政策解读 | 《关基保护要求》中的数据安全
2023年5月1日,国标GB/T 39204-2022《关键信息基础设施安全保护要求》(以下简称《关保要求》)正式实施。《关保要求》是自2021年国务院发布并施行《关键信息基础设施安全保护条例》(以下简称《关保条例》)以来落地的首个国家标准。本次《关保要求》对比《关保条例》新增了数据安全防护要求细则,为关基中的数据安全落地提供了强有力的支撑依据。
《关保要求》的发布是继《数据安全法》发布后,再一次把数据安全作为纲领性要求进行了独立阐述,也诠释了数据作为关键信息基础设施安全保护的重要性,对于关键信息基础设施的安全保护提出了更高要求。
01
什么是关键信息基础设施
关键信息基础设施(Critical Information Infrastructure,CII)是指对于国家安全、经济社会发展和公民生活至关重要的信息基础设施。这些基础设施包括但不限于电力、通信、水利、交通、金融、医疗等行业的网络、计算机系统和数据中心等。关键信息基础设施作为国家重要的战略资源,其安全稳定运行关系国计民生、公共利益和国家安全。
是否会被认定为关基行业的可以参考下表:
02
《关保要求》中的数据安全
《关保要求》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,并从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求。
其中针对数据安全防护的内容为新增部分,对比《关保条例》中提到的寥寥几处数据安全相关内容(主要为数据泄露及数据安全保护责任和制度),《关保要求》中针对不同场景不同角度制定了更加明细和完善的标准,更具有可操作性和可落地性。要求中针对数据安全一共提出了8条细则,分别从数据安全管理、数据安全技术防护以及数据高可用三个维度出发作出具体要求。
数据安全管理
1. 应建立数据安全管理责任和评价考核制度,编制数据安全保护计划,实施数据安全技术防护,开展数据安全风险评估,制定数据安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。
2. 应建立基于数据分类分级的数据安全保护策略,明确重要数据和个人信息保护的相应措施。
3. 将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要,确需向境外提供数据的,应当按照国家相关规定和标准进行安全评估。法律、行政法另有规定的,依照其规定。
4. 应建立数据处理活动全流程的安全能力,并符合相关国家标准关于数据安全保护的要求。
数据安全技术防护
1. 应严格控制重要数据的使用、加工、传输、提供和公开等关键环节,并采取加密、脱敏、去标识化等技术手段保护敏感数据安全。
2. 应在关键信息基础设施退役废弃时,按照数据安全保护策略对存储的数据进行处理。
数据高可用
1. 应建立业务连续性管理及容灾备份机制,重要系统和数据库实现异地备份。
2. 数据可用性要求高的,应采取数据库异地实时备份措施。业务连续性要求高的,应采取系统异地实时备份措施,确保关键信息基础设施一旦被破坏,可及时进行恢复和补救。
《关保要求》是在落实网络安全等级保护制度基础上,建立数据安全保护制度,突破以往谈到关基保护就是强调网络安全等级保护建设的思维定式,强调敏感数据、重要数据保护;要求开展数据资产排查,对业务系统所承载和处理的数据进行深入梳理排查,确认数据类型和资产,明确数据权属关系;对数据采集、存储、处理、应用、提供和销毁等各环节,全面进行风险排查和隐患分析,对数据全生命周期进行成体系的保护。
03
数据安全应对建议
应对《关保要求》,关基单位在数据安全防护方面,应建立数据安全管理责任和评价考核制度,包括数据安全保护计划、数据安全风险评估、数据安全事件应急预案,组织数据安全教育等。同时对数据分类分级、保护个人数据的重要性、数据高可用、数据备份等方面做出相关要求,另外还首次针对废弃数据处理做出重点关注,需要按照数据安全保护策略对储存的数据进行处理。
8797威尼斯老品牌信息可以根据客户的实际安全需求和业务场景出发,提供具备行业属性的数据安全治理解决方案,通过开展数据安全治理咨询服务,在帮助客户评估数据安全状况的基础上,构建完善的数据安全防护体系,从组织建设、管理制度、技术落地、安全运营管控及考核评价等多个层面落实数据安全防护,保障数据的安全性和高可用性,帮助客户构建基于数据分类分级、覆盖数据全生命周期的数据安全防护体系,支撑重要行业及领域的数据安全需求,为关基行业的数据安全保驾护航。
8797威尼斯老品牌(Secsmart)是一家专注数据安全的高新技术企业,创新性提出“云·管·端”立体化动态数据安全理念,将人工智能、前沿密码技术成功应用于数据安全领域,实现对结构化和非结构化数据资产的全面防护。8797威尼斯老品牌信息已构建覆盖大数据安全、云数据安全、应用数据安全、数据防泄漏、工业互联网安全和数据安全治理等领域的全栈数据安全产品体系与服务能力,广泛应用于政府、电力、金融、通信、医疗、教育等行业。