• <bdo id="x66l1"></bdo>
    <p id="x66l1"><label id="x66l1"><tt id="x66l1"></tt></label></p>
    EN

    網絡安全管理者要重點關注《數據安全法》的哪些內容

    發布時間:2021-06-24
    瀏覽量: 5841

    大數據時代背景下,數據安全問題越來越多,不僅侵害了很多公民和企業的利益,也嚴重威脅著國家安全。在這樣備受關注的背景下,十三屆全國人大常委會第二十九次會議6月10日表決通過《中華人民共和國數據安全法》以下簡稱《數據安全法》),真可以說是一場及時雨,為各個行業、各地區、各部門的網絡安全保護、管理工作提供了最權威的指導和要求。

    《數據安全法》全文共分為七個章節,分別是第一章,總則;第二章,數據安全與發展;第三章,數據安全制度;第四章,數據安全保護義務;第五章,政務數據安全與開放;第六章,法律責任;第七章,附則,共計五十一條。

    這部應運而生的法律對于從事網絡安全工作的部門,有哪些需要關注的要點呢?我們來學習一下。

    一、明確了“管什么”?

    該法對數據和數據安全做了法律上的定義,即:

    本法所稱數據是指任何以電子或者其他方式對信息的記錄。

    數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。

    數據安全,是指通過采取必要措施,確保數據處于有效保護合法利用狀態,以及具備保障持續安全狀態的能力。

        應該說,該法對數據的定義是比較寬泛的,不僅包括了大家通常理解的信息通信設備、系統中的電子形式數據和文件,還包括了其他形式的信息記錄,例如打印出來的紙質文件、單據(典型的是銀行、醫院開具的票據、處方)、證照等,所有這些都受到該法的保護。

    對數據活動的定義中除了“生產”環節外,涵蓋了數據處理的其它全過程。這主要是考慮到有些數據生產者擁有其數據的全部權力,自行對“生產”數據的活動負責,例如求職者編寫自己的簡歷。但是,一旦數據進入后續的環節,就進入被保護的范圍,例如攻擊者竊取別人保存在電腦上的個人簡歷是違法的。此外,有些個人“生產”的數據涉及國家政治、經濟、軍事等領域,甚至涉及他人或部門的重要信息,數據的“生產”者也必須承擔相關數據的保護責任。

    該法對數據活動相關主體的要求是確保有效保護、確保合法利用,且有能力確保。最后一句話很重要,要求數據活動參與方要有能力。什么是能力?對一個部門來講,至少要包括管理制度、管理人員和必要的技術措施。

    二、明確了“誰來管?”

    中央國家安全領導機構負責國家數據安全工作的決策和議事協調,研究制定、指導實施國家數據安全戰略和有關重大方針政策,統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制。

    國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相關監管工作。

    公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。

    工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

    中央國家安全領導機構即中央國家安全委員會,是大政方針的制定和決策部門;網信部門是統籌協調部門;公安、安全等部門按各自職責開展全領域的監管執法;工業、電信等主管部門則是要承擔本行業的具體監管職責,需要建立必要的監管制度、標準和技術能力。

    三、明確了被監管的責任主體

    各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。

    不論是政府還是企事業單位、社會團體,只要在工作中收集或產生了數據,那么就要承擔法律規定的數據安全責任。

    四、要制定數據安全標準,開展數據安全檢測評估工作,規范數據交易活動。

    國務院標準化行政主管部門和國務院有關部門根據各自的職責,組織制定并適時修訂有關數據開發利用技術、產品和數據安全相關標準。

    國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。

    國家建立健全數據交易管理制度,規范數據交易行為,培育數據交易市場。

    在標準方面,已有的標準如涉及數據處理環節,則需進行修訂。此外,針對當前大數據時代各行各業各種新的數據活動、數據應用,需要研究制定有針對性的數據安全標準。

    在安全檢測和安全評估方面,同樣要針對數據安全制定有針對性的檢測和評估標準,開展專門的檢測、評估業務。

    在數據交易方面,需要按照數據安全法完善管理制度,落實管理要求,確保數據在交易活動中處于安全的狀態。

    五、著重強調要建立數據安全制度

    1. 建立數據分級分類保護制度

    根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護

    國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。

    各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。

    未來,國家將依據數據安全法進一步制定數據分級分類保護制度,各地區、各部門則要相應制定數據分類分級標準、重要數據目錄,并采取技術和管理措施落實對重要數據的保護。特別是對關系國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心數據,要實行更加嚴格的管理制度。

    2. 建立數據安全風險預警機制

    建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。

    國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。

    當前,我國在國家、地方、行業層面已經建立了網絡安全威脅、事件的評估、監測、通報等相關工作機制,今后則需要在原有機制基礎上進行優化完善,重點加強針對數據安全風險的信息獲取、事件監測、分析研判和通報預警。這些工作要重點圍繞被列入國家核心數據、重點數據目錄的數據和數據活動而開展。

