导读:数据安全立法2018年9月于十三届全国人大常委会列入立法规划。经过三次审议,在2021年6月10日,十三届全国人大常委会第二十九次会议正式表决通过,并于2021年9月1日起施行。从法律角度来说,国家对于数据安全越来越重视,作为企业该如何针对数据安全法进行数据安全治理的规划,最终进行对应的技术落地?本文将分享数据法在企业的落地。
主要内容包括以下几大方面:
- 背景介绍
- 数据安全架构——DSG框架
- 数据安全控制——CARTA模型
- 技术总结
- -
01 背景介绍
首先来看一下近几年企业数字化转型以及数据安全的发展趋势。
从2000年开始,企业经历了三个不同的阶段,分别是IT的工匠阶段、工业化阶段以及数字化时代的阶段。在IT数字化时代,企业将云计算、大数据、物联网以及移动互联代表性的新兴技术和企业业务进一步的结合,得到广阔的和深入的应用,从而加速传统经济到数字化经济转型。Gartner在2017年预测未来3年数据将成为企业的战略资产,现实进一步验证了这个预测。
企业在数字化转型后,数据安全和整个IT发生了一些变化,包括云计算、大数据的应用导致企业IT失去了可视化,企业安全边界消失,数据资产安全考虑不足等。
Gartner在2020年规划指南中提出了构建数字化转型技能,也就是数据安全与风险管理,包括合规性和风险的重大变化影响到安全计划和路线图,容器、DevSecOps、混合云和多云改变了基础设施安全等方式方法。
企业的数据资产的安全需求有两个目的:一是合规,与数字安全法、网络安全法、个人信息保护法内容息息相关;二是知识产权的保护。
数据安全立法2018年9月于十三届全国人大常委会列入立法规划。经过三次审议,在2021年6月10日,十三届全国人大常委会第二十九次会议正式表决通过,并于2021年9月1日起施行。网络安全法、数据安全法和个人信息保护法是我国在数据和网络安全的基础法规。数据安全法提升了国家数据安全的保障能力,个人信息保护法则加速了个人信息法的法制化的一个进程。从法律角度来说,国家对于数据安全是越来越重视,
针对数据资产的保护,首先要了解企业的数据和数据资产的价值。安全分为信息安全、数据安全,以及数据资产安全几个层面。数据资产安全主要是针对业务而言,应用经济价值越大,数据也就越值钱,因此数据安全是由业务驱动的,数据安全应该以数据资产的价值为中心确定,而不是以网络技术为中心。
作为企业如何针对数据安全法进行数据安全治理的规划,最终进行对应的技术落地?
业界主要的数据安全框架有两种:一是Gartner 2017年提出的以数据为中心的DSG框