《数据安全法》第二十三条 “国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。”
《网络数据安全管理条例》第五十六条 “国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。”
国家层面已经明确“数据安全需要有应急处置机制,并将数据安全事件纳入网络安全事件应急响应机制”,应急管理的具体工作最终会落实到企业、政府监管机构上。
本文通过总结网络安全和数据安全应急响应相关政策文件,并总结出一份从无到有的数据安全应急预案实战指南,助力企业打造高效的数据安全应急体系。
主要政策文件如下表:
如需下载各项数据安全应急响应政策【PDF完整版】,关注“极盾科技”微信公众号,回复“数据安全应急响应”即可下载。
制定一份完备的企业数据安全应急预案是企业应对数据安全风险的必备措施。打造高效的数据安全应急体系,将有助于企业在面临数据安全挑战时迅速响应,最大程度地减少损失并恢复业务运营。
数据安全应急预案的核心内容主要包括以下六个方面:
一、明确应急预案目标与原则
在制定数据安全应急预案之初,企业需明确预案的目标与原则。目标通常包括快速响应、减少损失、恢复业务等;原则则涉及预防为主、统一指挥、分级负责等。明确目标和原则有助于确保预案的针对性和可行性。
二、组织架构与职责分工
为确保预案的有效实施,企业需建立相应的组织架构,明确各部门及人员的职责分工。这包括确定应急响应领导组、技术保障组、响应实施组、日常运行组等,并为其分配具体任务和责任。通过明确的组织架构和职责分工,确保在紧急情况下能够迅速响应。
建议明确人力资源部门、公关部门、法务部门、技术部门等企业支持部门的配合义务。企业可考虑聘请具有相应资质的外部专家协助应急响应工作,也可委托具有相应资质的外部机构承担实施小组以及日常运行小组的部分或全部工作。
三、数据安全事件分类分级
数据安全事件分级:
根据GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》和数据安全事件对国家安全、社会稳定、公众权益、公司利益和声誉的影响程度,并按照数据安全事件的影响范围及持续时间等因素,结合公司实际,将数据安全事件分为四级:特别重大数据安全事件(一级)、重大数据安全事件(二级)、较大数据安全事件(三级)和一般数据安全事件(四级)。当数据安全事件同时满足多个级别的定级条件时,按最高级别确定数据安全事件等级。
在国家相关标准规范基础上,可以根据平台业务特点和企业内部安全要求进行调整。下面是《工业和信息化领域数据安全事件应急预案》和《金融数据安全应急响应和处置指引》的定级方式:
数据安全事件分类:
GB/T 20986-2023《信息安全技术 网络安全事件分类分级指南》将数据安全事件分成数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等12个子类,具体如下:
1)数据篡改事件:未经授权接触或修改数据;
2) 数据假冒事件:非法或未经许可使用、伪造数据;
3)数据泄露事件:无意或恶意通过技术手段使数据或敏感个人信息对外公开泄露;
4)社会工程事件:通过非技术手段(如心理学、话术等) 诱导他人泄露数据或执行行动;
5)数据窃取事件:未经授权利用技术手段(例如窃听、间谍等)偷窃数据;
6)数据拦截事件:在数据到达目标接收者之前非法捕获数据;
7)位置检测事件:非法检测系统、个人的地理位置信息或敏感数据的存储位置;
8)数据投毒事件:干预深度学习训练数据集,在训练数据中加入精心构造的异常数据,破坏原有训练数据的概率分布,导致模型在某些特定条件下产生分类或聚类错误;
9)数据滥用事件:无意或恶意滥用数据;
10)隐私侵犯事件:无意或恶意侵犯网络中存在的敏感个人信息;
11) 数据损失事件:因误操作、人为蓄意或软硬件缺陷等因素导致数据损失;
12)其他数据安全事件:不在以上子类之中的数据安全事件。
四、应急响应处理流程
当发生数据安全事件时,应立即针对数据安全事件展开不同的应急抑制、应急根除以及应急恢复等应急处置工作,对于超出单位应急响应处理能力的工作,可以上报应急保障领导办公室协调数据安全应急响应技术保障部门提供相应的技术支持工作。
数据安全事件应急响应流程主要分为:应急准备、应急处置、后续处理/分析确认、抑制根除、恢复运行。
如下为数据安全事件应急处理流程:
五、预防措施
预案更新与维护:随着企业业务发展和安全环境的变化,数据安全应急预案需不断更新与维护。企业应定期评估现有预案的适用性和有效性,根据实际情况进行调整和完善。此外,关注行业动态和技术发展,及时将新的安全措施纳入预案中,提高预案的针对性和前瞻性。
应急演练:定期进行应急预案演练。应急领导小组副组长负责应急演练统筹协调,组织全局定期开展应急演练,检验和完善预案,提高实战能力,每年至少组织一次预案演练,必要时可邀请专业人员指导演练,提高演练的针对性,不断加强人员的应急安全意识和应急响应的熟练程度。
培训与宣传:为确保数据安全应急预案的有效实施,企业需加强培训与宣传工作。通过组织培训课程和演练活动,提高员工的安全意识和应急处置能力。同时,加强宣传教育工作,使员工充分认识到数据安全的重要性,形成全员参与的良好氛围。
六、应急保障
应急响应保障是数据安全应急预案的重要组成部分,是保证数据安全事件发生后能够快速有效地实施应急预案的关键要素。
人力保障:人力保障由应急保障领导小组统一规划和组织管理。
技术保障:技术保障通过建立应急保障领导小组协调支持。应急响应技术小组(应急实施、专家团队)应依据应急响应的需要,制定数据安全事件技术应对表,全面考察和管理相关技术基础,选择合适的技术服务者,明确职责和沟通方式。定期开展数据安全相关技术研究,不断完善“事前可防范、事中可阻断、事后可追溯”的数据安全技术保障体系,开展对数据安全事件的预警、预测、预防和应急处理的技术研究,加强技术储备。
技术保障部门除了建立自身的技术支持队伍外,所确定的角色与职责大多需要依赖合作者(包括社会力量和专家等),因此,技术保障部门要建立完备的技术培训机构和操作管理方案,保证新技术与应急响应技术的及时培训,保证应急响应技术的有效性。
技术保障部门可以依据自身的工作特点、协作单位与人员的具体情况,制定应急响应协同调度方案,但无论采取什么方案,均要有具体的协同工作记录以备审计。
物质保障:基础物质保障需求应与技术保障和日常管理相关联,即应保证日常技术保障的实现、日常管理工作的开展和应急响应技术服务在应急响应时的及时到位。物质需求由应急响应技术保障部门提出,由应急响应日常运行部门落实。
资金保障:数据安全事件应急处置和实施重要通信保障任务所发生的通信保障费用;因数据安全事故造成的保障和恢复等处置费用。资金保障由应急保障领导小组负责协调和落实。
企业数据安全应急处置机制,代表着企业的数据安全管理水平。它不仅是建立一项制度,更重要的是执行能力,所以对企业来说是一项复杂且需不断改进的任务。