引言
在当今数字化浪潮的背景下,数据已成为企业和组织的核心资产,数据安全也因此成为企业和组织最紧迫的挑战之一。为了应对日益复杂的威胁和风险,全国信息安全标准化技术委员会(简称“信安标委”)于2023年8月27日发布了关于包括《信息安全技术 重要数据处理安全要求》(征求意见稿)(简称《重要数据处理安全要求》或“本标准”)在内的四项国家标准意见的通知,旨在为企业建立更为完善的数据安全体系提供重要指导。本文将深入评论这份已启动公开向社会公众征求意见的国家标准,从组织管理、数据治理、全生命周期处理活动、供应链安全、评估与审计、应急响应等方方面面探讨其对重要数据保护的意义与实施要求。
全文亮点
组织与人员管理:构建安全责任体系
《重要数据处理安全要求》着眼于从组织和人员管理的角度确保数据安全。确定该义务的重要性不言而喻,因为一个有效的安全责任体系是数据安全的基础。本标准明确提出企业应指定专门的安全负责人和数据安全部门,以确保数据安全责任得到明确划分和有效执行。这种安排有助于在组织内建立起强烈的数据安全意识与责任心,从而使得数据安全责任不再模糊不清。此外,这也有助于确保数据操作在全流程中合规可控,减少人为失误所带来的风险。
全生命周期安全:建立安全防护体系
《重要数据处理安全要求》详细规定了数据处理活动(数据收集、存储、使用与加工、传输、公开和删除等)涉及的数据安全要求和措施。其中,重要数据的收集需要遵循明确的程序和规定,包括数据来源合法、分类分级、重要数据识别和记录等,以确保安全合规和数据质量。数据存储方面要求建立安全保护措施,限制存储位置,设置存储期限,定期备份和恢复,以及保障数据的安全性和可用性。数据使用与加工要求实施严格的访问控制、评估审批和保密审查,确保数据在使用过程中的安全性。数据传输方面需要建立安全通道、加密保护等措施,以防止数据泄露和篡改。对外提供数据时,需制定法律文件(如合同),评估审批接收方的能力,确保安全保护义务得到履行。最后,还强调了数据删除和介质销毁的重要性,要求制定相关规范和措施,确保重要数据从收集到销毁的全过程安全,体现了对重要数据全生命周期的安全管理和保护。
数据治理设施:科技助力数据保护
数据治理作为数据安全的核心要素,在《重要数据处理安全要求》中也得到了充分的强调。数据治理不仅仅是一种策略,更是一个通过技术手段将策略变为现实的过程。本标准鼓励企业借助数据治理工具来实施数据安全策略、监测数据资产和进行数据审计。这意味着企业可以通过技术手段全面管理和监控数据,及早发现潜在的安全隐患。数据治理的引入使得数据的流动、存储和处理变得更加透明和可控,有助于减少数据泄露和滥用的风险。
供应链管理:外部风险管控并重
数据安全不再局限于企业内部,而是需要将供应链也纳入到整体的安全体系之中。这正是《重要数据处理安全要求》对于供应链管理的强调所在。企业在与供应商合作时,往往涉及大量的数据交换和共享,也因此带来了外部风险。本标准要求企业在供应链管理中注重采购管理和供应商管理,以减少外部风险对关键信息的影响。通过建立供应链安全评估机制,企业可以更好地了解供应商的安全状况,从而制定相应的风险防范策略。这种从内部到外部的全面管理,有助于构建更为健全的数据安全生态。
详细解读:
一、适用范围
重要数据处理者应当依法合规进行数据处理,确保重要数据的安全和合法性。同时也明确了本标准适用于广泛的数据处理者,无论是企业、机构还是个人,只要其从事重要数据的处理活动。此外,监管部门、评估机构以及其他有关组织也可以依据本文件对数据处理活动进行安全监管、评估等活动。这种扩展的适用性保证了数据安全标准的统一性,并为监管部门提供了实际操作的指引。
二、重要术语
与现有法律法规和国家标准相比,本标准明确了重要数据的特殊性,更加注重了数据处理活动的全面性,以及数据处理者的责任,特别是在涉及处理重要数据的情况下。而云计算服务平台的安全要求则与多国的云计算相关法律法规相契合,都强调了在使用云服务时的风险评估和安全可信性考虑。
