首页 私房

对两部委“关于开展数据安全管理认证工作的公告”的文件解读与建议

时间:2023-08-19 20:56:15 栏目:私房

2022年6月9日,国家市场监督管理总局和国家互联网信息办公室联合发布了“关于开展数据安全管理认证工作的公告”(文号为2022年第18号,以下简称18号文)。


18号文的发布,在数据安全领域引起了较大反响。本文将对18号文发布的影响和要求进行分析,并基于分析结果为企业组织的数据安全管理体系建设提供可参考的建议。

图1:18号文公告


►►

18号文发布的背景与影响


随着《..网络安全法》、《..数据安全法》、《..个人信息保护法》、《关键信息基础设施安全保护条例》这“三法一条例”的陆续发布,从国家到社会与个人已经逐步形成了加强数据安全保护的态势。


但是实际工作中,各级组织在积极开展数据安全建设的同时,也遇到了一些典型的问题。其中,数据治理机制、数据分类分级、数据安全防泄露、数据隐私保护、数据资产确权、数据跨境流动等问题引起了广泛关注。此外,数据安全管理体系的认证也是当前迫切需要解决的重要问题。


对于大部分组织来说,数据安全管理体系建设是一个全新的概念,采用科学的方法论进行建设尤其重要。目前被广泛采纳的方法论有Gartner的数据安全治理框架(DSG)、微软的DGPC框架、《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》、信通院的数据安全建设方法《T/ISC-0011-2021 数据安全治理能力评估方法》等。


在重点行业领域,金融行业主要遵循中国人民银行提出的《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0197-2020 金融数据安全 数据安全分级指南》和《JR/T 0223-2021金融数据安全 数据生命周期安全规范》;电信和互联网行业参照的标准是工信部发布的《电信和互联网企业网络数据安全合规性评估要点》;健康医疗行业参考的标准是《GB/T 39725-2020信息安全技术 健康医疗数据安全指南》等。


这些数据安全标准规范及良好实践,虽然从不同角度提出各自的方法,但对于数据安全体系要达到什么程度却缺乏权威的认证要求。18号文的发布,第一次表明了国家主管部门将加强对数据安全的规范化管理,开展统一的认证工作,并发布《数据安全管理认证实施规则》,以明确对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。


18号文明确要求参照国家标准《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》的数据安全管理认证(DSM),这是对基于国内标准数据安全管理认证的重要补充与完善。


18号文的发布单位,是国家市场监督管理总局和国家互联网信息办公室。其中,国家市场监督管理总局对国家统一的认证认可和合格评定具有监督管理的职能;而国家互联网信息办公室具有统筹协调网络数据安全和相关监管工作的职能。《..数据安全法》第六条明确规定,“国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作”。因此,该两大部门发起的数据安全管理认证是具有较强权威性的。


►►

对《数据安全管理实施认证规则》的解读


18号文明确了数据安全管理认证是按照《数据安全管理认证实施规则》来实施,此规则的制定依据是《..认证认可条例》。而认证认可条例所称的“认证”是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。


因此,《数据安全管理认证实施规则》所说的认证应当是针对网络运营者的数据安全管理体系开展的认证活动,以验证网络运营者是否建立了有效的数据安全管理体系来进行网络数据的收集、存储、使用、加工、传输、提供、公开等处理活动。

图2:《数据安全管理实施认证规则》主要内容


(一) 认证依据


《数据安全管理认证实施规则》制定的主要依据有:《数据安全法》第十八条——国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动;《网络数据安全管理条例》(征求意见稿) 第三十五条第二款——数据处理者和数据接收方均通过国家网信部门认定的专业机构进行个人信息保护认证;《..认证认可条例》第二条——本条例所称认证,是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。


(二) 认证要求


《数据安全管理认证实施规则》中明确了组织开展数据安全认证的依据是将于2022年11月1日实施的《网络数据处理安全要求 GB/T 41479-2022》;认证适用的范围是对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证;认证模式是技术验证+现场审核+获证后监督,提出对认证时限和认证证书和认证标志的相关要求;认证过程是认证委托+技术验证+现场审核+认证结果评价和批准+获证后监督。


