合規視角下的全生命周期數據安全治理
日前,《個人信息安全保護法》和《數據安全法》已完成第二次審議。對于企業來說,未來法規的正式頒布實施將會是把雙刃劍,一方面是可提高民眾的意識,利于推動數據安全各項工作的落地;另一方面則是利用法律的威懾力,對企業開展數據安全工作進行有效約束。
如何做好數據全生命周期管理,一直是一個頭疼的課題。本文將對“數安法(草案)二次審議稿”中涉及企業數據全生命周期管理的合規要求進行簡要分析。
法規背景
“數安法(草案)二次審議稿”一共七章五十一條,其中“總則”、“法律責任”及“附則”三章屬于常規章節,另外四個章節則圍繞“數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放”四個方面提出工作要求。
數據全生命周期安全合規要求
(1) 制度建立
建立健全全流程數據安全管理制度,落實數據安全保護責任,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施保障數據安全。
(2) 風險監測
對數據處理活動中出現的缺陷、漏洞等風險,要釆取補救措施;發生數據安全事件要按規定上報。
(3) 風險評估
對數據處理活動定期開展風險評估并上報風評報告。
(4) 收集使用
任何組織、個人收集數據必須釆取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。
法律、行政法規對收集、使用數據的目的、范圍有規定的,應當在法律、行政法規規定的目的和范圍內收集、使用數據。
(5) 數據交易
數據服務商或交易機構,要提供并說明數據來源證據,要審核相關人員身份并留存記錄。
(6) 存儲加工
委托他人存儲、加工或提供政務數據,要先審批,并做好監督。
(7) 配合調查
要求依法配合公安、安全等部門進行犯罪調查。境外執法機構要調取存儲在中國的數據,須先審核。
(8) 審批與監督
委托他人建設、維護系統,或涉及存儲、加工數據,應當經過嚴格的批準程序,并監督受托方、數據接收方履行相應的數據安全保護義務。
以上八個方向作為數安法對企業落實數據安全生命周期管控的基本要求。
數據全生命周期安全實施建議
數據全生命周期涵蓋收集、傳輸、存儲、處理、共享、銷毀共六個階段,針對數據全生命周期的安全管理也是企業開展數據安全管理的核心和難點工作。
(1) 數據采集:
數據采集規范中要明確數據采集的目的、用途、方式、范圍、采集源、采集渠道等內容,并對數據來源進行源鑒別和記錄。制定明確的采集策略,只采集經過授權的數據并進行日志記錄。對數據采集過程中的風險項進行定義,形成數據采集風險評估規范。數據采集全過程需要符合相關法律法規和監管要求,做到合規合法的采集。
(2) 數據傳輸:
做好傳輸接口管控和監測。建議對涉敏數據進行加密傳輸,主要用到的是對稱加密算法和非對稱加密算法,推薦的對稱加密算法如:DES、IDEA、AES、SM1(國密算法),非對稱加密算法如:RSA、ECC、SM2(國密算法)。
(3) 數據存儲:
重要數據境內存儲,做好存儲介質管理,建立數據存儲備份機制,并定期開展備份恢復演練。
(4) 數據處理:
嚴格遵循數據處理最小化、必要原則,明確數據的處理和使用規范,確保員工只能訪問職責所需的最少夠用的敏感數據。對數據進行操作時,應做好去標識化處理,明確數據脫敏的業務場景和統一使用適合的脫敏技術。
(5) 數據共享:
一是建立數據共享規范,共享前應進行嚴格的審批并存檔,同時開展個人信息安全影響評估;二是共享前開展風險評估(記錄留存3年),與共享的接口調用方簽訂合作協議;三是開展共享監測和審計,數據導入導出應進行嚴格的審批和監控,建立數據交換和共享審核流程和監管平臺,以確保數據對于數據共享的所有操作和行為進行日志記錄,并對高危行為進行風險識別和管控。
(6) 數據銷毀:
應建立數據銷毀機制,明確存儲介質刪除方法,數據銷毀需由領導審批,同時采用可靠的技術手段,確保被刪除和銷毀的用戶個人電子信息不能被再次還原。針對不同的存儲介質和設備有其不可逆的銷毀技術及流程,建立銷毀監察機制,嚴防數據銷毀階段可能出現的數據泄露問題。
數據銷毀包含物理層面和邏輯層面的銷毀,按照處理成本、復雜性和安全性由低到高的順序,將數據銷毀方式分為三個級別:
- 一級銷毀方式:在軟件系統層刪除數據;
- 二級銷毀方式:在存儲介質層清除數據;
- 三級銷毀方式:物理破壞數據及其存儲介質。
在對數據全生命周期監管的同時,為了對數據實現監控和審計,數據分級分類必不可少。在數據分級分類之前,需要通過數據測繪來發現敏感數據,以及數據主要存儲的位置。對數據進行結構化分級分類分級,實現對數據資產安全進行敏感分級管理,并依據各級別部署相對應的數據安全策略,以保障數據資產全生命周期過程中,數據的保密性、完整性、真實性和可用性。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
