正式施行丨《网络安全审查办法》监管下,如何筑牢数据安全防线?
2月15日,国家互联网信息办公室会同国家发展改革委、公安部、工业和信息化部等十三个部门联合发布的《网络安全审查办法》正式施行,同时废止了2020年4月13日公布的原《网络安全审查办法》,《网络安全审查办法》以关键信息基础设施的供应链安全为核心,重点加强对数据安全的关注和规范,增加根据《数据安全法》的配套规定内容,落实《数据安全法》关于建立数据安全审查制度的要求,聚焦网络产品和服务以及数据处理活动,保障网络安全和数据安全,维护国家安全。
《网络安全审查办法》重点内容解读
1制定依据:
《网络安全审查办法》根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》制定。
2适用对象及场景:
关键信息基础设施运营者采购网络产品和服务。(网络产品和服务指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。)
网络平台运营者开展数据处理活动。(数据处理活动指数据的收集、存储、使用、加工、传输、提供、公开等活动。)
3遵循的原则:
防范网络安全风险与促进先进技术应用相结合;
过程公正透明与知识产权保护相结合;
事前审查与持续监管相结合;
企业承诺与社会监督相结合。
4审查内容:从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
5对关键信息基础设施运营者的要求:
应当预判采购网络产品和服务,投入使用后可能带来的国家安全风险;
应当向网络安全审查办公室申报网络安全审查。
6对网络平台运营者的要求:
掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。(重点评估核心数据、重要数据或者大量个人信息是否被窃取、泄露、毁损以及非法利用、非法出境,以及其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。)
闪捷信息为企业筑牢数据安全防线
业务涉及核心数据、重要数据、大量个人信息的互联网运营者,应该重视《网络安全审查办法》的规定,并结合《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等相关法律法规做好数据安全、个人信息保护等相关合规工作,同时委托专业的数据安全机构对数据进行严格保护。
闪捷信息基于多年数据安全研究与实践,建议企业单位通过以下4个步骤进行数据安全建设,为用户提供全方位的数据安全技术框架思路:
步骤1:数据资产梳理。对关键信息基础设施运营者和网络平台运营者的数据资产和业务进行梳理和盘点,依据数据的敏感程度和重要程度进行分级分类,对用户敏感数据进行识别和定位。
步骤2:数据安全风险评估。根据国家相关标准和法律法规开展数据安全风险评估,评估数据全生命周期以及各应用场景的风险情况,给出合理化风险处置建议,辅助数据安全管理决策,满足监管合规要求。
步骤3:数据全生命周期安全管控。综合利用审计监控、权限管控、加密存储、数据脱敏、数据防泄漏、追踪溯源等技术,建立覆盖数据采集、传输、存储、使用、共享、销毁,全生命周期的安全防护体系。
步骤4: 数据安全运营。在保障业务持续正常运行的前提下,建立完善的数据安全运营团队,提供驻场运维服务、常态评估服务、应急响应服务、攻防演练服务和运营支撑服务,为用户数据安全运营提供保障。
作为数据安全领域的领导者,闪捷信息将持续致力于赋能数据安全体系建设,为各行各业数据安全实践保驾护航,为维护国家数据安全贡献力量。