数据监管法律体系日益完善,数据安全认证评估势在必行

近年来,全球数据安全事件频发、数据安全问题日益复杂,大数据的深化应用受到威胁,企业跨国经营、外域数据安全亟需监管,各国纷纷出台数据安全相关法律法规以保障国家利益。我国也在积极进行数据安全保障领域的立法与战略规划,推进数据安全保障能力建设。
随着新一代信息技术的发展,数据作为新的生产要素,已成为基础性资源和战略性资产,其安全关乎国计民生。在产业数字化、数字产业化、建设网络强国和数字中国的进程中,如何在保障数据安全、个人隐私的同时,挖掘数据价值、促进数据的开发利用,已成为数字经济时代面临的新课题。
近年来,全球数据安全事件频发、数据安全问题日益复杂,大数据的深化应用受到威胁,企业跨国经营、外域数据安全亟需监管,各国纷纷出台数据安全相关法律法规以保障国家利益。我国也在积极进行数据安全保障领域的立法与战略规划,推进数据安全保障能力建设。
01
制定数据监管法律法规,筑牢数据安全保障基础
9月1日,《数据安全法》正式施行,连同已经颁布实施的《网络安全法》和即将实施的《个人信息保护法》,将大大提升国家整体数据安全保障能力,共同构建起国内的数据监管法律体系。
中国信息通信研究院云计算与大数据研究所所长何宝宏介绍:“《数据安全法》注重的是数据,强调的是安全的保护;《个人信息保护法》是落实《数据安全法》的细分领域,强调个人信息在采集加工环节的规范性。多项安全领域的法律将共同构建数据及个人信息安全的法律屏障。”赛宝认证中心安全专家陈艳认为,《数据安全法》明确了外域数据的安全监管,数据安全合规义务,组织和个人的法律责任以及处罚规则,筑起了数据的安全防线。
02
建立数据安全管理体系,打造专业安全防护能力
陈艳介绍,数据安全相关法律的出台,将促进企业增强安全责任,为实现合规,建议企业重点从以下几个方面建立数据安全防护体系。
一是制度建设方面,设立数据安全管理部门、明确数据安全责任人;建立数据分类分级保护制度,在网络安全等级保护基础上,根据企业自身业务特点建立全流程数据安全管理制度。
二是过程管控方面,结合法律法规、行业标准等对数据生命周期进行合规性审查,对涉及的核心数据、个人敏感数据等进行定期梳理和风险评估,向有关部门报送风险报告;依据合规审查、风险评估的问题,整改、制定数据保护规范、流程;建立监测预警和事件应急处置机制,结合技术和工具实时监测数据安全风险及时处置事件并报告,进行定期与不定期的审查。
三是组织保障方面,定期进行企业数据合规的培训和宣传,将企业人员的合规意识与企业文化相结合,进行长期的宣导;通过日常评价企业和责任人数据安全的合规性考核,确保组织合规效果,落实合规责任。
03
运用数据安全核心技术,提升数据安全防护水平

除了建立企业的数据安全管理体系,企业的数据安全需要专业技术和工具。陈艳建议:一是可以将法律法规、公司规章制度等转化为技术(机器)语言,实现在信息系统处理信息时实现对数据的保护;二是利用差分隐私计算、多方安全计算等技术,使用专业工具从数据的采集、传输、存储、治理过程中提高企业和个人信息保护的技术能力,从而兼顾数据价值和数据安全;三是参照推荐性国家标准和行业标准要求,提高技术保障能力,主动发现、有效处置各类风险事件。

04
实施数据安全评估认证,为数据安全保驾护航
《数据安全法》中明确提出,“促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。”陈艳介绍,目前针对于数据安全的主流认证涉及数据安全能力评估、个人信息安全、隐私管理等方面。具体为:DSMM(数据安全能力成熟度评估)、ISO27701(个人隐私信息保护认证)、ISO27018(公有云个人信息保护)、ISO27017(公有云安全)、ISO27001(信息安全管理体系认证)、C-STAR(云安全)等。赛宝认证中心在1979年率先把“Certification(认证)”概念引入中国,今天也是信息安全认证领域的权威机构,可以帮助企业在数据安全风险评估、防范、处置、能力建设等方面建立体系。
随着数据安全上升到国家战略高度,企业需要重视在数据安全上的规划和建设投入,数据安全是否合规、有无数据安全风险、数据安全技术是否过硬,将成为衡量企业核心竞争力的重要指标。陈艳建议企业寻求专业机构对企业的数据安全现状进行诊断,并依据企业现状对数据及其安全性进行整体规划设计,从战略布局、制度建设、技术革新、能力评估等方面,全方位打造企业的数据安全防护体系。

来源:业界供稿

0赞

好文章,需要你的鼓励

2021

09/20

16:31

分享

点赞

邮件订阅