亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        網(wǎng)絡安全等級保護制度下的數(shù)據(jù)安全研究

        2024-01-10 04:05:58李尚號
        關鍵詞:數(shù)據(jù)安全備案信息系統(tǒng)

        李尚號,王 勇

        (公安部網(wǎng)絡安全等級保護評估中心,北京 100142)

        0 引言

        隨著信息技術(shù)的廣泛應用,網(wǎng)絡空間逐步成為人類生產(chǎn)生活的重要場所,數(shù)據(jù)作為人類在網(wǎng)絡空間中的行動痕跡,蘊含了豐富的信息。數(shù)據(jù)中所承載的價值對于國家穩(wěn)定、社會秩序、個人利益具有重要影響。核心數(shù)據(jù)更是已成為各國的戰(zhàn)略資產(chǎn)。根據(jù)《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示,截至2023年6月,我國網(wǎng)民規(guī)模達10.79億,互聯(lián)網(wǎng)普及率達76.4%。我國人口基數(shù)大、互聯(lián)網(wǎng)普及率高的基本國情勢必會帶來網(wǎng)民數(shù)據(jù)體量大、數(shù)據(jù)安全保護工作難度高等挑戰(zhàn)。

        2021年《數(shù)據(jù)安全法》和《個人信息保護法》相繼頒布實施,代表著我國現(xiàn)行數(shù)據(jù)安全頂層法律法規(guī)日趨完善[1],我國數(shù)據(jù)安全保護工作重心逐步從頂層立法向落地執(zhí)行轉(zhuǎn)移?!稊?shù)據(jù)安全法》規(guī)定信息系統(tǒng)進行數(shù)據(jù)處理活動,首先要遵循網(wǎng)絡安全等級保護制度,強調(diào)了網(wǎng)絡安全與數(shù)據(jù)安全的關聯(lián)關系和內(nèi)在邏輯。

        網(wǎng)絡安全等級保護制度是中國目前體系最完整、技術(shù)最成熟、接受度和認可度最高、執(zhí)行力度最強、覆蓋范圍最全面的國家網(wǎng)絡安全基本制度體系,是《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》等國家網(wǎng)絡安全多項法律明確要求施行的,為保護數(shù)據(jù)和個人信息安全做出了重要貢獻。但是網(wǎng)絡安全保護制度以系統(tǒng)為定級對象,更加注重系統(tǒng)整體的網(wǎng)絡運行安全,對于數(shù)據(jù)的關注相對不足[2]。同時,等級保護中對于數(shù)據(jù)的保護偏向于傳統(tǒng)的靜態(tài)安全,未對于數(shù)據(jù)的全生命周期安全提出有效要求。面對新形勢下數(shù)據(jù)安全發(fā)展的新要求、新挑戰(zhàn)[3],如何應用好網(wǎng)絡安全等級保護制度對其進行全面保護是當前數(shù)據(jù)安全工作的重點。

        1 網(wǎng)絡安全等級保護與數(shù)據(jù)安全現(xiàn)狀

        在《網(wǎng)絡安全法》頒布實施后,為了滿足新形勢下對網(wǎng)絡安全的要求,網(wǎng)絡安全等級保護相關標準也隨之修訂,形成了以《網(wǎng)絡安全等級保護基本要求》(以下簡稱《基本要求》)[4]和《網(wǎng)絡安全等級保護測評要求》(以下簡稱《測評要求》)[5]為核心的等保2.0標準體系?!痘疽蟆穼?shù)據(jù)的完整性、保密性、備份恢復和個人信息保護等提出了具體要求,《測評要求》則規(guī)定了相關數(shù)據(jù)保護有效性的檢驗手段。

        通過近幾年的實施,等保2.0標準體系在我國網(wǎng)絡安全和數(shù)據(jù)安全保護工作中發(fā)揮了巨大作用[6-7],但是隨著數(shù)據(jù)安全保護工作的深入,《基本要求》中的相關內(nèi)容已無法滿足數(shù)據(jù)采集、傳輸、存儲、處理、交換和銷毀全生命周期的安全要求,迫切需要建立一套完整的數(shù)據(jù)安全保護方案。

        為落實《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》中對數(shù)據(jù)安全的保護要求,延續(xù)并完善網(wǎng)絡安全等級保護制度,公安行標《網(wǎng)絡安全等級保護數(shù)據(jù)安全基本要求》《網(wǎng)絡安全等級保護數(shù)據(jù)安全測評要求》相繼立項,按照數(shù)據(jù)全生命周期規(guī)劃四個等級的安全保護要求和測評要求。等級保護數(shù)據(jù)安全系列標準相互配合,對構(gòu)建等級保護數(shù)據(jù)安全測評體系、掌握我國數(shù)據(jù)安全狀況和防護水平、促進國家數(shù)據(jù)安全保障能力全面提升,具有重大意義。