(三) 认证责任


认证机构应依据实施规则的要求细化认证实施程序,制定科学、合理、可操作的认证实施细则并对外公布实施,认证实施时其责任是对现场审核结论、认证结论负责;技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告,认证实施时其责任是对技术验证结论负责;认证委托人应当按认证机构要求提交认证委托资料,并配合认证机构和技术验证机构的现场审核与验证工作,其责任是对认证委托资料的真实性、合法性负责。


►►

对《网络数据处理安全要求》的解读


18号文明确了数据安全管理认证依据是《网络数据处理安全要求 GB/T 41479》及相关标准规范的最新版本。


《网络数据处理安全要求》结合了《..数据安全法》、《..个人信息保护法》、《GB/T 35273-2020个人信息安全规范》等规定,从数据处理安全总体要求、数据处理安全技术要求、数据处理安全管理要求三个方面规定了网络运营者开展数据处理活动的安全要求,参见下图:

图3:《网络数据处理安全要求》主要内容


(一)数据处理安全总体要求


数据识别--识别数据并形成数据保护目录,及时更新。


分类分级--按照国家标准、国家规定和业务运营需要,分类分级管理。


风险防控--建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,及时处置安全事件,组织开展教育..。


审计追溯--对数据处理的全生存周期进行记录,确保数据处理可审计、可追溯。


(二)数据应用生命周期过程的数据处理安全技术要求


通用--开展数据处理时应进行影响分析和风险评估,采取必要措施对识别的风险进行控制。


收集--遵循合法、正当、必要的原则,不收集与其提供的服务无直接或无合理关联的个人信息,不强迫收集个人信息;收集敏感个人信息前应获取单独同意。


存储--存储重要数据和个人信息不应超过约定期限或授权同意有效期;存储重要数据和个人信息等敏感网络数据,应采用加密、访问控制、安全审计等安全措施。


使用--(1)定向推送及信息合成:提供定向推送信息服务的同时应提供非定向推的选项;在提供新闻、博客类信息服务的过程中,利用算法自动合成文字、图片、音视频等信息,应明确告知用户;(2)第三方应用管理:监督第三方应用运营者加强数据安全管理;通过合同等形式明确双方的责任和义务;宜对接入或嵌入的第三方应用开展技术检测。


加工--在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的,应立即停止加工活动。


传输--传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定。


提供--(1)向他人提供:进行安全影响分析和风险评估;向他人提供个人信息应履行告知义务并获取同意;委托第三方开展数据处理活动应通过合同等形式明确处理目的、权利义务等相关信息;共享、转让重要数据需签订合同明确数据保护责任并采取保障措施;(2)数据出境:遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的,其流量不应路由至境外。


公开--利用所掌握的数据资源,公开市场预测、统计等信息时,不应危害国家安全、公共安全、经济安全和社会稳定。


私人信息和可转发信息的处理方式--即时通信等社交..运营者宜为用户提供发送私人信息和可转发信息的选项,宜对以私人选项发送的信息不提供转发功能;宜对以可转发选项发送的信息或者转发此类信息的,同时发送信息始发者在该..上的账号名称,该账号名称唯一且不可更改。


个人信息查阅、更正、删除及用户账号注销--建立渠道和机制,及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账号的请求,不应对请求设置不合理条件。


投诉、举报受理处置--建立投诉、举报受理处置制度。


访问控制与审计--基于数据分类分级,明确相关人员的访问权限;对重要数据、个人信息的关键操作(例如批量修改、拷贝、删除、下载等),设置内部审批和审计流程,并严格执行。


数据删除和匿名化--符合法定情形时要及时履行删除义务;存储重要数据和个人信息的介质进行报废处理时,应采用物理损毁等方式销毁介质,以确保数据不能被恢复。


(三)数据处理安全管理要求


数据安全责任人--处理重要数据和敏感个人信息的,应明确数据安全责任人,并为其提供必要的资源保障,保证其独立履行相关职责。


人力资源保障与考核--明确数据安全保护岗位及职责,并提供人力资源保障;建立人力资源考核制度,明确数据安全管理考核指标和问责机制。


事件应急处置--应建立数据安全事件应急响应机制,配备应急响应所需的资源,制定应急演练计划。


►►

对数据安全管理体系建设的建议


《数据安全管理认证实施规则》要求针对网络运营者的数据安全管理体系开展认证活动,那么组织首先应当如何建立有效的数据安全管理体系?


