報(bào)告-從數(shù)據(jù)安全法到數(shù)據(jù)安全治理

CONTENTS目錄數(shù)據(jù)安全法 數(shù)據(jù)安全治理 數(shù)據(jù)安全實(shí)踐案例PART01 PART02 PART0301數(shù)據(jù)安全法數(shù)據(jù)作為市場(chǎng)要素成為國家戰(zhàn)略2022-01-06中共中央國務(wù)院印發(fā)了《要素市場(chǎng)化配置綜合改革試點(diǎn)總體方案》，第六章第十九、二十、二十一、二十二條，明確提出加快培育數(shù)據(jù)要素市場(chǎng)的意見。推進(jìn)公共數(shù)據(jù)有序的流通和共享推動(dòng)數(shù)據(jù)要素市場(chǎng)的培育打造統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和數(shù)據(jù)生態(tài)加強(qiáng)數(shù)據(jù)安全保護(hù)總體要求市場(chǎng)決定有序流動(dòng)健全制度創(chuàng)新監(jiān)管問題導(dǎo)向分類施策穩(wěn)中求進(jìn)循序漸進(jìn)要素領(lǐng)域要素市場(chǎng)化配置綜合改革試點(diǎn)總體方案?探索完善公共數(shù)據(jù)共享、開放、運(yùn)營服務(wù)、安全保障的管理體制?分級(jí)分類、分步有序推動(dòng)部分領(lǐng)域數(shù)據(jù)流通應(yīng)用?促進(jìn)商業(yè)數(shù)據(jù)流通、跨區(qū)域數(shù)據(jù)互聯(lián)、政企數(shù)據(jù)融合應(yīng)用?強(qiáng)化網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，推動(dòng)完善數(shù)據(jù)分級(jí)分類安全保護(hù)制度國家戰(zhàn)略各國快速推進(jìn)數(shù)據(jù)安全立法 中國陸續(xù)出臺(tái)具有重大影響的數(shù)據(jù)安全法規(guī)時(shí)間 國家/地區(qū) 政策2018年12月 法國 新修訂《法國數(shù)據(jù)保護(hù)法》2018年7月 印度 《2018個(gè)人數(shù)據(jù)保護(hù)法（草案）》2018年6月 美國加州 《加州消費(fèi)者隱私法案》2018年5月25日 歐盟 《通用數(shù)據(jù)保護(hù)條例》（GDRP）2018年5月 巴西 《通用數(shù)據(jù)保護(hù)法》2015年9月 俄羅斯 《個(gè)人數(shù)據(jù)保護(hù)法》2015年5月 日本 《個(gè)人信息保護(hù)法案》時(shí)間 政策 重要影響2017年6月1日 《網(wǎng)絡(luò)安全法》 數(shù)據(jù)泄露責(zé)任和日志審計(jì)責(zé)任明確2020年1月1日 《國家密碼法》 國外密碼相關(guān)的數(shù)據(jù)安全產(chǎn)品不再合法2021年9月1日 《數(shù)據(jù)安全法》 對(duì)國家重要數(shù)據(jù)明確保護(hù)要求2021年9月1日《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》 保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，維護(hù)網(wǎng)絡(luò)安全2021年7月10日《網(wǎng)絡(luò)安全審查辦法》（征求意見稿） 要求100萬個(gè)人信息到國外上市要上報(bào)2021年11月1日 《個(gè)人信息保護(hù)法》 將對(duì)個(gè)人信息保護(hù)的安全責(zé)任更為明確等保2.0對(duì)數(shù)據(jù)安全提出具體要求監(jiān)管機(jī)構(gòu)和重要行業(yè)數(shù)據(jù)安全要求和措施等級(jí) 類別 對(duì)應(yīng)產(chǎn)品二級(jí)安全通用要求 數(shù)據(jù)庫漏掃/防火墻云計(jì)算安全擴(kuò)展要求 數(shù)據(jù)庫安全運(yùn)維/加密三級(jí)安全通用要求 數(shù)據(jù)庫防火墻/安全運(yùn)維/加密/梳理/動(dòng)態(tài)脫敏/審計(jì)云計(jì)算安全擴(kuò)展要求 數(shù)據(jù)庫審計(jì)/防火墻/加密二/三級(jí)參考 大數(shù)據(jù)應(yīng)用數(shù)據(jù)庫脫敏/防火墻/安全運(yùn)維/審計(jì)/梳理/加密/脫敏/水印/行業(yè) 政策和措施銀行《金融行業(yè)數(shù)據(jù)分級(jí)分類規(guī)范》、《證券期貨數(shù)據(jù)分級(jí)分類指引》、《金融行業(yè)數(shù)據(jù)安全生命周期技術(shù)要求》國網(wǎng) 《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》《國網(wǎng)營銷系統(tǒng)數(shù)據(jù)脫敏規(guī)范》教育 《教育直屬機(jī)關(guān)數(shù)據(jù)安全管理辦法》等醫(yī)療 