- 重要数据的特殊性与安全保障。术语“重要数据”被定义为特定领域、特定群体、特定区域或达到一定精度和规模的数据。这类数据一旦遭受泄露、篡改或损毁,可能对国家安全、经济运行、社会稳定、公共健康和安全带来严重威胁。这种广泛定义的目的在于确保对这些数据的特殊保护,既强调了数据的关键性,也强调了其潜在风险。
- 数据处理的全面性与综合性。术语“数据处理”涵盖了数据的整个生命周期,包括收集、存储、使用、加工、传输、提供、公开和删除等一系列活动。这种全面性的定义使得数据处理活动不再局限于某一阶段或环节,而是强调了其持续性和复杂性。这与现实中数据的多样性和动态性相吻合。
- 锚定数据处理者的责任与角色。与《中华人民共和国数据安全法》中对数据处理者的定义一致,数据处理者是指在数据处理活动中自主决定处理目的和方式的组织和个人。这突出了数据处理者作为数据处理活动的主体,对数据的安全和合规性承担了直接责任。在数据治理中,明确数据处理者的责任是确保数据保护和合规性的关键一步。因此,处理重要数据的处理者也将成为保护重要数据合规与安全的第一责任人。
- 委托处理的外包与合作。“委托处理”指数据处理者将数据处理活动委托给第三方来执行,包括了数据处理活动中的外包和合作。在现实业务中,很多组织会将部分数据处理活动外包给专业机构,以提高效率和降低成本。然而,这也引发了数据安全和隐私保护方面的风险,特别针对重要数据,如果外包处理不当,将造成重要数据的泄露、篡改或损毁,后果不堪设想,因此需要明确规范。
-
设施安全的重要性与标准要求。在数据安全方面,设施安全要求分为系统安全和云计算服务平台安全两部分。
在系统安全方面,要求处理重要数据的系统应符合GB/T 22239—2019第三级安全要求,并通过网络安全等级保护三级(含)以上测评。这是对系统安全性的明确要求,以保障重要数据在处理过程中的安全性。
针对云计算服务平台安全方面,则强调了(1)在使用社会化云计算服务平台处理重要数据前应进行风险评估;(2)论证重要数据上云的必要性;以及(3)评估云计算服务提供者的安全可信性和平台的安全状况。若针对已经使用了社会化云计算服务平台处理重要数据的,应定期对云计算服务平台进行安全评估;若发现存在不可接受的安全风险时,数据处理者应停止使用社会化云计算服务平台处理重要数据。这反映了对社会化云计算平台处理重要数据的谨慎态度,以及在使用外部系统时的审慎考虑。
三、处理重要数据全生命周期安全义务
- 收集
- 数据来源合法合规
这部分要求数据处理者制定数据收集程序,明确数据收集的目的、方式、范围、存储期限等要求,并进行收集前的安全评估以确保收集的重要数据符合法律法规规定。其次,要求数据来源合规、正当必要,这有助于确保数据的合法性和安全性。再次,从数据治理角度上,要求验证数据的真实性与准确性,以确保数据质量。最后,要求对数据收集过程进行记录,要保证整个数据收集过程可证可查,若涉及来源不合规的重要数据,可要求追溯到源头治理。
2. 数据分类分级制度
要求数据处理者根据国家和行业规定制定数据分类和分级管理制度,以及根据组织情况制定进一步分类和分级的规则。针对分类规则,本标准要求各企业结合自身具体情况,充分考虑数据特征、业务类型等因素,在不违反国家和行业规定的前提下,在企业数据分类管理制度中建立对数据进行进一步分类的规则,落实本企业的数据分类制度;针对分级规则,要求数据处理者根据规定制定数据分级管理制度,并根据安全风险变化动态调整和优化数据分级规则,这有助于根据企业内部数据的重要程度和风险等级采取不同的安全措施,更有利于企业稳健运营过程中保障重要数据的安全。
3. 识别重要数据、编制清单和目录
