2023年8月25日,全国信息安全标准化技术委员会秘书处发布《信息安全技术重要数据处理安全要求》(征求意见稿),为确保标准质量,面向社会广泛征求意见,旨在加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用。
随着数据成为国家基础性战略资源,其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外,还有一部分数据十分重要和敏感,即重要数据,其一旦被泄露、损毁、篡改、滥用,可能会带来严重后果,危害国家安全与公共利益。
传统上认为,网络安全分很多层面,例如物理安全、通信安全、边界安全、主机安全、数据安全等。但显然不能单纯把数据安全看作网络安全的一部分,而是保护数据安全必须首先保护网络安全。为此,梳理数据安全的四个内涵:
类别
内涵
数据所在即数据所在的网络与系统的安全。数据安全与所处网络和系统密切相关,网络和系统如果被侵环境的安入则是,皮之不存毛将焉附”,故在这一层面上,网络安全和数据安全是等同的。两者不能切全割,也没必要切割。
数据自身
主要体现在数据自身能否防范被攻击、窃取、篡改等。传统上,这虽然也被认为是网络安全的
安全
一部分,但却是围绕数据自身做文章,典型工作如加密、脱敏等。
数据处理
即数据处理活动要符合法律法规规定。一个机构即使对数据做到了很好的保护,确保其不会受
行为安全
到外部威胁,但如果出现自己滥采滥用的情况,反而是当前国家担心的大问题。
数据要素
数据是新的生产要素,这个要素作用的发挥涉及到数据确权、数据授权、数据定价、数据开发
的安全
利用主体选择、数据开发利用过程监管等一系列新问题,这也是数据安全需要解决的痛点。
标准应该同时涉及重要数据处理的以上方面。但考虑到环境安全(网络与系统安全)已有大量标准规范,此次不过多展开。但有三个方面需要突出:
(1)数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。
(2)数据处理者应当使用密码技术对重要数据进行保护。
(3)数据处理者使用的云应当符合国家云计算服务安全评估制度要求。
除上述外,本标准重点解决第二类和第三类重要数据安全问题,同时适当兼顾第四类数据安全问题。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入查阅下载3万+精选资料,年享1万+精选更新
(星球内含更多未发布精选报告.其它事宜可联系zzxz_88@163.com)