《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南GB/T39725-2020》等公安 《關(guān)于緊急排查整改重要數(shù)據(jù)和公民個(gè)人信息泄露安全隱患的通知》（319整改方案）網(wǎng)信和工信 《電信與互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)方案》國內(nèi)外數(shù)據(jù)安全法規(guī)和標(biāo)準(zhǔn)新業(yè)務(wù)生態(tài)下的數(shù)據(jù)安全威脅數(shù)據(jù)安全威脅和暴露面隨著業(yè)務(wù)變化而增加主要外部威脅主要內(nèi)部風(fēng)險(xiǎn)新技術(shù)新業(yè)態(tài)風(fēng)險(xiǎn)?利用應(yīng)用系統(tǒng)的漏洞、網(wǎng)絡(luò)漏洞進(jìn)行注入攻擊；?利用移動(dòng)設(shè)備、智能設(shè)備、監(jiān)控設(shè)備、無線網(wǎng)絡(luò)、物聯(lián)網(wǎng)進(jìn)行滲透；?通過病毒、木馬、0Day漏洞進(jìn)行滲透攻擊。?大數(shù)據(jù)、生物識(shí)別、公有云等新技術(shù)帶來新的數(shù)據(jù)安全風(fēng)險(xiǎn)；?開源社區(qū)軟件、第三方SDK、開發(fā)運(yùn)維工具帶有惡意代碼；?交通生態(tài)中，和第三方合作企業(yè)進(jìn)行的數(shù)據(jù)交互帶來的風(fēng)險(xiǎn)。?內(nèi)部員工有意、無意操作不當(dāng)造成數(shù)據(jù)泄露；?業(yè)務(wù)人員使用對(duì)內(nèi)部數(shù)據(jù)分析，使用數(shù)據(jù)不當(dāng)；?高權(quán)限人員使用特權(quán)訪問不當(dāng)；?業(yè)務(wù)人員權(quán)控不當(dāng)，超權(quán)限訪問業(yè)務(wù)數(shù)據(jù)，過度訪問業(yè)務(wù)數(shù)據(jù)；?通過郵件、移動(dòng)存儲(chǔ)設(shè)備等，泄露數(shù)據(jù)。新業(yè)務(wù)生態(tài)下的數(shù)據(jù)安全威脅第一章總則第二章數(shù)據(jù)安全與發(fā)展（安全與發(fā)展并重）實(shí)施大數(shù)據(jù)戰(zhàn)略 加強(qiáng)數(shù)據(jù)開發(fā)和數(shù)據(jù)安全技術(shù)研究數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證服務(wù)健全數(shù)據(jù)交易管理制度第三章數(shù)據(jù)安全制度（保護(hù)重要數(shù)據(jù)） 第四章數(shù)據(jù)安全保護(hù)義務(wù)數(shù)據(jù)分類分級(jí)保護(hù)制度(重要數(shù)據(jù)保護(hù)目錄)風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)報(bào)告信息共享 監(jiān)測(cè)預(yù)警數(shù)據(jù)安全應(yīng)急處置機(jī)制數(shù)據(jù)安全審查制度數(shù)據(jù)出口管制針對(duì)歧視性禁止、限制的對(duì)等措施數(shù)據(jù)安全管理制度數(shù)據(jù)安全治理數(shù)據(jù)安全教育培訓(xùn)數(shù)據(jù)安全技術(shù)措施數(shù)據(jù)安全管理機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估(種類\數(shù)量\風(fēng)險(xiǎn))合法、正當(dāng)收集數(shù)據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)處置數(shù)據(jù)處理和服務(wù)數(shù)據(jù)來源審核、記錄數(shù)據(jù)處理服務(wù)許可依法數(shù)據(jù)調(diào)取數(shù)據(jù)出境\跨境存儲(chǔ)第五章政務(wù)數(shù)據(jù)安全與開放第六章法律責(zé)任第七章附則依照法律、行政法規(guī)收集、使用數(shù)據(jù)健全數(shù)據(jù)安全管理制度，落實(shí)保護(hù)責(zé)任 監(jiān)督受托方履行數(shù)據(jù)安全保護(hù)義務(wù) 政務(wù)數(shù)據(jù)開放目錄和開放平臺(tái)2021年9月1日正式實(shí)施總體架構(gòu)第三條本法所稱數(shù)據(jù),是指任何以電子或者非電子形式對(duì)信息的記錄。數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及保障持續(xù)安全狀態(tài)的能力。術(shù)語定義《網(wǎng)絡(luò)安全法》：網(wǎng)絡(luò)數(shù)據(jù)：通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。