要求数据处理者制定并定期更新企业内部的重要数据识别制度,明确本企业所涉重要数据的特征,并以清单方式记录重要数据的相关信息,这有助于将重要数据与普通数据区分开来,并对重要数据采取更严格的安全保护措施。同时,本标准还要求数据处理者根据国家规定,采用技术工具对重要数据进行编目,形成重要数据目录,并提供相关信息。并且,本标准还要求数据处理者这有助于对重要数据的管理和监督,定期评审和更新重要数据目录,确保目录的准确、有效、合法和数据的可追溯性和安全性。
值得一提的是,信安标委在2022年初还出台过另外一部重要的国家标准《信息安全技术 重要数据识别指南(征求意见稿)》(简称《指南》),其着重从数据分类的角度出发,指导企业如何准确识别出重要数据。其详细地描述了数据识别的原则和因素,并给出了重要数据描述格式,提高了数据识别的可操作性。这有助于企业系统性地筛选出重要数据,减少遗漏和错误。此外,根据数据的重要性,《指南》将数据分级,有助于企业有针对性地制定安全策略,为不同等级的数据提供相应的保护措施,最大限度地降低数据泄露和滥用的风险的同时保证数据有序流动,释放数据价值。《指南》鼓励企业对数据进行风险评估,动态识别复评风险并制定应对方案。这有助于企业在有限的资源下,合理分配保护资源,提升数据安全效益。
《重要数据处理安全要求》和《重要数据识别指南》虽然在内容上有所区别,但它们实际上是相辅相成的。前者从管理和操作的角度出发,要求企业在数据处理的全过程中遵循安全要求;后者则提供了具体的数据识别方法,帮助企业准确定义关键数据。在实际应用中,企业可以将这两者结合起来,形成一个完整的数据安全体系。首先,通过《重要数据识别指南》明确识别出重要数据,然后根据《重要数据处理安全要求》的指导,制定相应的数据安全管理措施,确保数据在采集、传输、存储和处理的全过程中得到有效保护。
- 存储
- 存储保护机制
要求数据处理者制定重要数据存储管理制度,实施安全保护措施,并通过对重要数据采取加密、内外网隔离、运维人员管理等手段进行重要数据的保密性和完整性保护。这有助于确保存储数据的安全性和完整性。
- 存储位置和期限
本标准要求数据处理者在中国境内存储境内产生的重要数据,并采取措施防止境内访问流量路由至境外。同时,对不同区域之间的数据流动进行安全管控。这有助于保护重要数据不被无授权地传输到境外,确保重要数据的存储安全。
本标准还要求数据处理者在重要数据清单中记录重要数据的存储期限,并及时进行数据的转移、解密等操作,确保数据的保护措施得以及时调整,这有助于避免相关重要数据长时间无效地存储,降低数据泄露风险。以及,已超过存储期限或既定处理目的已不需要的重要数据须及时销毁。
- 备份与恢复
本标准要求数据处理者制定备份与恢复计划,采取措施(如异地备份)和技术工具(自动化工具)保障重要数据的备份和恢复,以应对重要数据丢失等突发情况,这有助于数据的可用性和灾难恢复能力。另外,要求数据处理者建立技术团队,定期评审备份数据与开展数据恢复实践演练。
- 使用与加工
- 访问控制
要求数据处理者制定访问控制策略,建立细粒度的访问控制机制(如最小特权、身份鉴权、使用密钥管理与使用证书管理、严格限定重要数据所在系统的账号设置与使用),限定用户可访问重要数据的范围,防止未经授权的数据泄露和篡改,有助于确保重要数据只被合法授权的人员访问和使用。
- 评估与审批
要求数据处理者制定安全评估制度,对重要数据使用和加工前进行评估(包括目的、范围和方式与清单的一致性、人员访问数据要求的范围、安全防护措施有效性、跨境传输安全性等),以确保符合规定。评估和审批记录须留存三年以上,这有助于保障重要数据在使用和加工过程中的合法性和安全性。
- 保密审查
要求数据处理者建立保密审查制度,规定保密审查的具体责任,防止因数据汇聚等泄露国家秘密信息,同时确保数据加工结果不泄露国家秘密信息,建立保密审查责任追究制度。这有助于避免数据处理过程中的安全隐患,保护国家安全。
- 传输与提供
- 法律文件
要求数据处理者在对外提供重要数据时,制定合同等法律文件明确数据处理的目的、方式、安全保护义务等,并监督接收方的履行情况。这有助于确保数据的安全传输和使用。
