政策解读

政策解读:我国“数据安全保护”驶入快车道

作者:吕韬来源:中国电子报、电子信息产业网发布时间:2019-07-08 09:22我要评论

2019年7月1日发布的《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《行动方案》)是自2013年7月16日工信和信息化部24号令《电信和互联网用户个人信息保护规定》以来的数据安全保护要求的进一步的强化和落地。

《行动方案》的工作目标之一是督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,在2019年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。工作目标之二是建立行业网络数据安全保障体系,行业网络数据安全管理和技术支撑平台基本建成,遴选网络数据安全技术能力创新示范项目,基础电信企业和重点互联网企业网络数据安全管理体系有效建立。

《行动方案》制定了为期一年、明确可执行的详细计划:不同于标准、规范,更强调具体任务的推动。方案分为四个阶段,将每阶段的责任方、工作任务进行了具体化,同时也调了对典型经验做法进行推广,巩固相关工作成效的要求。这使得《行动方案》形成了一个执行力强,并不断迭代升级的长期计划。

五大亮点引人关注

《行动方案》主要亮点主要体现在五个方面。

一是《行动方案》要求加快完善网络数据安全制度标准:基于《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求的驱动,电信运营商从合规角度出发对数据安全保护的重要性有足够重视,但安全制度标准的不充分影响了这项工作的开展,例如对同一项敏感数据的分类分级和控制措施,在不同企业不同部门之间并不统一,极易发生因合作双方控制能力不同导致敏感数据泄露事件。制度标准的完善能够大幅促进数据安全保护的效果,有利于正常数据业务的健康发展,帮助各个企业步调一致统一行动。

二是《行动方案》将开展合规性评估和专项治理工作:其中包括网络数据安全风险评估、App违法违规专项治理、强化网络数据安全监督执法。此些举措划出了数据安全违规行为的红线,并以行政处罚、软件下架、企业纳入不良名单和失信名单的方式“迫使“各企业必须重视数据安全保护。手段足以违反数据安全的经营模式不复生存,让忽略数据安全的企业付出代价。

三是《行动方案》将强化行业网络数据安全管理,提出了四项具体意见:

首先,提出了数据资产“清单式”管理的要求,电信和互联网企业在实体资产、IT资产管理方面有着丰富的经验,但并没有对数据资产进行严格,若无法形成数据清单,也无法对针对数据的行为进行有效监控,数据资产管理的主要难点是技术难度,另一方面是缺乏明确的标准和制度。

其次,《行动方案》明确了企业网络数据安全职能部门的设置,根据以往经验,某项工作开展困难的主要原因之一是企业重视不足,导致该职能科室权力小、人数少、话语权低。设立专门的网络数据安全职能部门是数据安全保护工作健康发展的必要步骤。

再次,《行动方案》提出了强化网络数据对外合作安全管理的要求,自从瑞智华胜、数据堂的案件发生以来,电信运营商对于数据合作业务从积极转向谨慎,但网络数据安全保护的本意是促进业务健康发展,数据合作业务应该在安全、合规的情况下有序进行。

最后,《行动方案》提出了行业网络数据安全应急管理的要求,指出了网络数据安全事件发生事前、事中、事后的要求,对恶性事件形成预案,不打无准备之仗。

四是《行动方案》在能力建设提出了手段建设、技术创新、专业化支撑队伍的要求。此项要求有利于数据安全产业的甲乙方共同发展,首先为企业开展数据安全类采购和研发指明了方向,也为高水平数据安全公司发挥其水平和能力提供绝佳机会。目前国内的数据安全类产品大多沿用国外产品思路,视角和技术并不适合电信和互联网企业这种地域覆盖大、组织结构复杂、业务众多、发展迅速的经营模式,使得网络数据安全类产品严重碎片化、孤岛化,实际应用中难以起到防护效果,也在逐步降低客户采购的意愿。

五是《行动方案》强调了社会监督和宣传交流,目前网络数据安全在电信和互联网企业中仍是少部分人的任务,而本质上数据安全与企业的经营模式、业务模式紧密相关,这方面区别于其它安全技术。网络数据安全必须得到企业决策者的充分重视,必须做到企业文化认可,从业者高度自律,具有全面的监督处罚机制。

企业需构建数据安全保护体系

数据安全保护关系到了企业切身利益,我们应认真对标《网络安全法》等相关行政命令的要求,形成企业自身的数据安全保护体系,从策略(规章制度及差距分析)、组织(部门与人)、技术(生产平台和数据安全保护技术)、运营(运转保障)等方面进行全面建设和不断提升。

我们需要正确面对现有业务模式和技术平台存在的数据安全问题,一些业务本身是侵犯隐私的,或者存在安全风险。例如已经全部下线的“短信保管箱“类业务,以及运营商普遍在业务环节中增加了二次认证和信息脱敏措施,都是在数据安全方面的进步表现。企业应该对存量业务进行评估、建立新业务评估的三同步机制(数据安全能力与业务功能同步规划、同步建设、同步运行)、人员管理、合作伙伴管理等机制的优化,避免新的数据安全事件发生。

另外,还要加强数据安全专职部门的设立,提升话语权,保持合理的人员配备。将敏感数据进行资产化管理,建立分类分级制度、采用自动化识别跟踪技术形成敏感数据清单,将敏感数据的异常分布与流动作为安全事件处置、对于敏感数据的访问行为增加强身份认证和敏感行为审计。

加强对合作伙伴的管理,建议采用数据安全能力评级和考核制度,降低数据扩散风险,以合作合同条款方式指明在数据安全方面的违约条款与责任。

建设立体的数据安全防护体系。例如:在数据泄露案例中,将数据泄露到外网存在多种途径,并且涉及数据不同环节的风险,单一技术手段无法覆盖所有主要途径,建议基于不同途径选择各领域最优技术搭建数据安全立体立体防御,以基于实战总结的经验作为数据保护技术手段的有效性评估标准。