《民法典》：個(gè)人信息：以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息總結(jié)合識(shí)別特定自然人的各種信息，包括：姓名、出生日期、身份證號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。《數(shù)據(jù)安全管理辦法》：數(shù)據(jù)收集、存儲(chǔ)、傳輸、處理、使用等活動(dòng)◆電子◆非電子◆收集、存儲(chǔ)、使用、加工、傳輸、提供、公開數(shù)據(jù)形式 數(shù)據(jù)活動(dòng)網(wǎng)絡(luò)安全法 數(shù)據(jù)安全管理辦法第一章總則第四條維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。第五條中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實(shí)施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項(xiàng)和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制。第六條各地區(qū)、各部門對(duì)本地區(qū)、本部門工作中產(chǎn)生、匯總、加工的數(shù)據(jù)及數(shù)據(jù)安全負(fù)主體責(zé)任。工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。公安機(jī)關(guān)等執(zhí)法機(jī)構(gòu)主體責(zé)任各地區(qū)、各部門行業(yè)主管部門監(jiān)管責(zé)任監(jiān)管和主體責(zé)任第二章數(shù)據(jù)安全與發(fā)展第十三條國家統(tǒng)籌發(fā)展和安全，堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。設(shè)專章對(duì)支持促進(jìn)數(shù)據(jù)安全與發(fā)展的措施作了規(guī)定，保護(hù)個(gè)人、組織與數(shù)據(jù)有關(guān)的權(quán)益，提升數(shù)據(jù)安全治理和數(shù)據(jù)開發(fā)利用水平，促進(jìn)以數(shù)據(jù)為關(guān)鍵生產(chǎn)要素的數(shù)字經(jīng)濟(jì)發(fā)展；堅(jiān)持安全與發(fā)展并重。加強(qiáng)具體制度與整體治理框架的銜接。從基礎(chǔ)定義、數(shù)據(jù)安全管理、數(shù)據(jù)分類分級(jí)、重要數(shù)據(jù)出境等方面，進(jìn)一步加強(qiáng)與《網(wǎng)絡(luò)安全法》等法律的銜接，完善我國數(shù)據(jù)治理法律制度建設(shè)；加大數(shù)據(jù)處理違法行為處罰力度，建設(shè)重要數(shù)據(jù)管理、行業(yè)自律管理、數(shù)據(jù)交易管理等制度，回應(yīng)實(shí)踐問題及社會(huì)關(guān)切?；貞?yīng)社會(huì)關(guān)切?！稊?shù)據(jù)安全法》三個(gè)主要特點(diǎn)第十八條國家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)。檢測(cè)認(rèn)證數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證服務(wù)《GB/T

37932-2019

信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求》數(shù)據(jù)安全認(rèn)證培訓(xùn)、數(shù)據(jù)安全教育實(shí)訓(xùn)數(shù)據(jù)交易 第十九條國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場(chǎng)。安全培訓(xùn)第二十條國家支持高等學(xué)校、中等職業(yè)學(xué)校、科研機(jī)構(gòu)和企業(yè)等開展數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn)，采取多種方式培養(yǎng)數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全專業(yè)人才，促進(jìn)人才交流?！稊?shù)據(jù)安全法》第二章數(shù)據(jù)安全制度出口管制數(shù)據(jù)分級(jí)分類保護(hù)相關(guān)條款中的主體是國家或公安機(jī)關(guān)為主，但數(shù)據(jù)安全要落地就會(huì)深入到社會(huì)大眾之中，尤其是企業(yè)。