通过法律文件,应明确接收方在处理数据时的义务,具体包括以下内容:
(1)重要数据接收方需要按照数据处理合同或协议的约定,不超出约定的目的、范围、方式处理重要数据,且对接收到的重要数据进行保密和安全处理,防止数据泄露、滥用或未经授权的访问;
(2)接收方需要遵循适用的数据保护法律和法规,确保重要数据在处理过程中不会被用于违法活动;
(3)需要建立合适(指不低于数据处理者的数据安全保护能力)的技术和组织措施,以保护数据的安全性和完整性;提供数据销毁机制,超过约定期限后对接收的重要数据进行销毁。
- 评估与审批
要求数据处理者在对外提供重要数据前进行评估,评估提供数据的合法性和安全风险、安全保护技术和管理措施的有效性,以及接收方的安全能力、诚信、守法状况、境外政府机构合作关系、受政府部门处罚情况,这有助于确保数据传输过程中的安全性。
- 传输保护
要求数据处理者采取技术措施保障数据传输的保密性、完整性和不可否认性,确保数据在传输过程中的安全性;要求保护网络边界安全、提供密钥管理系统等,有助于防止数据被未经授权的人员访问和篡改;并且,要求对接收方履行安全保护义务的情况进行监督。
- 交易
要求数据处理者在数据交易时验证接收方身份,保障交易过程中数据的安全性。同时,要求数据处理者对数据交易的全过程进行审计,并采用标记、数字水印、区块链等技术,建立对数据交易过程进行追溯的能力,这有助于防止数据被未经授权的人员获取和使用。
- 向境外提供
- 数据出境安全评估和申报
数据处理者在向境外提供重要数据前,应向国家网信部门进行申报,并通过数据出境安全评估。这一步骤强调了重要数据跨境传输的审慎性和透明性,确保数据出境不会影响国家安全和公共利益。数据出境安全评估旨在评估数据出境对国家安全的影响,以便作出合适的决策。
- 技术和管理措施的采取
在数据出境时,数据处理者需要采取技术和管理措施,确保重要数据的跨境传输在事先明确并向网信部门申报安全评估所告知的目的、范围、方式、数据类型和规模之内进行。这一要求强调了重要数据出境的限制和可控性,以避免数据在跨境传输过程中被滥用或外泄。
- 用户投诉的接受和处理
如果涉及用户对数据出境的投诉,数据处理者应予以接受和处理。这体现了数据处理者在数据出境过程中应当充分考虑用户(既包括ToB用户也包括ToC用户)权益和意见的重要性,确保用户在数据跨境传输中的权益得到保护。
- 数据出境日志记录的保留
数据处理者需要保留与数据出境相关的日志记录,至少保留三年以上。这一要求有助于对数据出境过程进行监督和审计,确保数据出境的合规性和安全性。
- 主管部门或执法部门的核验要求
在主管部门或执法部门核验向境外提供重要数据的类型和范围时,数据处理者应以明文、可读方式展示相应信息。这一要求强调了数据处理者与监管部门之间的协作和透明度,确保数据出境的合规性。
- 数据出境的停止和补救措施
如果主管部门认定某些数据不应该出境,数据处理者应停止数据出境,并采取有效措施对已经出境的数据进行安全补救。这强调了对数据出境决策的及时响应和数据安全保障的要求。
- 向外国司法或执法机构提供重要数据的限制
在未经主管部门批准的情况下,数据处理者不应向外国司法或执法机构提供存储于中国境内的重要数据。这一条款旨在确保数据的主权和安全,防止数据被滥用或不当使用。
- 委托处理
- 制定委托处理管理制度
数据处理者在进行委托处理前,应制定委托处理管理制度。这个制度旨在明确委托处理的流程、管理要求等方面的规定。通过制度的建立,可以确保委托处理过程是有序、合规的,并明确各方的责任和义务。
- 约定数据处理范围和数据安全保护义务
在委托处理过程中,数据处理者需要通过法律文件(通常是合同)明确委托处理数据的范围和受托处理者的数据安全保护义务。这个步骤有利于明确和固定双方的责任和义务,确保数据在委托处理过程中受到适当的保护和控制。
- 采取管理和技术措施保护数据安全
