图解 | 从《数据安全法》 om c . 5 法 定h义 ub务 读 企 业 行 动 指 南 t i g 炼石网络 2021年6月 1 前言 法律意义 • 我国数据领域的首部基础性法律，也是国家安全领域的重要法律 • 标志着我国以数据安全保障数据开发利用和产业发展全面进入法治化轨道 • 对数据开发利用的重要参与者提出数据保护新要求 义务主体 国家机关 • 分析解读 b u h t i g 重要数据的处理者 关键信息基础设施运营者 数据交易中介 梳理《数据安全法》重要条款，并结合相关法律标准进行解读 《网络安全法》 • 体系搭建 一般数据处理者 m o c . 5 《密码法》 等保2.0 个人信息和重要数据出境安全评估办法 … 为各义务主体开展数据安全规划，搭建“以数据为中心”的主动式防护模 型，打造“以密码技术为核心、多种安全技术相互融合的”实战化数据安 全密码防护体系提供参考 2 五大数据保护义务主体 国家机关 重要数据处理者 b u h t i g m o c . 5 关键信息基础设施 运营者 从事数据交易中介 服务的机构 一般数据处理者 3 一般数据处理者：建立健全全流程数据安全管理制度 总纲层 如数据安全管理办法 编目层 管理编目 b u h t i g m o c . 5 业务编目 专项编目 • 规划 • 重大保障 • 安全测评 • 建设 • 监管配合 • 风险评估 • 运营 • 数据出境 • 定级备案 • 投诉处置 建立健全完整的数据安全管理制度是企事业单位开展数据安全工作的基石。针对数据安全工作基础薄弱的企业，可以参考《数据安全法》进行数 解读 据安全管理制度体系设计，比如建立总纲层，编制宏观安全要求框架；梳理编目层，从管理、业务、专项等方面确定实施细则、作业规范等。 4 一般数据处理者：组织开展数据安全教育培训 培训类 m o c . 5 培训工作 • 新员工入职 • 计划 • 在职培训 • 实施 • 日常作业培训 • 记录 • 总结 培训形式 b u h t i g • 融于日常 安全知识屏保、视频 • 特色： 培训周期 • 月度 • 季度 • 不定期 知识竞争、趣味问答 • 技术提升： 数据安全知识 历史种种数据安全事件表明，组织的决策层、管理层、执行层都可能造成数据泄露；内部IT建设中业务逻辑混乱、网络策略错误和设备配置故障也 可能会造成数据泄露。因此，提升企业各层级知识储备和技能水平，变得尤为重要。企事业单位的数据安全教育培训应当覆盖员工入职、在职、离 解读 职；应采用渗透式的培训教育，通过定期或不定期培训方式，保证数据安全教育融入企业文化。 5 一般数据处理者：采取相应技术措施和其他必要措施，保障数据安全 以数据为中心的安全 数据态势 解密细控 沙箱检测 泄露检测 零信任网络 数据审计 终端管控 VPN 通信加密 b u h t i g 端点安全 存储加密 反病毒 数据安全技术专家基于网络与数据 SIEM 数据鉴权 移动安全 m o c . 5 解读 IDS 防火墙 数据分类 景，聚焦“以数据为中心”的安全 建设思路。企事业单位应结合自身 组织使命和业务价值，进行与组织 特色匹配的数据安全体系设计，构 身份鉴别 密级标识 并重的建设理念，结合业务应用场 以网 络 心 为中 的安 全 建有效数据安全防线。 网络与数据并重的新安全建设理念 6 一般数据处理者：强化风险监测、应急补救 加强风险监测 发现数据安全缺陷、漏洞等风险 时，应当立即采取补救措施 产品配置管理 互联网安全监测 • • m o c . 5 业务风险监测 网络入侵检测 发生数据安全事件时，应当立即 采取处置措施 上报与通报 风险评估影响分析 事件响应机制 b u h t i g 数据边界管理 公 关 管 理 网络暴露 面管理 • • 新闻发布 影响消除 事 件 处 置 机 制 • • 抑制措施 恢复措施 企事业单位应当建立主动的内/外部联动的数据安全风险监测机制，及时发现安全漏洞、安全威胁，处置安全问题，把数据安全风险降到最小 解读 ，并加强安全事件影响分析，强化与监管单位上报机制，重视安全事件公共通报。 7 重要数据处理者：明确数据安全负责人和管理机构，落实数据安全保护责任 内部组织安全责任 • 安全领导小组 • 安全协调小组 • 安全管理部门 内部人员安全职责 • • • 研发人员 数据安全专员： • 业务合作方 • DBA 数据安全主管： 业务部门负责人 • 平台运营部门 • 内部审计部门 • 建设运维合作方 检测，指导，检查 • • m o c . 5 外部人员安全职责 安全专职部门外派人员 b u h t i g 职责制订，分工，安全 • 数据处理部门 • 业务管理部门 数据安全联络员： 外部组织安全责任 数据处理专员： • 第三方渠道 • 业务人员(营 销，广告) 数据安全接触者 数据是企事业单位的核心资产，是各类业务持续运营的基础。针对数据保护工作，要求建立完整的职责、岗位体系。 • 针对内部职责分工，建议从安全领导小组、安全协调小组、安全管理部门、数据处理部门、业务管理部门、平台运营部门、内部审计部门等考虑，从 管控手段可施加性，进行安全职责划分。