2022年4月“《数据安全法》实施参考”(简称《实施参考》)第一版正式发布,该书由中国网络安全产业联盟数据安全工作委员会(简称“CCIA数安委”)组织,中国网络安全产业联盟、全国信息安全标准化技术委员会秘书处指导,炼石网络作为副主编单位参与编制,旨在推动产业界凝聚共识,提出实用、管用的解决方案和产品服务,促进各行业通过实施《数据安全法》切实提升数据安全保障能力。
《实施参考》以《数据安全法》前七章中五十五条为基础编撰,编排结构上与《数据安全法》基本保持一致,内容编排中两处创新点:
亮点一
《实施参考》中将《数据安全法》中第三章数据安全制度分为数据分类分级制度和数据安全监管机制两个章节编撰。数据分类分级机制作为建立数据安全监管机制的基础环节,不仅包括数据的分类分级建设还涉及重要数据和国家核心数据的保护,是法律中的重点内容。
数据分类分级是对数据实施安全治理与有效保护的前提。对企业广泛数据进行分类分级,并根据分类分级结果,采取不同的安全保护措施(如加密、去标识化等),为数据收集、存储、使用、加工、传输、提供、公开等全生命周期保护提供前提。炼石数据资产管理系统深度应用AI技术,覆盖结构化、非结构化数据,结合静态数据扫描和动态数据识别等模式,紧贴《数据安全法》、《个人信息保护法》的相关技术和业务规范,对企业个人信息与重要数据提供全面准确的管理能力。
亮点二
《实施参考》将《数据安全法》中第四章数据安全保护义务第27-31条、第32-36条分为数据安全保护义务和数据处理规范性两个章节编撰。数据安全保护义务对数据处理者、重要数据处理者、关键信息基础设施的运营者开展数据处理活动中应当履行的保护义务予以说明;数据处理规范则从数据收集、交易、从合法合规性角度提出了对于贯彻实施《数据安全法》的参考方法。
免改造的数据细粒度保护技术是数据可用性和安全性的平衡支点。《实施参考》中指出,数据安全管理体系建设中,数据处理安全需要考虑数据加密处理、去标识化处理等因素,既要满足业务系统的需求,又要兼顾最小可用原则,最大限度地保护敏感信息。炼石聚焦“以数据为中心”的新安全理念,打造实战化的数据安全防护体系,在数据流转的信息系统各层级,结合业务上下文部署精确的数据保护控制点,提供业务级的精细化数据防护。炼石CASB产品防护能力覆盖应用系统、数据库、文件系统、磁盘、终端等多层级,在不同的数据控制点,可发现识别目标数据结构及用户身份,并整合加密、去标识化、身份认证、访问控制、行为审计等安全能力,实现“主体到人、客体到字段”的细粒度防护。基于免改造数据安全技术,重构数据防护边界,实现防绕过的数据安全机制。
炼石作为一家数据安全技术创新公司,凭借对市场方向敏锐洞察,对用户安全需求快速响应,以高质量技术快速迭代,持续走在数据安全行业前沿。未来,炼石将在数据安全领域持续深耕,以技术创新为驱动,专注数据安全产品自研,不断提升专利成果、服务能力及管理水平,与行业同仁共同携手,共建数字安全体系,护航数字经济发展。