数据处理者需要采取管理和技术措施,确保在委托处理过程中数据的安全。这包括对数据的加密、访问控制、安全审计等方面的保护措施,以防止数据泄露或滥用。
- 监督受委托方的数据安全保护情况
数据处理者有责任监督受托方履行数据安全保护义务的情况。这一步骤确保了数据在委托处理过程中得到适当的保护,数据处理者需要积极参与并监督整个数据委托处理过程。
- 监督及时有效销毁已委托处理完成的数据
一旦委托处理完成,数据处理者需要监督受托方及时有效地销毁已处理完成的数据。这个要求确保了数据在委托处理结束后不会被滥用或不当使用。
- 公开
- 制定重要数据公开管理制度
根据本标准,数据处理者在进行重要数据公开时,首先需要制定相应的重要数据公开管理制度,在制度中明确管理和技术措施等方面的要求,以确保数据公开的过程合规、安全和透明。这体现了一种积极的管理方式,因为违规公开重要数据可能造成严重后果,数据处理者应确保重要数据的公开不仅仅是单纯的信息披露,整个过程需要在一定的规范和控制下进行。
- 评估公开内容、形式、范围、期限的合法性、正当性和必要性
在决定公开重要数据时,数据处理者需要对公开的内容、形式、范围和期限进行评估。这个评估过程需要考虑数据公开的合法性、正当性和必要性。这意味着数据处理者在进行数据公开之前,需要充分考虑数据的敏感性、隐私权以及公众的知情权。只有在确保公开符合法律法规和合规要求的前提下,才能进行公开操作。
- 定期更新和评估已公开的重要数据
本标准要求数据处理者应定期更新和评估已经公开的重要数据。这一步骤的目的是确保公开数据的时效性和准确性。同时,对于已公开的数据,如果发现某些数据不再适宜继续公开,或者超出了公开期限,数据处理者需要采取相应的措施,可能包括召回或销毁处理,以确保数据的安全和合规。
- 综合性的管理策略
这一节体现出管理方面的要求,强调了综合性的管理策略。在数据公开过程中,不仅要考虑数据的内容本身,还需要从法律法规、隐私权、安全保护等多个方面进行权衡和考虑。通过制定制度、评估合规性以及定期更新和评估已公开数据,数据处理者可以在保障数据透明度的同时,避免因数据公开而引发的隐私泄露和安全问题,进一步体现数据处理者的社会责任。
- 数据删除与介质销毁
1. 数据删除
(1)制定数据删除操作规范
数据处理者应制定数据删除操作规范,以确保在数据删除过程中按照统一的标准和程序进行操作。这有助于确保数据删除的一致性和规范性,避免误操作或遗漏。
(2)建立删除评估与审批程序
在删除重要数据之前,数据处理者需要建立删除评估与审批程序。这意味着在删除前需要对拟删除的重要数据范围、理由以及可能的再利用情况进行评估,并经过企业内部数据安全负责人批准后方可进行删除,以确保数据的删除有充分合理的依据并遵守内部程序的。
(3)提供数据删除技术措施和工具
数据处理者需要提供数据删除的技术措施和工具,以确保重要数据在批准后被安全删除,包括删除备份数据、衍生数据和操作日志等,保证以商业手段无法恢复被删除的重要数据,防止被删除重要数据的泄露或不当使用。
(4)建立删除效果评估机制
数据处理者需要建立数据删除效果评估机制,定期检查删除措施的有效性,以确保删除措施能够达到预期效果,以及及时发现并修正潜在的问题。
(5)留存删除过程日志
在数据删除过程中,需要留存相应的日志记录,包括删除的审批、实施过程,以及被删除数据的具体情况,以便对数据删除全过程进行监督和审计,以保障操作的合规性。
(6)更新重要数据清单和目录
在数据删除后,数据处理者应及时更新重要数据清单和目录,确保这些记录反映了数据删除的最新状态,以避免混淆或产生重要数据清单和目录不准确的情况。
- 介质销毁
(1)制定介质管理制度
对于存储重要数据的介质,数据处理者需要制定介质管理制度,明确介质的访问和使用规范。这有助于确保存储介质的访问受到严格的管理和控制。
(2)对存储介质进行标记和对应关系建立
重要数据存储介质应进行标记,并建立重要数据与存储介质之间的对应关系,以助于跟踪和管理存储介质的使用和去向。