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制數(shù)據(jù)安全應(yīng)急處置機(jī)制數(shù)據(jù)安全審查制度反制歧視性措施地區(qū)/部門/行業(yè)重要數(shù)據(jù)目錄風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警依法啟動(dòng)應(yīng)急預(yù)案及時(shí)發(fā)布與公眾有關(guān)的警示信息影響國家安全的數(shù)據(jù)活動(dòng)進(jìn)行國家安全審查安全審查決定為最終決定對(duì)管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制對(duì)中國進(jìn)行數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易采取歧視性的禁止、限制或其他類似措施的，可根據(jù)實(shí)際情況采取響應(yīng)的措施第三章數(shù)據(jù)安全制度國家各地區(qū)各部門數(shù)據(jù)分類分級(jí)保護(hù)制度建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)建立 估等機(jī)制建立數(shù)據(jù)安全應(yīng)急處置機(jī)制數(shù)據(jù)安全審查制度建立數(shù)據(jù)處理活動(dòng)審查數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警重要數(shù)據(jù)目錄重點(diǎn)保護(hù)數(shù)據(jù)安全風(fēng)險(xiǎn)實(shí)施數(shù)據(jù)出口管制反歧視性政策反制采取監(jiān)管部門數(shù)據(jù)安全職責(zé)第二十一條國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)，并確定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。分類分級(jí)數(shù)據(jù)梳理 敏感數(shù)據(jù)數(shù)據(jù)分類分級(jí)重要數(shù)據(jù)保護(hù)目錄◆數(shù)據(jù)資產(chǎn)狀況◆賬戶權(quán)限分布情況◆定義敏感數(shù)據(jù)◆敏感數(shù)據(jù)訪問狀況◆制定數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)◆形成重要數(shù)據(jù)保護(hù)目錄◆安全策略配置和管控《數(shù)據(jù)安全法》第三章網(wǎng)絡(luò)安全法二十一條國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。第二十二條國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制,加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作。風(fēng)險(xiǎn)管理◆數(shù)據(jù)庫風(fēng)險(xiǎn)評(píng)估◆數(shù)據(jù)全生命周期安全評(píng)估◆數(shù)據(jù)庫監(jiān)測(cè)◆數(shù)據(jù)庫態(tài)勢(shì)感知◆上報(bào)風(fēng)險(xiǎn)信息◆共享風(fēng)險(xiǎn)信息◆應(yīng)急組織和工具◆應(yīng)急團(tuán)隊(duì)通過數(shù)據(jù)庫、大數(shù)據(jù)審計(jì)流量監(jiān)測(cè)，接口和應(yīng)用流量采集、日志采集和分析，結(jié)合敏感數(shù)據(jù)清單、分類分級(jí)信息、資產(chǎn)備案信息，實(shí)現(xiàn)對(duì)外接口、生產(chǎn)運(yùn)維、數(shù)據(jù)生命周期風(fēng)險(xiǎn)監(jiān)測(cè)和事件處置能力，實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)可視化能力。風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)監(jiān)測(cè) 信息共享 應(yīng)急響應(yīng)第二十三條國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。發(fā)生數(shù)據(jù)安全事件,有關(guān)主管部門應(yīng)當(dāng)依法啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的應(yīng)急處置措施,消除安全隱患,防止危害擴(kuò)大,并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。應(yīng)急處置《數(shù)據(jù)安全法》第三章第二十四條國家建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國家安全的數(shù)據(jù)活動(dòng)進(jìn)行國家安全審查。依法作出的安全審查決定為最終決定。數(shù)據(jù)安全審查呼應(yīng)網(wǎng)絡(luò)安全審查辦法首次提出數(shù)據(jù)出口管制概念賦予采取反制措施的權(quán)利出口管制 第二十五條國家對(duì)與維護(hù)國家安全和利益、履行國際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制。