我们认为组织的数据安全管理体系建设应在《网络数据处理安全要求》的基础上,从数据安全规划、数据安全治理机制、数据安全生命周期管理、数据安全技术应用、数据安全日常运营五个方面开展组织数据安全管理体系建设,以满足数据安全合规和保护组织数据安全的要求。

图4:基于《网络数据处理安全要求》的数据安全管理体系框架


(一) 数据安全规划


从数据安全总体策略、数据处理的业务影响分析和风险评估、数据的分类分级、数据保护目录和数据保护计划五个方面进行数据安全规划。


•数据安全总体策略


构建全方位的数据安全体系,保障数据的安全与合规有序流动,在数据全生命周期过程中确保数据不丢失、不泄露、不被篡改、业务永远在线、可追溯和隐私合规等,已经成为企业当前数字转型过程中的核心诉求。


企业应建立数据安全总体策略,确保企业的所有数据是合法合规应用、确保安全与发展并重;建立安全可信的数据基础设施,建设覆盖数据全生命周期的数据安全体系,从数据安全的治理机制、数据安全防护的关键技术、数据安全的合规体系建设等方面来规划与建设适宜的数据安全体系。


•数据处理的业务影响分析和风险评估


数据处理的业务影响分析和风险评估,可遵循信息安全风险评估的基本原理,基于组织的数据安全策略,从数据全生命周期安全出发,通过对数据资产的重要程度、数据安全管理制度流程的设计和执行情况、数据安全技术工具的有效性等多方面进行信息收集和分析,评估数据处理活动存在的安全风险。


风险评估首先应明确待评估的数据资产范围,然后基于数据安全相关的法律法规和标准规范设定具体的评估项和评估指标。


《网络数据处理安全要求》定义的数据,包括重要数据、个人信息和其他数据。重要数据是指一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据,其范围可参照《..数据安全法》、《网络数据安全管理条例(征求意见稿)》等相关法律法规,包括未公开的政府信息、数量达到一定规模的基因、地理、矿产信息等。


个人信息是以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息,包括姓名、出生日期、公民身份号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。对个人信息处理活动的风险评估,通常称为影响分析,可参考的标准有《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》和《ISO/IEC 29134-2017 信息安全技术 隐私影响评估指南》。


个人信息安全影响评估,是针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。

图5:个人信息安全影响评估的基本原理


其他数据主要是组织的经营管理数据,包括战略数据、人事数据、财务数据、科研数据、销售数据等。


普通数据安全的风险评估没有固定的标准,为了与数据安全管理认证紧密联系,风险评估的依据可以在满足《网络数据处理安全要求》的基础上结合本行业监管部门的要求,如金融行业可参考《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0223-2021金融数据安全 数据生命周期安全规范》,电信互联网行业可参考《电信和互联网企业网络数据安全合规性评估要点》等。


数据安全风险评估的流程包括评估准备、评估实施、安全分析、报告编制、结果评审等;数据安全风险评估的方法包括问卷调查、人员访谈、文档查验、配置核查、工具测试、旁站验证等。


通过对数据处理活动开展风险评估,可以评价组织自身以及数据处理活动第三方合作机构的数据安全保护能力,为组织建立数据安全保护体系、明确数据安全保护策略和加强第三方合作机构的数据安全管理提供参考。


•数据分类分级


数据分类分级是数据安全治理的基础,“网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级管理。”


目前组织可参考或借鉴的数据分类分级的标准,主要有证监会发布的《JR/T 0158-2018 证券期货业数据分类分级指引》、中国人民银行发布的《JR/T 0197-2020 金融数据安全 数据安全分级指南》、中国人民银行发布的《JR/T 0171-2020 个人金融信息保护技术规范》,工业和信息化部办公厅发布的《工业数据分类分级指南(试行)》,以及全国信息安全标准化技术..秘书处发布的《网络安全标准实践指南—网络数据分类分级指引(v1.0-202112)》等。