(3)制定介质销毁管理制度
数据处理者需要制定介质销毁管理制度,明确介质销毁的策略、对象、流程和技术措施。不同类型的介质需要有相应的销毁方法和机制。
(4)追踪介质管理和销毁过程
通过技术工具和措施,数据处理者需要追踪介质的使用、传递、销毁等过程,并对这些行为进行记录和审计,以确保存储介质的使用和销毁过程符合规定
四、运行与管理安全
这一节详细说明了运行与管理安全方面的要求,涵盖了组织与人员管理、数据治理设施、供应链管理、应急响应、审计和风险评估等方面,旨在建立一套全面的数据安全管理体系。
- 组织与人员管理
作为关键要素之一,《重要数据处理安全要求》明确强调了在重要数据安全管理中的组织和人员管理。数据处理者应指定一个重要数据安全负责人,负责重要数据的安全管理,包括制定数据安全保护计划和风险评估等,并且该负责人应具备数据安全专业知识和相关管理经验。倘若数据安全部门负责人被指派负责执行重要数据安全保护计划的,需要定期向网信部门和有关主管部门报告本企业的数据安全情况,确保数据操作合规且可控。
- 数据治理设施
有效的数据治理是保障数据安全的基石。《重要数据处理安全要求》鼓励企业部署数据治理工具,以实施数据安全策略、监测数据资产以及进行数据审计。这将帮助企业在不同阶段对数据进行全面管理和监控,从而减少数据泄露和滥用的风险。
- 统一安全管理
数据处理者需要通过数据治理工具实施统一管理措施,如访问控制、身份鉴别、密钥和证书管理等,以确保数据安全。这包括制定访问控制策略、统一管理账号、使用密钥管理系统和证书管理系统等。
- 供应链管理
数据处理者在与供应商合作时,注重采购管理和供应商管理,确保从外部引入的风险被最小化。优先选择安全可信的网络产品和服务,并使用数字签名等机制确保采购过程的安全。对供应链进行定期风险评估,有效减少外部风险对企业关键信息的威胁。通过与供应商签署合作协议,明确双方的数据安全责任和义务,以及数据处理目的、保密约定、安全措施等,并对因采购而导致的重要数据向供应商转移的情况需要进行监测和管理。
- 应急响应
在风险和威胁不断增加的背景下,应急响应机制变得尤为重要。本标准明确要求企业建立健全的应急预案,明确应急组织机构、处置流程、保障措施等,以便在安全事件发生时能够快速、有序地做出应对。还需要定期进行应急演练,及时启动应急处置机制,向相关部门报告安全事件情况,并采取必要的措施防止危害扩大,以维护企业的声誉和信任。
- 审计与风险评估
数据安全管理需要持续监测和评估。数据处理者应对数据处理活动进行定期审计和风险评估,以及时发现潜在漏洞并采取相应措施,及早整改治理。同时,需要建立数据安全风险评估制度,至少在特定情况下对重要数据处理活动进行风险评估。风险评估的报告需要提交给相关部门,其中包括处理者的基本信息、安全管理制度、风险情况等内容。
- 配合监督管理
作为企业的社会责任,合作与配合监管部门至关重要。《重要数据处理安全要求》明确要求企业需要与监管部门进行信息交流,制定配合主管部门或执法部门进行数据安全监督检查的流程和规范,提供必要的信息和技术支持,共同推动数据安全的合规发展。
总结与展望
《重要数据处理安全要求》的发布,为企业在数据安全领域提供了更为明确和具体的指导。组织与人员管理、数据治理设施、供应链管理和应急响应等章节的要求,使得企业在建立完整的数据安全体系时有了更为清晰的指引和方向。这不仅有助于保障关键信息的安全、提高数据安全且有序流动,也为企业在数字化时代的可持续发展提供了坚实的基础。
然而,值得注意的是,数据安全永远都是一个持续不断的挑战。随着技术的不断演进,威胁的形式也在不断变化,对企业的数据安全挑战也在不断升级,因此,企业需要不断学习和适应,不断建设与完善自身的数据安全体系以保障企业、社会和国家的信息与数据安全。同时,政府、企业和社会也需要共同合作,推动数据安全法规的完善和技术创新的发展,从而构建更为安全的、可持续的数字化生态环境。