第二十六條任何國家或者地區(qū)在與數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易等方面對(duì)中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據(jù)實(shí)際情況對(duì)該國家或者地區(qū)對(duì)等采取措施。反歧視《數(shù)據(jù)安全法》第三章數(shù)據(jù)安全保護(hù)義務(wù)內(nèi)控體系風(fēng)險(xiǎn)監(jiān)測(cè)全流程數(shù)據(jù)安全管理制度數(shù)據(jù)安全教育培訓(xùn)保障數(shù)據(jù)安全的技術(shù)措施和其他必要措施設(shè)立數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)數(shù)據(jù)安全缺陷、漏洞類型 補(bǔ)救措施數(shù)據(jù)安全事件及時(shí)告知用戶報(bào)告主管部門定期評(píng)估與報(bào)送評(píng)估報(bào)告面臨風(fēng)險(xiǎn)及其應(yīng)對(duì)措施風(fēng)險(xiǎn)評(píng)估樣本為重要數(shù)據(jù)評(píng)估人為處理者重要數(shù)據(jù)處理者主要數(shù)據(jù)的種類、數(shù)量收集、存儲(chǔ)、加工、使用情況數(shù)據(jù)內(nèi)容第四章數(shù)據(jù)安全保護(hù)義務(wù)重要數(shù)據(jù)的處理者數(shù)據(jù)處理活動(dòng)開展加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)風(fēng)險(xiǎn)評(píng)估報(bào)告網(wǎng)安法報(bào)送全流程數(shù)據(jù)安全管理制度建立健全處置數(shù)據(jù)安全缺陷漏洞數(shù)據(jù)安全教育培訓(xùn)組織開展數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)明確采取技術(shù)措施保障數(shù)據(jù)安全開展風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)安全事件補(bǔ)救主管部門報(bào)告關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者境內(nèi)收集重要數(shù)據(jù)出境 數(shù)據(jù)出境安全管理辦法行政許可數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)數(shù)據(jù)來源，審核身份，留存審核，交易記錄公安&國家安全機(jī)關(guān)調(diào)取批準(zhǔn)重要數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)義務(wù)政務(wù)數(shù)據(jù)安全與開放收集與使用存儲(chǔ)、加工或向他人提供履行法定職責(zé)的范圍依照法律、行政法規(guī)規(guī)定的條件和程序嚴(yán)格的批準(zhǔn)程序監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)公開與開放 及時(shí)、準(zhǔn)確公開公正、公平、便民的原則開放目錄、開放平臺(tái)主要概括了政務(wù)數(shù)據(jù)的全生命周期管理的內(nèi)容。數(shù)據(jù)安全法第五章依法保密國家機(jī)關(guān)建立健全數(shù)據(jù)安全管理制度落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)安全國家機(jī)關(guān)政務(wù)數(shù)據(jù)處理活動(dòng)依法收集依法保密全流程數(shù)據(jù)安全建立健全管理制度落實(shí)保護(hù)責(zé)任受托方批準(zhǔn)監(jiān)督國家制定政務(wù)數(shù)據(jù)開放目錄建設(shè)、維護(hù)電子政務(wù)系統(tǒng)存儲(chǔ)、加工政務(wù)數(shù)據(jù)履行數(shù)據(jù)安全保護(hù)義務(wù)不得擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)依法公開構(gòu)建政務(wù)數(shù)據(jù)開放平臺(tái)具有管理公共事務(wù)職能的組織法律法規(guī)授權(quán)電子政務(wù)建設(shè)推進(jìn)政務(wù)數(shù)據(jù)處理單位的數(shù)據(jù)安全保護(hù)義務(wù)數(shù)據(jù)安全法第六章第四十三條有關(guān)主管部門在履行數(shù)據(jù)安全監(jiān)管職責(zé)中,發(fā)現(xiàn)數(shù)據(jù)活動(dòng)存在較大安全風(fēng)險(xiǎn)的,可以按照規(guī)定的權(quán)限和程序?qū)τ嘘P(guān)組織和個(gè)人進(jìn)行約談。