        2 數(shù)據(jù)安全保護工作流程分析

        《網(wǎng)絡安全法》從系統(tǒng)運行安全、網(wǎng)絡信息安全角度提出了數(shù)據(jù)管理要求,管理對象側(cè)重個人信息和關鍵信息基礎設施收集產(chǎn)生的數(shù)據(jù),管理范圍側(cè)重數(shù)據(jù)采集、存儲等環(huán)節(jié)。《數(shù)據(jù)安全法》在此基礎上作了進一步擴充,將任何以電子或其他方式記錄的信息,全方面、全流程地納入數(shù)據(jù)安全保護范疇。因此《數(shù)據(jù)安全法》是對《網(wǎng)絡安全法》的補充和延續(xù),是網(wǎng)絡安全保護工作的繼承和發(fā)展。

        據(jù)統(tǒng)計,網(wǎng)絡安全事件中大約有70%的比例是為了獲取或者破壞其中的數(shù)據(jù)。網(wǎng)絡安全的最終目的是保護數(shù)據(jù)安全,數(shù)據(jù)安全依賴于維護網(wǎng)絡安全,數(shù)據(jù)安全與網(wǎng)絡安全是一體兩面、不可分割的,因此網(wǎng)絡安全保護工作和數(shù)據(jù)安全保護工作具有深度耦合的基礎。

        通過上述分析不難看出,數(shù)據(jù)安全保護工作并不是獨立存在的,而是應該與網(wǎng)絡安全等級保護工作緊密結(jié)合、同步開展。網(wǎng)絡安全等級保護工作包括定級、備案、安全建設整改、等級測評和安全檢查五個主要環(huán)節(jié)[8],與此對應數(shù)據(jù)安全保護工作也應當按照定級、備案、安全建設整改、數(shù)據(jù)安全測評、安全檢查五個階段開展工作。如此不僅可以充分發(fā)揮網(wǎng)絡安全等級保護制度的經(jīng)驗優(yōu)勢,快速推進數(shù)據(jù)安全保護工作,還能夠最大程度地減輕企業(yè)合規(guī)工作壓力,進而促進等級保護工作的良性循環(huán)。

        3 數(shù)據(jù)安全保護工作具體實施

        為確保等級保護工作與數(shù)據(jù)安全保護工作能夠緊密結(jié)合、同步開展,本文將按照數(shù)據(jù)安全定級、數(shù)據(jù)安全備案、安全建設整改、數(shù)據(jù)安全測評、安全檢查五個關鍵動作,分析數(shù)據(jù)安全保護工作與等級保護工作同步實行的必要性與可行性,并提出具體實施方法。

        3.1 數(shù)據(jù)安全定級

        數(shù)據(jù)的收集、處理、存儲都依賴于所屬的信息系統(tǒng),因此數(shù)據(jù)定級工作應當隨信息系統(tǒng)定級同步開展。與等級保護系統(tǒng)定級類似,確定數(shù)據(jù)等級時應考慮數(shù)據(jù)泄露、破壞對公民、法人和其他組織的合法權(quán)益,社會秩序、公共利益,國家安全造成的侵害程度,并將信息系統(tǒng)的數(shù)據(jù)級別作為信息系統(tǒng)保護等級確定的考慮因素。

        不同于網(wǎng)絡安全系統(tǒng)等級的五個等級,數(shù)據(jù)按照其重要程度和影響程度,可分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個等級。不同保護等級的信息系統(tǒng)能夠承載的數(shù)據(jù)級別不同,具體對照如表1所示。

        表1 數(shù)據(jù)級別與網(wǎng)絡安全等級對照表

        3.2 數(shù)據(jù)安全備案

        數(shù)據(jù)安全備案應當在等級保護備案制度、標準、流程的基礎上擴充數(shù)據(jù)相關要求,完善目前現(xiàn)有的等級保護備案平臺,不增加工作流程負擔,只需增加數(shù)據(jù)基本信息、數(shù)據(jù)處理信息、數(shù)據(jù)安全情況的報送。通過數(shù)據(jù)安全備案使公安機關摸清定級系統(tǒng)的數(shù)據(jù)保護情況,掌握數(shù)據(jù)種類與量級。

        數(shù)據(jù)安全責任單位依據(jù)相關標準規(guī)范開展數(shù)據(jù)識別工作,識別運營范圍內(nèi)的數(shù)據(jù)類別、級別和相關內(nèi)容,識別數(shù)據(jù)后邀請外部專家進行評審,確定最終數(shù)據(jù)識別結(jié)果。數(shù)據(jù)識別完成后,數(shù)據(jù)安全責任單位通過等級保護備案平臺向公安機關申報備案,提交備案材料等待公安機關審核,需要備案的數(shù)據(jù)信息至少應包括表2中的內(nèi)容。

