2021年6月10日,历经三审,第十三届全国人大常务委员会第二十九次会议审议通过《中华人民共和国数据安全法》,自2021年9月1日正式实施。
数据的意义和价值
一般将数据的生命周期分为:产生、使用、传输、存储、销毁,通过信息分类政策制定信息分类矩阵保护每个生命周期数据的安全。很多企业都会制定信息分类政策,按照常规意义将数据划分为:公开、内部、机密、高度机密4类,数据敏感程度逐渐增大。机密数据对于企业至关重要,是企业的命脉,同时,任何数据都有价值。
根据《数据安全法》第二十一条,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护。 欧洲某外资银行发生过真实的案例,存储几十个****的U盘没有加密,在快递过程中丢失,监管机构开出罚单300万英镑。根据Verizon最新发布的《2019年数据泄露调查报告》,银行业中DoS攻击和应用程序中使用窃取凭证的现象普遍存在。其中,网络应用程序攻击、滥用特权和其他错误导致数据泄露占比高达72%,造成的数据泄露中43%为个人信息泄露,38%为凭证信息泄露,38%为内部业务信息泄露。金融获益是网络攻击最常见的动机,占比高达88%,另外间谍攻击占比达10%。
数据分类的重要性
企业数据安全面临的内部风险
企业数据安全面临的外部风险
01、法律法规
以网络安全法、数据安全法、GDPR为代表的一系列国内外法律法规的颁布,增大了数据合规和数据跨境风险。
02、安全攻击
03、新技术快速应用
04、安全边界失效
安全行业普遍认为,要确保数据安全,首先要建立完善数据安全治理机制,然后再来落实管 理与技术措施。国际上知名的数据安全治理的最佳实施为微软的DGPC和高德纳的DSG,这两个方法都强调了技术工具、组织人员及策略流程为核心的数据安全治理机制的重要性。
数据安全治理框架:Gartner DSG
企业数据安全体系设计
数据安全治理的组织架构建设
《中华人民共和国网络安全法》
《数据安全法》
《个人信息保护法》
《信息安全技术个人信息安全规范》
《大数据安全管理指南》
《数据安全能力成熟度模型》
《信息安全技术网络安全等级保护基本要求》
《信息安全技术 大数据服务安全能力要求》
《信息安全技术 个人信息安全影响评估指南》
《信息安全技术 个人信息去标识化指南》
《个人金融信息保护技术规范》
《银行业金融机构数据治理指引》
《证券期货业数据分类分级指引》
《关于做好2020年电信和互联网行业网络数据安全管理工作的通知》
个人信息和重要数据出境安全评估办法(征求意见修改稿)
数据安全管理办法(征求意见稿)
GDPR 欧盟《一般数据保护条例》
CCPA 美国
日本出口管制法
ISO/IEC 27701
ISO/IEC 27018
数据安全治理白皮书3.0(中国(中关村)网络安全与信息化产业联盟发布)
中小银行数据安全治理研究报告(谷安研究院安全牛发布)
数据安全治理实践指南(中国信通院发布)
DPO(数据保护官)
DSG(注册数据安全治理专业人员)
数据安全风险评估方法、数据安全风险识别分析、数据安全治理的技术和工具,数据调研表、企业数据资产清单模板、数据安全治理的组织架构建设数据分级分类样例请点击《数据安全治理》访问完整内容。
本文作者:牛油果 1472301220
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/163190.html
如有侵权请联系:admin#unsafe.sh