有關(guān)組織和個(gè)人應(yīng)當(dāng)按照要求采取措施,進(jìn)行整改,消除隱患。第四十四條開展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人不履行本法。第四十五條從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)未履行本法。第四十六條違反本法第三十四條規(guī)定，拒不配合數(shù)據(jù)調(diào)取的。第四十七條國家機(jī)關(guān)不履行本法規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分。法律責(zé)任遵守法律規(guī)定，落實(shí)數(shù)據(jù)安全保護(hù)義務(wù)。1、具有強(qiáng)制約束力的規(guī)范；2、雙罰機(jī)制；3、國家機(jī)關(guān)及其工作人員的數(shù)據(jù)保護(hù)義務(wù)；數(shù)據(jù)安全多主體罰款：50萬<組織最高罰款<200萬，1萬<個(gè)人最高罰款<20萬違反國家核心數(shù)據(jù)管理制度，危害國家主權(quán)、安全和發(fā)展利益的，由有關(guān)主管部門處二百萬元以上一千萬元以下罰款，并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；構(gòu)成犯罪的，依法追究刑事責(zé)任。數(shù)據(jù)安全法重要條款總結(jié)條款 主體 內(nèi)容三.第二十一條國家機(jī)關(guān) 1、建立數(shù)據(jù)分類分級(jí)保護(hù)制度2、統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄地區(qū)、部門、行業(yè)確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄三.第二十二條國家機(jī)關(guān) 1、建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制2、統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作三.第二十三條國家機(jī)關(guān) 建立數(shù)據(jù)安全應(yīng)急處置機(jī)制主管部門 依法啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，發(fā)布與公眾有關(guān)的警示信息三.第二十四條國家機(jī)關(guān) 1、建立數(shù)據(jù)安全審查制度2、進(jìn)行國家安全審查三.第二十五條國家機(jī)關(guān) 依法實(shí)施出口管制三.第二十六條國家機(jī)關(guān) 對(duì)歧視性禁止、限制的對(duì)等反制措施四.第二十七條數(shù)據(jù)處理者 1、建立健全全流程數(shù)據(jù)安全管理制度2、組織開展數(shù)據(jù)安全教育培訓(xùn)3、采取技術(shù)措施保障數(shù)據(jù)安全4、重要數(shù)據(jù)處理者，應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)四.第二十九條數(shù)據(jù)處理者 1、加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)2、發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，立即采取補(bǔ)救措施3、發(fā)生數(shù)據(jù)安全事件時(shí)立即采取處置措施，及時(shí)告知用戶并向有關(guān)主管部門報(bào)告條款 主體 內(nèi)容四.第三十條重要數(shù)據(jù)處理者1、定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告2、報(bào)告應(yīng)包括重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等四.第三十一條關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者適用《網(wǎng)絡(luò)安全法》對(duì)重要數(shù)據(jù)進(jìn)行出境管理其他數(shù)據(jù)處理者重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定四.第三十三條數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)1、要求數(shù)據(jù)提供方說明數(shù)據(jù)來源2、審核交易雙方的身份并留存審核、交易記錄五.第三十八條國家機(jī)關(guān) 1、依法收集和使用數(shù)據(jù)2、對(duì)在履職中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等予以保密五.第三十九條國家機(jī)關(guān) 建立健全數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)安全五.