为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,有效提升电信和互联网行业网络数据安全保护能力,充分发挥标准在保障网络数据安全、推动行业健康有序发展中的引领和支撑作用,助力数字经济高质量发展,2020年4月10日,工业和信息化部发布《网络数据安全标准体系建设指南(征求意见搞)》(以下称“建设指南”)。
《建设指南》以“数据”作为主体,为企业提升数据安全保护能力、数据安全合规提供了指导意见。安言将从基础共性标准出发,提供企业建设数据安全的整体思路。
基础共性标准
《建设指南》指出:基础共性标准是网络数据安全保护的基础性、通用性、指导性标准,包括术语定义、数据安全框架、数据分类分级等标准。
建设思路:一、确定数据安全框架
数据安全框架标准包括网络数据安全体系框架以及各部分参考框架,以明确和界定网络数据安全的角色、职责、边界、各部分的层级关系和内在联系。
数据安全治理框架如下所示:
建设思路:二、数据分类分级
确定数据安全框架后,对数据进行分级分类,为数据安全规范、数据安全评估等方面的标准制定提供支撑。
建设思路:三、数据安全风险评估
确定数据级别后,需要对不同级别的数据进行风险评估,以根据风险评估的结果制定管控策略。
数据安全风险评估示例:
建设思路:四、制定数据安全管控措施
管理策略
技术措施
从数据的全生命周期环节入手,参考《建设指南》的要求对各个阶段进行技术控制:
1、数据采集
- 数据清洗对比
- 数据质量监控
2、数据传输
- 数据完整性保护
- 数据加密传输
3、数据存储
- 数据库安全
- 云存储安全
- 数据安全审计
- 数据防泄露
4、数据处理
- 匿名化/去标识化
- 数据脱敏
5、数据交换
- 多方安全计算
- 透明加密
- 数据溯源
6、数据销毁
- 数据销毁
- 介质销毁
此外,在基础共性标准的基础上,企业需要结合新一代信息通信技术发展情况,重点在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,结合重点领域自身发展情况和网络数据安全保护需求,制定相关网络数据安全标准。