建议业务部门设置数据安全联络员岗位，安全部门设置数据安全专员岗位，安全领导小组指派数据安全主管 解读 ，同时对于直接或间接接触数据的员工，设置数据处理专员岗位（建议成立虚拟团队） 。 • 针对外部职责分工，建立从合作差异性分类管理，如建设运维方数据安全管理、业务合作方数据安全管理、第三方渠道数据安全管理。对于可直接接 触或使用数据的外部人员，进行重点管理，比如数据库管理员、外包研发团队、外包营销人员等。 8 重要数据的处理者：定期开展风险评估 定期开展风险评估，并向有关主管部门报送风险评估报告 评估类型 技术部门 技术手段 管理部门 m o c . 5 b u h t i g 动态管理 数 据 变 化 业 务 变 化 绩效管理 （保障持续执行） 关 键 人 员 变 化 信 息 系 统 变 化 《数据安全法》中要求公安部门、国安部门以及行业主管单位进行监管。结合重要数据处理者风险评估要求条款，风险评估工作可能是监管单位最直接 解读 有效的管理手段。企事业单位可顺势而为，依托法规要求，建立风险评估体系，杜绝“应付”或“二传手”工作陋习。根据业务场景下可能存在的合规 9 风险进行分析、主动出击，从评估类型和技术手段切入，提前部署重要数据风险评估工作，落地评估制度。在监管部门指导下，及时进行风险纠偏。 关键信息基础设施的运营者：重要数据出境合规监管 提升数据出境安全意识 确保数据出境安全措施 个人信息和重要数据出境安全评估办法 安全建议 ① 忌“随意而为” 重要数据事关国家安全和人民权益，数据出境 安全要求应写入组织最高安全政策文件，涉及 m o c . 5 b u h t i g ① 数据出境要牢记并践行国家安全观 ② 重要数据出境安全路引： 做好内控→事事报备→次次评估 安全建议 宜“依法才为” 重要数据出境要符合重要数据出境管理相关规 定；在国际政治新形势下，重要数据出境应作 为组织专项工作开展 ② 重要数据出境要践行“主动安全”，健全管理 机制，遵循适当勤奋原则，开展业务风险管控 和技术风险分析 企事业单位务必重视数据出境管理。重要数据出境的第一法则：审视是否报备。一方面，多部法律法规已经对重要数据与个人信息出境提出明确要 解读 求；另一方面，数据出境情况中，审查和管理境外数据接受方是企事业单位基本法律义务。 10 从事数据交易中介服务的机构：明确数据安全保护义务 交易类型：平台型 | 通道型 要求数据提供方说明数据来源 审核交易双方的身份 安全性分析：利用同态加密进行内容分析，保证数据合规 抗抵赖性机制：群签名 m o c . 5 b u h t i g 企业主体 | 事业主体 | 个人主体 | 一事一议原则 | 网络数字身份：区块链，城市级身份认证平台 留存审核、交易记录 监管配合 | 安全审计 | 日志留存：备份，加密，5年以上 《数据安全法》中对数据交易中介服务机构的安全要求，可以看出国家立法中鼓励数据发展，但也强调安全作为前提。这就要求数据交易中介 解读 服务机构对数据交易的场景，比如提供在线数据交易平台、数据分享安全通道等，进行不同安全管控手段设计。 11 国家机关：建立数据安全制度 第二十一条 数据分类分级保护制度 统筹协调有关部门制定重要数据目录 m o c . 5 第二十五条 出口管制 国家对与维护国家安全和利益、履行国际 义务相关的属于管制物项的数据依法实施 出口管制 第二十二条 风险评估、报告、 信息共享、监测预警机制 b u h 数据安全制度 t i g 统筹协调有关部门加强数据安全风险信息的获 取、分析、研判、预警工作 第二十四条 数据安全审查制度 第二十三条 应急处置机制 进行国家安全审查 启动应急预案，采取应急处置措施，发布与公 众有关的警示信息 建立健全数据安全相关制度，有助于推进数据分类分级保护，及时发现和准确识别数据安全风险，有效减少损失和危害。然而《数据安全法》并未对 解读 数据审查的主体、流程、期限、内容等进行具体规定，也未对出口管制范围进行规定，后续有待配套立法进一步明确。 12 国家机关：推进政务数据安全与开放 政务数据安全 政务数据开放 1、依法收集、使用数据 第三十八条 2、对在履行职责中知悉的个人隐私、个人 及时、准确地公开政务数据。依法不予 信息、商业秘密、保密商务信息等数据应当 公开的除外 m o c . 5 第四十一条 依法予以保密 b u h t i g 建立健全数据安全管理制度，落实数据安全 保护责任 第三十九条 制定政务数据开放目录，构建政务数据 开放平台 第四十二条 1、委托他人建设、维护电子政务系统，存 储、加工政务数据，应经严格批准程序；监 督受托方履行相应的数据安全保护义务 第四十条 2、受托方依照法律、法规、合同履行数据 保护义务，不得擅自留存、使用、泄露或向 他人提供政务数据 从国家层面首次对政务数据开放作出明确规定，对政务数据规范性、安全性提出要求，划定数据使用和管理的原则和边界，明确可为与不可为 解读 ，实现数据安全管理和高效流