第四十條國家機(jī)關(guān)(委托方)委托他人建設(shè)、維護(hù)電子政務(wù)系統(tǒng)，存儲(chǔ)、加工政務(wù)數(shù)據(jù)1、應(yīng)當(dāng)經(jīng)過嚴(yán)格的批準(zhǔn)程序2、監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)受托方 履行數(shù)據(jù)安全保護(hù)義務(wù)，不得擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)五.第四十一條國家機(jī)關(guān) 及時(shí)、準(zhǔn)確公開政務(wù)數(shù)據(jù)。依法不予公開的除外五.第四十二條國家機(jī)關(guān) 制定政務(wù)數(shù)據(jù)開放目錄，構(gòu)建安全可控的政務(wù)數(shù)據(jù)開放平臺(tái)www.在此輸入公司網(wǎng)址.com網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例第五條國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度。按照數(shù)據(jù)對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。第九條數(shù)據(jù)處理者應(yīng)當(dāng)采取備份、加密、訪問控制等必要措施，……數(shù)據(jù)處理者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)……處理重要數(shù)據(jù)的系統(tǒng)原則上應(yīng)當(dāng)滿足三級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求，處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)規(guī)定從嚴(yán)保護(hù)。數(shù)據(jù)處理者應(yīng)當(dāng)使用密碼對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行保護(hù)。第十二條數(shù)據(jù)處理者向第三方提供個(gè)人信息，或者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)遵守以下規(guī)定：（一）……行政法規(guī)規(guī)定的不需要取得個(gè)人同意的情形或者經(jīng)過匿名化處理的除外；第三十條重要數(shù)據(jù)的處理者，應(yīng)當(dāng)制定數(shù)據(jù)安全培訓(xùn)計(jì)劃，每年組織開展全員數(shù)據(jù)安全教育培訓(xùn)，數(shù)據(jù)安全相關(guān)的技術(shù)和管理人員每年教育培訓(xùn)時(shí)間不得少于二十小時(shí)。02數(shù)據(jù)安全治理Gartner看數(shù)據(jù)安全治理：2015年提出數(shù)據(jù)安全治理概念2017年，數(shù)據(jù)安全治理是數(shù)據(jù)安全的風(fēng)暴之眼?數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案，而是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。?Gartner對(duì)“安全和風(fēng)險(xiǎn)管理”的基本定義：組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí)，確保采取合理和適當(dāng)?shù)拇胧?，以最有效的方式保護(hù)信息資源。安華金和與數(shù)據(jù)安全治理在國內(nèi)首家提出數(shù)據(jù)安全治理在國家網(wǎng)信辦指導(dǎo)下，成立數(shù)據(jù)安全治理工作組在公安部指導(dǎo)下，成立數(shù)據(jù)安全治理委員會(huì)舉辦第三屆數(shù)據(jù)安全治理高峰論壇5月13日舉辦第四屆數(shù)據(jù)安全治理高峰論壇同時(shí)發(fā)布數(shù)據(jù)安全治理白皮書3.05月13日第五屆中國數(shù)據(jù)安全治理高峰論壇201620172018201920212022數(shù)據(jù)安全治理大事記第四條維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。第十一條國家積極開展數(shù)據(jù)安全治理、數(shù)據(jù)開發(fā)利用等領(lǐng)域的國際交流與合作，參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)。兩次提及數(shù)據(jù)安全治理，可見在政企單位建立數(shù)據(jù)安全治理體系的重要性。數(shù)據(jù)安全法中的數(shù)據(jù)安全治理政企單位現(xiàn)狀：數(shù)據(jù)安全建設(shè)缺乏體系化、標(biāo)準(zhǔn)化數(shù)據(jù)安全法都有哪些條指導(dǎo)我們做好數(shù)據(jù)安全治理呢？