国家市场监督管理总局、中国国家标准化管理委员会发布《信息安全技术网络数据处理安全要求(GB/T 41479-2022)》,将于11月1日施行。
标准自2019年立项、2020年8月面向社会公开征求意见至今,经历多次修改审定,从责任界定、平台处理等多个角度提出了规范,更加符合当下网络数据处理的现实,更加务实。
该项标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求;适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。
一张导图速览
为了便于快速理解标准的要求,我们整理了一张思维导图。
“要求”要点
此次标准的具体内容从数据识别、分级分类、风险防控、审计追溯等方面提出数据处理的总体要求,包括技术要求、管理要求等。
● 数据识别
在标准第4.1条中明确要求,网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录并及时更新。
● 分类分级
在标准第4.2条中明确要求,网络运营者应按照相关国家标准,对所识别的数据进行分类分级管理。
● 访问控制
在标准第5.12条中提及,网络运营者开展数据处理活动时,明确相关人员的访问权限,防止未授权访问。对重要数据、个人信息的关键操作(修改、拷贝、删除、下载等),涉及内部审批和审计流程。
● 安全审计
在标准第4.2条中明确要求,网络运营者应对数据处理的全生命周期进行记录,确保数据处理可审计、可追溯。
● 风险防控
标准第5.7条,网络运营者在传输、提供 重要数据和敏感个人信息时,采取加密、脱敏等技术。
如何应对
此次国标“要求”涵盖网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求,对于“网络运营者”对于数据全生命周期的综合管理及安全保护方案提出了更全面的要求,对运营者来说,如何能不影响日常业务运行,又能高效便捷满足合规要求成为新的挑战。
在当前,各行业普遍应用公有云、私有云或行业云的现状下,基于云原生技术的数据访问安全管控与审计能更快速落地并具备弹性与高可用特性。而同时兼顾企业分布在多云、混合云场景下的多个数据源,也更容易让企业的数据管理措施统一一致,不再受制于不同的应用而不得不单独处置,进而降低重复劳动。面对新要求,构建”以数据为中心“的安全保护技术措施势在必行。
251
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