数据分类分级具有多种视角和维度,组织可在遵循国家和行业数据分类分级要求的基础上,按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,其中个人用户数据,可参考《..个人信息保护法》、《GB/T 35273-2020 信息安全技术 个人信息安全规范》、《JR/T 0171-2020 个人金融信息保护技术规范》等要求进行个人信息的分类分级。


用户数据之外的其他数据可从业务条线出发,首先对业务细分,然后对数据细分,形成从总到分的树形逻辑体系结构,最后对分类后的数据从影响对象、影响范围和影响程度三个方面确定级别,同时考虑确定数据形态。

图6:数据分类分级的基本流程


组织应制定数据分类分级标准和方法,对数据进行分类分级,并在数据内容发生变化、数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化等多个场景下对数据进行重新定级。


•数据保护目录


数据保护目录,也就是需要保护的数据资产清单。组织应对数据资产进行全面梳理,包括结构化数据和非结构化数据,明确数据资产的级别信息,形成数据资产清单。

图7:数据资产清单示例


组织也需要对数据资产清单进行维护、管理和定期审核,依据数据分类分级标准,建立数据分类分级保护策略,对数据实施全流程分类分级管理和保护。


•数据安全保护计划


组织依据数据分类分级的结果和数据保护目录,制定数据安全保护计划,采用不同的安全策略和管理流程,以及采用的数据安全保护技术手段,对不同安全等级的数据资产实施差异化管控。

图8:数据分级保护策略


(二) 数据安全治理机制


从数据安全管理组织与职责、数据安全制度与流程、数据安全评估与考核、数据安全教育与..四个方面来建立数据安全治理机制。


•数据安全管理组织与职责


数据安全管理组织的架构,可以参照信息安全管理体系的四层设计,即决策层、管理层、执行层、监督层。

图9:数据安全管理组织架构示例


决策层,也就是数据安全管理..领导小组,由组织的高级管理层构成,总体负责数据安全工作的统筹组织、指导推进和协调落实,明确数据安全管理部门,协调组织内部数据安全管理资源调配;


管理层,即数据安全管理..委员,由数据安全管理、信息科技、业务、法务、合规、风险管理、稽核审计、人事等相关部门的主要负责人构成,负责数据安全相关工作的实施、相关政策和制度的制定评审工作,保障数据安全管理工作所需资源,并设立数据安全管理专职岗位,负责日常数据安全管理工作;


执行层,由业务部门、信息系统建设部门、运维部门以及分支机构的员工组成,根据数据安全相关策略和规程,落实本部门或本单位的数据安全防护措施;


监督层,由安全审计、合规稽核、风险管理等部门负责跟进数据安全相关业务的实际情况,确定数据安全审计策略和规范,开展数据安全内部审计,监督数据安全政策、方针的执行,公布投诉、举报方式,并及时受理数据安全和隐私保护相关的投诉和举报等。


•数据安全制度与流程


数据安全管理制度体系可分为四层架构,每一层作为上一层的支撑。


第一层是管理总纲,是组织数据安全顶层设计的方针和策略,应明确数据安全治理的目标和重点;


第二层是管理制度,应对数据安全管理活动中的各类管理内容建立安全管理制度,如数据生命周期安全管理、数据分类分级管理、数据安全应急响应、监测预警、合规评估、检查评价、教育..等制度;


第三层是操作流程和规范性文件,是作为制度要求下指导数据安全策略落地的指南,如数据安全分类分级操作指南、数据安全技术防护操作指南、数据安全审计规范等指导性文件;


第四层是流程图和表单文件,是作为数据安全落地运营过程中产生的执行文件,如数据资产管理清单、数据使用申请审批表、账号权限申请审批表、数据安全定级流程图等。

图10:数据安全管理制度体系框架示例

图11:个人信息保护制度体系框架示例


相关文章