日前,《个人信息安全保护法》和《数据安全法》已完成第二次审议。对于企业来说,未来法规的正式颁布实施将会是把双刃剑,一方面是可提高民众的意识,利于推动数据安全各项工作的落地;另一方面则是利用法律的威慑力,对企业开展数据安全工作进行有效约束。
如何做好数据全生命周期管理,一直是一个头疼的课题。本文将对“数安法(草案)二次审议稿”中涉及企业数据全生命周期管理的合规要求进行简要分析。
法规背景
“数安法(草案)二次审议稿”一共七章五十一条,其中“总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节则围绕“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”四个方面提出工作要求。
数据全生命周期安全合规要求
(1) 制度建立
建立健全全流程数据安全管理制度,落实数据安全保护责任,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施保障数据安全。
(2) 风险监测
对数据处理活动中出现的缺陷、漏洞等风险,要釆取补救措施;发生数据安全事件要按规定上报。
(3) 风险评估
对数据处理活动定期开展风险评估并上报风评报告。
(4) 收集使用
任何组织、个人收集数据必须釆取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
(5) 数据交易
数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。
(6) 存储加工
委托他人存储、加工或提供政务数据,要先审批,并做好监督。
(7) 配合调查
要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,须先审核。
(8) 审批与监督
委托他人建设、维护系统,或涉及存储、加工数据,应当经过严格的批准程序,并监督受托方、数据接收方履行相应的数据安全保护义务。
以上八个方向作为数安法对企业落实数据安全生命周期管控的基本要求。
数据全生命周期安全实施建议
数据全生命周期涵盖收集、传输、存储、处理、共享、销毁共六个阶段,针对数据全生命周期的安全管理也是企业开展数据安全管理的核心和难点工作。
(1) 数据采集:
数据采集规范中要明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容,并对数据来源进行源鉴别和记录。制定明确的采集策略,只采集经过授权的数据并进行日志记录。对数据采集过程中的风险项进行定义,形成数据采集风险评估规范。数据采集全过程需要符合相关法律法规和监管要求,做到合规合法的采集。
(2) 数据传输:
做好传输接口管控和监测。建议对涉敏数据进行加密传输,主要用到的是对称加密算法和非对称加密算法,推荐的对称加密算法如:DES、IDEA、AES、SM1(国密算法),非对称加密算法如:RSA、ECC、SM2(国密算法)。
(3) 数据存储:
重要数据境内存储,做好存储介质管理,建立数据存储备份机制,并定期开展备份恢复演练。
(4) 数据处理:
严格遵循数据处理最小化、必要原则,明确数据的处理和使用规范,确保员工只能访问职责所需的最少够用的敏感数据。对数据进行操作时,应做好去标识化处理,明确数据脱敏的业务场景和统一使用适合的脱敏技术。
(5) 数据共享:
一是建立数据共享规范,共享前应进行严格的审批并存档,同时开展个人信息安全影响评估;二是共享前开展风险评估(记录留存3年),与共享的接口调用方签订合作协议;三是开展共享监测和审计,数据导入导出应进行严格的审批和监控,建立数据交换和共享审核流程和监管平台,以确保数据对于数据共享的所有操作和行为进行日志记录,并对高危行为进行风险识别和管控。
(6) 数据销毁:
应建立数据销毁机制,明确存储介质删除方法,数据销毁需由领导审批,同时采用可靠的技术手段,确保被删除和销毁的用户个人电子信息不能被再次还原。针对不同的存储介质和设备有其不可逆的销毁技术及流程,建立销毁监察机制,严防数据销毁阶段可能出现的数据泄露问题。
数据销毁包含物理层面和逻辑层面的销毁,按照处理成本、复杂性和安全性由低到高的顺序,将数据销毁方式分为三个级别:
- 一级销毁方式:在软件系统层删除数据;
- 二级销毁方式:在存储介质层清除数据;
- 三级销毁方式:物理破坏数据及其存储介质。
在对数据全生命周期监管的同时,为了对数据实现监控和审计,数据分级分类必不可少。在数据分级分类之前,需要通过数据测绘来发现敏感数据,以及数据主要存储的位置。对数据进行结构化分级分类分级,实现对数据资产安全进行敏感分级管理,并依据各级别部署相对应的数据安全策略,以保障数据资产全生命周期过程中,数据的保密性、完整性、真实性和可用性。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】