(作者:奇安信集团合伙人、副总裁吕韬)


责任编辑:徐恒
相关链接

2019世界VR产业大会新闻发布会

6月20日,工业和信息化部、江西省人民政府在北京联合召开新闻发布会,介绍2019世界VR产业大会有关情况及筹备工作进展。

第十一届中国中部投资贸易博览会电子信息产业发展论坛

5月19日,第十一届中国中部投资贸易博览会电子信息产业发展论坛在江西南昌召开。南昌市人民政府副市长杨文斌、江西省工信厅副厅长王亦斌出席并致辞。

2019世界超高清视频产业发展大会

5月9日,2019 世界超高清视频(4K/8K)产业发展大会在广州召开。大会由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办。工业和信息化部部长苗圩出席大会并致辞。

第七届中国电子信息博览会

本次峰会主题是“创新驱动发展 智慧赋能未来”,将邀请政府行业主管部门、国内外著名专家学者和企业家发表主题演讲,深入探讨产业创新发展新模式、新动能、新路径,推动电子信息产业高质量发展。...

首届全球IC企业家大会

12月11日,由工业和信息化部、上海市人民政府指导,中国半导体行业协会、中国电子信息产业发展研究院主办,北京赛迪会展有限公司、中国电子报社、上海市集成电路行业协会承办的“首届全球IC企业家大会暨第十六届中国国际...

2018世界VR产业大会

10月19日,2018世界VR产业大会在南昌盛大开幕。开幕式上,全国政协副主席卢展工宣读国家主席习近平贺信,工业和信息化部部长苗圩,江西省委书记刘奇,江西省委常委、南昌市委书记殷美根分别致辞。

第二届中国虚拟现实创新创业大赛启动...

8月20日,在中国创新创业大赛组委会办公室指导下,由虚拟现实产业联盟、国科创新创业投资有限公司共同举办的第二届中国虚拟现实创新创业大赛启动新闻发布会在北京举行。

2018年上半年家电网购分析报告发布会

8月2日,工业和信息化部赛迪研究院、中国电子报社在北京发布了《2018年上半年家电网购分析报告》(以下简称《家电网购报告》)。报告显示,2018年上半年,我国B2C家电网购市场(含移动终端)规模达2641亿元...

2018制造业“双创”高峰论坛

6月22日,2018制造业“双创”高峰论坛在北京举办。本次论坛由中国电子信息产业发展研究院、中国制造企业双创发展联盟和中国软件行业协会工业互联网分会主办,中国电子报社、北京云道智造科技有限公司和中国船舶工...

2018世界VR产业大会新闻发布会

5月21日,记者从在北京人民大会堂召开的2018世界VR产业大会新闻发布会上获悉,由工业和信息化部、江西省人民政府共同主办,中国电子信息产业发展研究院、江西省工业和信息化委员会、南昌市人民政府、虚拟现实产业...

数字经济前沿论坛-CITE2018第六届中国电...

为贯彻落实党的十九大精神,充分展示新一代信息技术产业最新发展成就,促进产业核心技术突破,加快形成数字经济新动能,引领信息技术产业供给侧改革,工业和信息化部、深圳市人民政府将于2018年4月9日-11日在深圳市共 ...

中国超高清视频(4K)产业发展大会

3月29日,中国超高清视频(4K)产业发展大会在广州市召开。大会由工业和信息化部、国家广播电视总局、广东省人民政府主办,广东省经济和信息化委员会、广东省新闻出版广电局、广东省通信管理局、广州市人民政府、中...

壮丽70年 奋斗新时代

70年来,中国共产党人从未停下“赶考”脚步。神州大地上,一幅幅壮丽的发展画卷在描绘,一部部感天动地的奋斗史诗在书写。...

2019打造制造业“双创”升级版

围绕制造业“双创”升级的内涵本质、发展趋势、实践启示等方面,邀请政府部门及事业单位领导、两院院士及专家学者、重点地区及企业领导等撰写相关文章,共同探讨制造业“双创”发展新路径。...

聚焦2019全国两会

3月3日电 凝聚共识谱写时代华章,共商国是同绘复兴宏图。中国人民政治协商会议第十三届全国委员会第二次会议3日下午在人民大会堂开幕。...

MWC2019世界移动大会报道

MWC,世界移动通信大会。主办方全球移动通信系统协会(GSMA)成立于1987年,是世界移动通信界的三大国际组织之一,目前其成员已包括来自220个国家的近800家移动运营商以及230多家更为广泛的移动...

2018家电网购分析报告发布

2月25日,工业和信息化部赛迪研究院、中国电子报社在北京发布了《2018家电网购分析报告》(以下简称《家电网购报告》)。报告显示,2018年,我国家电网购市场增长平稳,B2C家电网购市场(含移动端)规...

CEN视频新闻 | 2019 CITE 瑞萨电子高级副总裁

第七届电子信息博览会上,瑞萨电子高级副总裁 真冈朋光接受《中国电子报》记者采访。...

视频新闻丨院士专家畅谈智能网联汽车

3月19日,慕尼黑上海电子展前夕,新能源与智能网联汽车创新发展论坛在上海举办,论坛邀请了30多为海内外行业人士,近35场精彩发言,围绕新能源和智能网联两大领域展...

两会专访丨全国政协委员、新大陆科技集团总裁王晶

2019年全国“两会”期间,全国政协委员、新大陆集团总裁王晶在接受《中国电子报》记者采访时表示:传统农村需要发挥信息技术和互联网的载体和引擎作用,促进农业生产、...

友情链接
关于我们 | 联系我们 | 广告服务
电子信息产业网LOGO