        表2 數(shù)據(jù)備案信息

        公安機關應對數(shù)據(jù)信息和安全情況進行審核,通過審核的應當將備案結(jié)果與信息系統(tǒng)等級保護備案結(jié)果關聯(lián)。

        3.3 安全建設整改

        網(wǎng)絡系統(tǒng)在規(guī)劃、建設階段應充分考慮數(shù)據(jù)安全保護需求,在等級保護的基礎上,結(jié)合數(shù)據(jù)全生命周期不同階段的保護需求,設計數(shù)據(jù)安全保護方案,形成數(shù)據(jù)安全保護策略,構(gòu)建數(shù)據(jù)安全保護體系。

        數(shù)據(jù)安全責任單位應依據(jù)評估、檢查發(fā)現(xiàn)的安全問題及風險進行數(shù)據(jù)安全建設整改工作,根據(jù)數(shù)據(jù)安全相關標準規(guī)范,結(jié)合安全問題及實際情況,對相關風險點進行整改。整改完成后應對整改結(jié)果進行自評估,并將安全問題列表、整改方案及實施情況、整改結(jié)果和整改后殘余風險的處置情況等報送給公安機關。

        3.4 數(shù)據(jù)安全測評

        依托成熟完善的等級保護測評體系,在原有等級保護工作的基礎上增加數(shù)據(jù)安全測評內(nèi)容,開展數(shù)據(jù)安全測評工作。數(shù)據(jù)安全測評工作包括調(diào)研、方案編制、現(xiàn)場測評、分析與報告編制四個階段,四個階段工作可與等級保護測評同步展開,也可根據(jù)需求開展單獨的數(shù)據(jù)安全測評。具體工作內(nèi)容和流程如圖1所示。

        圖1 等級保護測評與數(shù)據(jù)安全測評工作流程

        (1)調(diào)研階段

        在進行等級測評工作的同時,測評機構(gòu)依據(jù)相關標準規(guī)范對數(shù)據(jù)安全開展測評,通過查閱相關資料、填寫數(shù)據(jù)調(diào)研表格、現(xiàn)場溝通調(diào)研等方式對信息系統(tǒng)的數(shù)據(jù)基本情況進行調(diào)研,形成數(shù)據(jù)資產(chǎn)調(diào)研表,調(diào)研表中應包括以下內(nèi)容:

        數(shù)據(jù)基礎信息:數(shù)據(jù)所屬單位信息、數(shù)據(jù)責任方信息、安全負責人信息。

        數(shù)據(jù)基本信息:數(shù)據(jù)分類分級結(jié)果、量級、類型、范圍、存儲位置及期限、重要程度。

        相關數(shù)據(jù)資產(chǎn):相關設備、數(shù)據(jù)應用、管理軟件等信息。

        數(shù)據(jù)處理情況:數(shù)據(jù)處理、流動、共享、銷毀等相關情況。

        (2)方案編制階段

        測評機構(gòu)根據(jù)數(shù)據(jù)基本情況的調(diào)研結(jié)果,分析承載數(shù)據(jù)對象信息系統(tǒng)的業(yè)務流程,明確數(shù)據(jù)活動涉及的資產(chǎn),確定本次測評的數(shù)據(jù)對象范圍,最終形成數(shù)據(jù)安全測評方案,方案中應對項目背景、測評對象、選用指標、測評方法、風險規(guī)避措施、工作計劃等進行詳細說明。

        (3)現(xiàn)場測評階段

        測評機構(gòu)依據(jù)相關標準規(guī)范和測評方案抽選的測評指標對信息系統(tǒng)數(shù)據(jù)的采集、存儲、處理、傳輸、交換、銷毀等活動開展測評,通過現(xiàn)場訪談和核查、結(jié)合工具檢查的方式測評數(shù)據(jù)全生命周期活動中是否存在合規(guī)風險、安全風險,安全測評內(nèi)容包括但不限于以下:

        數(shù)據(jù)活動合規(guī)性:數(shù)據(jù)收集、存儲、處理、傳輸、交換、銷毀等活動是否符合相關法律法規(guī)要求,是否存在過度收集、數(shù)據(jù)濫用、跨境共享等相關行為。

        數(shù)據(jù)管理活動:核查組織架構(gòu)和數(shù)據(jù)管理人員配置的合理性,數(shù)據(jù)安全管理制度的完備性,數(shù)據(jù)安全管理流程的完整性,個人信息保護管理制度及措施的有效性等。

        數(shù)據(jù)技術(shù)措施:數(shù)據(jù)的保密性、完整性、真實性相關保護措施是否有效,訪問控制及認證措施強度、密碼技術(shù)應用是否合理,數(shù)據(jù)活動的審計是否覆蓋全面,數(shù)據(jù)資產(chǎn)識別是否準確完備等。

