浅谈企业数据安全落地

2024-03-10 1,047 0

数据安全是各公司安全团队的重点工作部分,对于初始阶段该如何从全局层面体系化设计,结合日常工作内容,本文试着从法律法规解读,组织制度建立,数据安全生命周期落地,数据安全运营四个访问面流程化进行概述介绍。

(图片来源互联网)

哪些主要法律法规对数据安全有要求

《数据安全法》

第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

第三十二条任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

第四十五条开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度,危害国家主全、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

《个人信息保护法》

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

第六十六条违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

《工业和信息化领域数据安全管理办法(试行)》

第十三条工业和信息化领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。

(一)建立数据全生命周期安全管理制度,针对不同级别数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程;

(二)根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业监管部门开展工作;

(三)合理确定数据处理活动的操作权限,严格实施人员权限管理;

(四)根据应对数据安全事件的需要,制定应急预案,并开展应急演练;

(五)定期对从业人员开展数据安全教育和培训;

(六)法律、行政法规等规定的其他措施。

第三十五条行业监管部门在履行数据安全监督管理职责中,发现数据处理活动存在较大安全风险的,可以按照规定权限和程序对工业和信息化领域数据处理者进行约谈,并要求采取措施进行整改,消除隐患。

第三十六条有违反本办法规定行为的,由行业监管部门按照相关法律法规,根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚;构成犯罪的,依法追究刑事责任。

数据安全组织架构和制度如何设计

确认了法律法规的数据安全要求,下一步建立相应数据安全组织及制度。组织构成上,可从决策组织、管理组织、落地执行组织 三层进行划分。

组织架构

  • 数据安全委员会:
    • 职责:数据安全最高管理组织,主要负责数据安全方针、策略制定;审议、授权数据安全管理组制定的制度规范;对公司核心机密数据使用进行审批和授权;
    • 成员:技术负责人、业务负责人(数据owner)、信息安全负责人、数据安全负责人、合规、法务、GR等;
  • 数据安全管理组:
    • 职责:负责数据安全整体相关的管理工作;制定数据安全相关规范制度;组织研究和实施数据安全保护的技术措施;数据安全事件的收集、调查、对外口径输出;组织协助各部门数据安全执行组建立、工作、反馈;数据安全日常运营及报告;向数据安全委员会汇报数据安全事宜;
    • 成员:数据安全团队相关人员
  • 数据安全执行组:
    • 职责:负责数据安全相关制度规范、技术方案在各自部门的落地;负责部门内数据安全相关措施、报告的运营;部门内数据安全泄漏事件跟进处理;部门内部数据安全相关数据、权限流程审批
    • 成员:部门内数据安全接口人(部门数据owner)、包含个人信息业务系统对应的研发人员
  • 备注:组织架构及成员可根据整体公司的部门架构和团队的大小进行调整,总体上要确保以下几点:
    • 公司整体的数据安全制度、规范、日常运营得到公司高层团队的认可及支持,并得到持续的关注
    • 组织结构清晰,人员角色责任明确
    • 架构可以保证数据安全治理持续运营

制度制定

前期优先建立《数据安全管理规范》,分别从组织架构、技术要求、运营管理等方面定义出公司整体关于数据安全管理的要求,建立《数据安全分类分级规范》、《个人信息安全管理规范》制度,分别定义出数据的类型、级别、使用的具体要求信息。后期,随着规范落地的完善及场景的增加,可针对未成年人保护、跨境传输、数据开放等制定相应的规范补充。

数据生命周期安全管理落地

组织、制度建立后,即可按照规范中定义的数据生命周期流程进行相应的技术落地。

收集、生成阶段,注意最小化收集和生成原则,采集的用户数据需要经过合规、法务审核,并在隐私政策或合同中进行说明,对收集和生成数据进行分类分级识别和标注,为后续数据的整个生命周期保护提供依据。

存储阶段,针对机密、私有类的数据进行存储加密(默认数据一般分为机密、私有、敏感、公开)。加密存储注意使用的算法符合行业和监管的要求,一些行业是要求国密算法的。加密方式可以采用成熟的密钥管理系统,方便密钥的期限管理及变更。

调用和传输阶段,所有数据需加密协议传输,涉及敏感数据的接口数据需二次加密。接口调用过程中需有完成的访问控制和鉴权校验。敏感数据接口需根据权限做调用频次限制。对敏感数据的调用行为进行详细的日志记录及实时监控。

使用阶段:系统中用户敏感数据展示,必须脱敏处理,且脱敏必须在后台应用接口上进行;数据使用过程中遵循最小权限原则;根据日志记录及实时监控,对敏感操作进行定期审计;展示敏感数据的页面须具有水印。

共享阶段:根据具体业务场景与PR、GR、信安、法务等商讨和协调,对要共享的数据进行风险评估和隐私合规评估,确保风险可承受后,再通过审批流程,才可进行数据分享。审批流程节点人员需要根据数据量级、数据级别、输出范围进行区别审批。

销毁阶段:原则上对不再使用的业务数据需制定销毁策略和方式。销毁周期注意法律要求的最低保存时间。(《电子商务法》中,第三十一条规定:“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;《非金融机构支付服务管理办法实施细则》第三十九条规定:“支付机构对客户身份信息和支付业务信息的保管期限自业务关系结束当年起至少保存5年)。同时系统或应用要具备根据用户要求,对用户信息进行删除/匿名化的能力。

数据安全的持续运营

组织、制度、规范要求确立后,剩下的就是日常运营来支撑整体数据安全的落地。

  • 根据数据分类分级系统结果,建立数据台账,识别出业务中的敏感数据
  • 利用链路追踪或人工排查的方案,识别出哪些应用中回吐了敏感数据,对接口进行权限校验功能、访问频次限定、操作日志上报、数据接口层面脱敏、水印、可信网关等能力接入
  • 根据上报的敏感数据操作日志进行策略分析运营
  • 结合终端DLP,网络攻击流量、用户行为审计、人力资源系统等非生产环境数据风险特征增强数据分析策略
  • 定期的员工信息安全意识培训教育、行业案例分享、法律法规讲解
  • 数据安全应急响应机制演练

总结

本篇文章更多的是自身在做数据安全治理过程中的总结,没有涉及过多技术细节。介绍了为什么要做数据安全(法律合规要求),设计什么样的组织来推动数据安全,数据安全落地的管理要求和技术要求,以及如何持续迭代进行数据安全的运营。通过这些步骤,基本上形成了满足数据安全的初始框架能力。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论