《数据安全法》2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。
《数据安全法》分别从监管体系、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等方面,对数据处理活动进行规制,有效补充了《网络安全法》、《民法典》在规范数据处理活动中的不足。《数据安全法》将与《网络安全法》以及正在制定中的《个人信息保护法》一起,全面构筑中国数据安全领域的法律框架。
现有的《网络安全法》和《数据安全法》有怎样的区别,企业的网络安全根据《数据安全法》的实施又该有哪些需要注意的呢?华清信安帮助企业进行了简单的分析和整理。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
《数据安全法》中明确说明数据是指“任何以电子或者其他方式对信息的记录”,数据包含除了《网络安全法》中的网络数据还包含了其他非电子形式的数据,如纸质档案文件等数据。将电子形式和其他形式的信息记录统一进行保护,数据的覆盖范围相比于《网络安全法》中的网络数据更加广泛。《数据安全法》对数据流通整个过程的数据保护,企业需要注意在数据全流程每个步骤建立相应的安全防护,持续保障数据安全。
第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
网络信息需要先满足《网络安全法》中的等级保护制度,在此基础上进行数据安全的进一步保护工作。可以理解为网络信息数据保护是在网络安全中对数据安全的要求升级。企业完成《数据安全法》中数据实行分级保护制度,目前还有待国家数据分类分级制度规章的落地和确定。所以企业在《数据安全法》发布后,首先要做的是完成等级保护工作,建立健全全流程数据安全管理制度。
第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
定期进行安全风险评估分析是风险防控的控制措施,是企业持续发展的保障。《数据安全法》中要求企业对重要数据定期开展风险评估,并在“开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告”。
华清信安可以为各行业企业提供全流程等级保护咨询服务,服务范围覆盖全国,拥有2000+项目经验。
华清信安是安全厂商结合等保咨询服务具有专业优势,可以提供一站式实现等保五个环节全流程服务。
华清信安拥有DJJS能力认证资质,专业的项目团队和技术人员有等保测评师证书(CIIP-E)、CISP证书、CISAW安全保障证书的专业资质。
作为国内最早开展等保服务的安全公司之一,华清信安有丰富经验和优质资源,服务超过2000+企业顺利完成等级保护工作,项目100%成功交付。
专业的售后可以持续为企业提供保障服务1年,协助企业年度安全检查,可以帮助企业定期进行漏扫/渗透测试,提供安全加固服务、应急响应服务、安全培训服务。
华清信安可以为企业提供专业的TDR智能安全运营服务解决方案、USP统一安全平台解决方案、硬件产品解决方案等,专业的技术团队提供多种解决方案帮助企业顺利完成等级保护工作。
TDR智能安全运营解决方案:TDR其体系设计理念完全契合等级保护和 IATF 的纵深防御思想,为客户搭建了一套检测-防护-监测-响应-管理的安全体系,覆盖到等级保护三级大部分的技术要求和安全建设与运维管理要求。通过接入华清信安 TDR-GSDN安全网络,并结合华清信安等级保护咨询的其它服务内容(如管理制度建设、整改等),无需再采购其他安全产品或服务就可以顺利通过等级保护测评,满足网络安全法律法规和国家政策的合规要求。
USP统一安全平台解决方案:USP采用专用安全操作系统,通过内置专用硬件阵列集成了下一代防火墙模块、入侵检测与防护模块、DDoS攻击防护模块等多种安全防护模块,通过部署USP能够比较全面地满足等级保护各方面的测评要求。
华清信安风险评估咨询服务通过梳理客户的IT资产,识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度、以及安全控制措施的有效性等要素,对重要信息系统所面临的信息安全风险进行识别和定性评估,并对所有评估发现的不可接受风险给出对应的安全处置和加固建议,协助客户提升对重要信息系统的安全风险管理和安全保障能力。