(shù)能力創(chuàng)新示范項目，基礎電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)網(wǎng)絡數(shù)據(jù)安全管理體系有效建立。

《行動方案》制定了為期一年、明確可執(zhí)行的詳細計劃：不同于標準、規(guī)范，更強調(diào)具體任務的推動。方案分為四個階段，將每階段的責任方、工作任務進行了具體化，同時也強調(diào)了對典型經(jīng)驗做法進行推廣，鞏固相關工作成效的要求。這使得《行動方案》形成了一個執(zhí)行力強，并不斷迭代升級的長期計劃。

五大亮點引人關注

《行動方案》主要亮點體現(xiàn)在以下五個方面。

一是《行動方案》要求加快完善網(wǎng)絡數(shù)據(jù)安全制度標準。基于《網(wǎng)絡安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)要求的驅(qū)動，電信運營商從合規(guī)角度出發(fā)對數(shù)據(jù)安全保護的重要性有足夠重視，但安全制度標準的不充分影響了這項工作的開展，例如對同一項敏感數(shù)據(jù)的分類分級和控制措施，在不同企業(yè)不同部門之間并不統(tǒng)一，極易發(fā)生因合作雙方控制能力不同導致敏感數(shù)據(jù)泄露事件。制度標準的完善能夠大幅促進數(shù)據(jù)安全保護的效果，有利于正常數(shù)據(jù)業(yè)務的健康發(fā)展，幫助各個企業(yè)步調(diào)一致統(tǒng)一行動。

二是《行動方案》將開展合規(guī)性評估和專項治理工作。包括網(wǎng)絡數(shù)據(jù)安全風險評估、App違法違規(guī)專項冶理、強化網(wǎng)絡數(shù)據(jù)安全監(jiān)督執(zhí)法。此些舉措劃出了數(shù)據(jù)安全違規(guī)行為的紅線，并以行政處罰、軟件下架、企業(yè)納入不良名單和失信名單的方式“迫使”企業(yè)必須重視數(shù)據(jù)安全保護。手段足以讓違反數(shù)據(jù)安全的經(jīng)營模式不復生存，讓忽略數(shù)據(jù)安全的企業(yè)付出代價。

三是《行動方案》將強化行業(yè)網(wǎng)絡數(shù)據(jù)安全管理，提出了四項具體意見：

首先，提出了數(shù)據(jù)資產(chǎn)“清單式”管理的要求，電信和互聯(lián)網(wǎng)企業(yè)在實體資產(chǎn)、IT資產(chǎn)管理方面有著豐富的經(jīng)驗，但并沒有對數(shù)據(jù)資產(chǎn)進行嚴格管理，若無法形成數(shù)據(jù)清單，也無法對針對數(shù)據(jù)的行為進行有效監(jiān)控。數(shù)據(jù)資產(chǎn)管理的主要難點一方面是技術(shù)難度，另一方面是缺乏明確的標準和制度。

其次，《行動方案》明確了企業(yè)網(wǎng)絡數(shù)據(jù)安全職能部門的設置，根據(jù)以往經(jīng)驗，某項工作開展困難的主要原因之一是企業(yè)重視不足，導致該職能科室權(quán)力小、人數(shù)少、話語權(quán)低。設立專門的網(wǎng)絡數(shù)據(jù)安全職能部門是數(shù)據(jù)安全保護工作健康發(fā)展的必要步驟。

再次，《行動方案》提出了強化網(wǎng)絡數(shù)據(jù)對外合作安全管理的要求，自從瑞智華勝、數(shù)據(jù)堂的案件發(fā)生以來，電信運營商對于數(shù)據(jù)合作業(yè)務從積極轉(zhuǎn)向謹慎，但網(wǎng)絡數(shù)據(jù)安全保護的本意是促進業(yè)務健康發(fā)展，數(shù)據(jù)合作業(yè)務應該在安全、合規(guī)的情況下有序進行。

最后，《行動方案》提出了行業(yè)網(wǎng)絡數(shù)據(jù)安全應急管理的要求，指出了網(wǎng)絡數(shù)據(jù)安全事件發(fā)生事前、事中、事后的要求，對惡性事件形成預案，不打無準備之仗。

四是《行動方案》在能力建設方面提出了手段建設、技術(shù)創(chuàng)新、專業(yè)化支撐隊伍的要求。此項要求有利于數(shù)據(jù)安全產(chǎn)業(yè)的甲乙方共同發(fā)展，首先為企業(yè)開展數(shù)據(jù)安全類采購和研發(fā)指明了方向，也為高水平數(shù)據(jù)安全公司發(fā)揮其水平和能力提供絕佳機會。目前國內(nèi)的數(shù)據(jù)安全類產(chǎn)品大多數(shù)沿用國外產(chǎn)品思路，視角和技術(shù)并不適合電信和互聯(lián)網(wǎng)企業(yè)這種地域覆蓋大、組織結(jié)構(gòu)復雜、業(yè)務眾多、發(fā)展迅速的經(jīng)營模式，使得網(wǎng)絡數(shù)據(jù)安全類產(chǎn)品嚴重碎片化、孤島化，在實際應用中難以起到防護效果，正在逐步降低客戶采購的意愿。