    如果有些從事重要數據活動的政府、企事業部門尚未建立自身的數據安全風險發現能力,沒有參與國家相關預警機制,則需要高度重視、立即采取行動。

    3. 建立數據安全應急處置機制

    發生數據安全事件,有關主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發布與公眾有關的警示信息。

    4. 建立數據安全審查制度和數據出口管制要求

    對影響或者可能影響國家安全的數據處理活動進行國家安全審查。

    對于維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。

    國家網信辦等12個部委聯合制定的《網絡安全審查辦法》已經在2020年6月1日生效。該辦法主要面向網絡產品和服務的采購活動,沒有專門涉及數據安全。因此,國家未來可望出臺專門的制度,對影響或可能影響國家安全的數據活動進行審查,對相關數據的出口活動進行管制。

    六、明確數據保護的義務

    1. 規定了數據保護義務的內容

    依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。

    重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。

    數據保護義務簡單來說有三個方面,即管理制度、教育培訓、技術措施和其他措施。需要注意的是,在制度建設上強調了要建立“全流程”數據安全管理制度,即要覆蓋數據活動的各個環節,一旦有涉及就要有對應的制度。

    為了落實責任,法律還規定要明確重要數據的安全負責人和管理機構。

    如果一個部門發生的數據安全事件,在判斷其是否違法和衡量其違法責任的時候,就是要從其落實三方面義務的情況和是否明確了責任人和管理機構來考察。

    2、規定了數據處理者應對數據安全風險的要求

    開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告。

    重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。

    首先要求數據處理者還要有數據安全風險監測能力,并且在發現風險或事件的時候要立即響應處置,并向主管部門報告。

    重要數據處理者還需要定期做風險評估,并且向主管部門報告。

    3、對其第三方的數據處理活動的保護要求

    收集數據,應當采取合法、正當的方式,

    從事數據交易中介服務的機構提供服務,應當要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄。

    法律、行政法規規定提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。

    首先明確規定“任何組織、個人不得竊取或者以其他非法方式獲取數據?!逼浯?,規定了提供特定數據處理相關服務要實現取得行政許可(例如某些特定行業或者特定業務等)。強調數據交易中介機構要對數據來源、交易者身份進行審核,確保合法交易。

    4、對境內外司法部門提供數據的規定

    公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據,應當按照國家有關規定,經過嚴格的批準手續,依法進行,有關組織、個人應當予以配合。

    非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。

    首先明確要依法配合我國公安、安全機關的執法活動,但也強調相關執法活動要嚴格執行批準手續。其次明確不得擅自向境外機構提供存儲在我國境內的數據。

    七、對政務數據安全做了重點規定

    國家機關為履行法定職責的需要收集、使用數據,應當在其履行法定職責的范圍內依律、行政法規規定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密,不得泄露或者非法向他人提供。

     國家機關應當依照法律、行政法規的規定,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全。

    第四十條 國家機關委托他人建設、維護電子政務系統,存儲、加工政務數據,應當經過嚴格的批準程序,并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數據。

    國家制定政務數據開放目錄,構建統一規范、互聯互通、安全可控的政務數據開放平臺,推動政務數據開放利用。

    首先規定國家機關只能在履職所需范圍內收集和使用數據,不能超范圍收集;其次,在履職過程中知悉的個人數據、商業數據等要給予保密,不得向他人泄露。

    另外,要求國家機關不僅要建立數據安全管理制度,還要落實保護責任。這就要求相關部門要具備必要的技術能力或內部管理能力。當國家機關委托他人從事政務系統建設、數據處理活動的時候,首先要經過批準,然后要監督受托方履行數據安全保護義務。所選擇的受托方必須要具備數據安全保護的管理能力、技術能力。

    通過上面的介紹,不論是政府、還是企事業單位的網絡安全管理者都應該深刻認識到國家在數據安全管理上的決心,要高度重視自身的數據安全管理工作,簡要來講有如下幾點:

    1、建立數據安全管理制度,完善相關數據處理流程,明確崗位和責任人。

    2、建立數據分級分類標準和重要數據目錄,建設數據安全防護、風險檢測、事件監測的技術能力,定期開展安全評估。

    3、與主管部門建立通報預警和應急處置機制。

    4、開展數據安全保護意識和基本防護措施的教育培訓。

    網絡安全管理工作任重而道遠,在當前大數據時代,網絡安全工作的核心就在于數據安全。我們相信,在數據安全法的引領下,我國各行各業的數據安全工作水平將會迅速提高,數據對經濟社會發展的驅動力將得到充分的保障!



    熱點內容

    開始試用任子行產品
    申請試用

    20年公安服務經驗

    7*24小時應急響應中心

    自主知識產權的產品裝備

    專家級安防團隊

    網絡空間數據治理專家

    榮獲國家科學技術二等獎

    置頂
    電話

    400-700-1218

    官方熱線電話

    咨詢
    留言
    二維碼
    微信公眾號
    公司微博
    欧美XXXX做受老人

  • <bdo id="x66l1"></bdo>
    <p id="x66l1"><label id="x66l1"><tt id="x66l1"></tt></label></p>