        (4)分析與報告編制階段

        測評機構(gòu)依據(jù)相關標準規(guī)范和現(xiàn)場測評結(jié)果對信息系統(tǒng)現(xiàn)有的數(shù)據(jù)安全措施進行分析,分析存在的安全風險并提出整改建議,得出數(shù)據(jù)安全測評結(jié)論,形成數(shù)據(jù)安全測評報告。

        3.5 安全檢查

        公安機關依法開展監(jiān)督檢查工作,依據(jù)國家相關法規(guī)對信息系統(tǒng)數(shù)據(jù)進行分類、分級合規(guī)性檢查,審查這些重要數(shù)據(jù)在采集、存儲、傳輸或使用上的安全性和合規(guī)性。對信息系統(tǒng)中的各類網(wǎng)絡安全威脅、信息系統(tǒng)脆弱漏洞環(huán)節(jié)等方面進行檢測,評估出業(yè)務信息系統(tǒng)的數(shù)據(jù)風險點和風險閾值,控制信息數(shù)據(jù)安全風險,消除數(shù)據(jù)安全隱患,實現(xiàn)數(shù)據(jù)安全的可知、可管、可控。

        4 結(jié)論

        網(wǎng)絡基礎環(huán)境承載數(shù)據(jù)和個人信息,數(shù)據(jù)和個人信息依托網(wǎng)絡基礎環(huán)境,維護網(wǎng)絡安全的目的是保護數(shù)據(jù)和個人信息安全,保護數(shù)據(jù)和個人信息安全有賴于維護網(wǎng)絡安全。網(wǎng)絡安全與數(shù)據(jù)安全相互依存、密不可分,數(shù)據(jù)安全保護工作與網(wǎng)絡安全等級保護工作同步開展具有內(nèi)在邏輯與工作基礎,而脫離基礎環(huán)境和信息系統(tǒng)的數(shù)據(jù)安全保護工作將缺乏底層支撐與有力抓手。因此當前形勢下,將數(shù)據(jù)安全納入網(wǎng)絡安全等級保護制度是快速推進我國數(shù)據(jù)安全建設的有效手段。

        猜你喜歡
        數(shù)據(jù)安全備案信息系統(tǒng)
        企業(yè)信息系統(tǒng)安全防護
        哈爾濱軸承(2022年1期)2022-05-23 13:13:18
        關于備案建材事中事后監(jiān)管的實踐與思考
        上海建材(2021年4期)2021-02-12 05:22:34
        我省高校新增備案和審批本科專業(yè)名單
        云計算中基于用戶隱私的數(shù)據(jù)安全保護方法
        電子制作(2019年14期)2019-08-20 05:43:42
        建立激勵相容機制保護數(shù)據(jù)安全
        當代貴州(2018年21期)2018-08-29 00:47:20
        基于區(qū)塊鏈的通航維護信息系統(tǒng)研究
        電子制作(2018年11期)2018-08-04 03:25:54
        信息系統(tǒng)審計中計算機審計的應用
        消費導刊(2017年20期)2018-01-03 06:26:40
        大數(shù)據(jù)云計算環(huán)境下的數(shù)據(jù)安全
        電子制作(2017年20期)2017-04-26 06:57:48
        基于SG-I6000的信息系統(tǒng)運檢自動化診斷實踐
        解讀保健食品注冊備案“雙軌制”
        日本免费精品一区二区| 无码精品一区二区免费AV| 嗯啊 不要 啊啊在线日韩a| 91色综合久久熟女系列| 99在线精品免费视频| 国产免费无码一区二区三区| 日本熟妇hd8ex视频| 亚洲成熟中老妇女视频| 成人免费无码大片a毛片抽搐色欲| 亚洲日本va午夜在线电影| 韩日无码不卡| 人妻蜜桃日产一本久道综合在线| 三级做a全过程在线观看| 色综合无码av网站| 国产精品女同久久久久久| 亚洲av三级黄色在线观看| 三年中文在线观看免费大全| 91视频香蕉| 视频福利一区二区三区| 精品国产一区二区三区色搞| 国产成人无码区免费内射一片色欲| 尤物无码一区| 亚洲av调教捆绑一区二区三区| 丰满少妇a级毛片| 亚洲中文字幕无码中字| 国产麻豆放荡av激情演绎| 成人性生交大片免费入口| 97久久精品亚洲中文字幕无码 | 无码国产精品一区二区免费式直播| 中文字幕天堂网| 日韩女同一区二区三区久久| 国产一区二区内射最近人| 日本久久久免费高清| 免费在线av一区二区| 公和我做好爽添厨房| 免费观看又色又爽又黄的韩国| 国产精品成人无码久久久久久| 亚洲一区二区刺激的视频| 一区二区三区人妻无码| 日韩精品欧美激情亚洲综合| 精品老熟女一区二区三区在线|