五是《行動方案》強調(diào)了社會監(jiān)督和宣傳交流，目前網(wǎng)絡數(shù)據(jù)安全在電信和互聯(lián)網(wǎng)企業(yè)中仍是少部分人的任務，而本質(zhì)上數(shù)據(jù)安全與企業(yè)的經(jīng)營模式、業(yè)務模式緊密相關，這方面區(qū)別于其他安全技術(shù)。網(wǎng)絡數(shù)據(jù)安全必須得到企業(yè)決策者的充分重視，必須做到企業(yè)文化認可，從業(yè)者高度自律，具有全面的監(jiān)督處罰機制。

企業(yè)需構(gòu)建數(shù)據(jù)安全保護體系

數(shù)據(jù)安全保護關系到了企業(yè)切身利益，我們應認真對標《網(wǎng)絡安全法》等相關行政命令的要求，形成企業(yè)自身的數(shù)據(jù)安全保護體系，從策略（規(guī)章制度及差距分析）、組織（部門與人）、技術(shù)（生產(chǎn)平臺和數(shù)據(jù)安全保護技術(shù)）、運營（運轉(zhuǎn)保障）等方面進行全面建設和不斷提升。

我們需要正確面對現(xiàn)有業(yè)務模式和技術(shù)平臺存在的數(shù)據(jù)安全問題，一些業(yè)務本身是侵犯隱私的，或者存在安全風險。例如已經(jīng)全部下線的“短信保管箱“類業(yè)務，以及運營商普遍在業(yè)務環(huán)節(jié)中增加了二次認證和信息脫敏措施，都是在數(shù)據(jù)安全方面進步的表現(xiàn)。企業(yè)應該對存量業(yè)務進行評估、建立新業(yè)務評估的三同步機制（數(shù)據(jù)安全能力與業(yè)務功能同步規(guī)劃、同步建設、同步運行）、人員管理、合作伙伴管理等機制的優(yōu)化，避免新的數(shù)據(jù)安全事件發(fā)生。

另外，還要加強數(shù)據(jù)安全專職部門的設立，提升話語權(quán)，保持合理的人員配備。將敏感數(shù)據(jù)進行資產(chǎn)化管理，建立分類分級制度、采用自動化識別跟蹤技術(shù)形成敏感數(shù)據(jù)清單，將敏感數(shù)據(jù)的異常分布與流動進行安全事件處置，對于敏感數(shù)據(jù)的訪問行為增加身份認證和敏感行為審計等環(huán)節(jié)。

加強對合作伙伴的管理，建議采用數(shù)據(jù)安全能力評級和考核制度，降低數(shù)據(jù)擴散風險，以合作合同條款方式指明在數(shù)據(jù)安全方面的違約條款與責任。

建設立體的數(shù)據(jù)安全防護體系。例如，在數(shù)據(jù)泄露案例中，將數(shù)據(jù)泄露到外網(wǎng)存在多種途徑，并且涉及數(shù)據(jù)不同環(huán)節(jié)的風險，單一技術(shù)手段無法覆蓋所有主要途徑。建議基于不同途徑選擇各領域最優(yōu)技術(shù)搭建數(shù)據(jù)安全立體防御，以基于實戰(zhàn)總結(jié)的經(jīng)驗作為數(shù)據(jù)保護技術(shù)手段的有效性評估標準。

猜你喜歡

企業(yè)

企業(yè)

當代水產(chǎn)(2022年8期)2022-09-20 06:44:30

企業(yè)

當代水產(chǎn)(2022年6期)2022-06-29 01:11:44

企業(yè)

當代水產(chǎn)(2022年5期)2022-06-05 07:55:06

企業(yè)

當代水產(chǎn)(2022年4期)2022-06-05 07:53:30

企業(yè)

當代水產(chǎn)(2022年1期)2022-04-26 14:34:58

企業(yè)

當代水產(chǎn)(2022年3期)2022-04-26 14:27:04

企業(yè)

當代水產(chǎn)(2022年2期)2022-04-26 14:25:10

企業(yè)

當代水產(chǎn)(2021年5期)2021-07-21 07:32:44

企業(yè)

當代水產(chǎn)(2021年4期)2021-07-20 08:10:14

敢為人先的企業(yè)——超惠投不動產(chǎn)

云南畫報(2020年9期)2020-10-27 02:03:26

中國電子報2019年47期

中國電子報的其它文章

Silicon Labs抖動衰減器簡化高速網(wǎng)絡時鐘設計

VIAVI為中國移動提供無線和光網(wǎng)絡測試解決方案

瑞芯微宣布基于RK1808人工智能計算棒正式開售

艾邁斯半導體和SmartSens合作研發(fā)3D和NIR傳感器

Telechips選擇PoWerVR GPU開發(fā)車用芯片

美光汽車級UFS產(chǎn)品組合為聯(lián)網(wǎng)汽車提供沉浸式駕駛艙體驗