第二十一條國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)?！稊?shù)據(jù)安全法》中分類分級(jí)要求?國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度。按照數(shù)據(jù)對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。?國家對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。?各地區(qū)、各部門應(yīng)當(dāng)按照國家數(shù)據(jù)分類分級(jí)要求，對(duì)本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進(jìn)行分類分級(jí)管理。第五十一條個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露、篡改、丟失：（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對(duì)個(gè)人信息實(shí)行分類管理；（三）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；《個(gè)人信息保護(hù)法》中分類分級(jí)要求《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》落實(shí)了兩法的國家數(shù)據(jù)分類分級(jí)保護(hù)制度，對(duì)一般數(shù)據(jù)、個(gè)人信息、重要數(shù)據(jù)等如何保護(hù)給出了具體要求。…… ……分類分級(jí)是數(shù)據(jù)安全的重要前提分類分級(jí)是數(shù)據(jù)全流程動(dòng)態(tài)保護(hù)的重要前提，不僅是數(shù)據(jù)安全治理的第一步，也是當(dāng)前數(shù)據(jù)安全治理的痛點(diǎn)和難點(diǎn)。分類分級(jí) 數(shù)據(jù)資產(chǎn)梳理 數(shù)據(jù)分類分級(jí)建立數(shù)據(jù)分類分級(jí)保護(hù)制度重要程度危害程度數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度遭到篡改、破壞、泄露或者非法獲取、非法利用，造成的危害程度數(shù)據(jù)資產(chǎn)梳理 數(shù)據(jù)分類分級(jí)“摸清家底”《數(shù)據(jù)資產(chǎn)清單》《業(yè)務(wù)流轉(zhuǎn)圖》《業(yè)務(wù)數(shù)據(jù)分布報(bào)告》《現(xiàn)有數(shù)據(jù)安全防護(hù)調(diào)研報(bào)告》《數(shù)據(jù)分類分級(jí)清單》《數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)指南》《敏感數(shù)據(jù)清單》合規(guī)要求數(shù)據(jù)安全防護(hù)支撐與基礎(chǔ)，針對(duì)性的數(shù)據(jù)防護(hù)，減輕綜合投入成本01 02測(cè)試數(shù)據(jù)資產(chǎn)雜亂不清數(shù)據(jù)資產(chǎn)歸屬不清晰避免一刀切的控制方式，數(shù)據(jù)安全管理更加精細(xì)。01 02目錄交付目的解決問題數(shù)據(jù)分類分級(jí)服務(wù)框架（閉環(huán)）數(shù)據(jù)分類分級(jí)基本方法行業(yè)數(shù)據(jù)分類分級(jí)指引數(shù)據(jù)分類分級(jí)動(dòng)態(tài)管控如何保護(hù)重要數(shù)據(jù)措施追溯監(jiān)測(cè)監(jiān)管內(nèi)部風(fēng)險(xiǎn) 流程和制度 數(shù)據(jù)“跑冒滴漏”外部風(fēng)險(xiǎn) 違規(guī)使用 暴露公網(wǎng)API被違規(guī)開放大數(shù)據(jù)組件暴露數(shù)據(jù)的收集、存儲(chǔ)、使用、加工數(shù)據(jù)傳輸、提供、公開數(shù)據(jù)保護(hù) 敏感數(shù)據(jù) 重要數(shù)據(jù)保護(hù)目錄如何進(jìn)行風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估 監(jiān)測(cè)預(yù)警 信息共享 應(yīng)急處置護(hù)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制數(shù)據(jù)安全應(yīng)急處置機(jī)制啟動(dòng)應(yīng)急預(yù)案 采取相應(yīng)的應(yīng)急處置措施，及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)與處置辦法》《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》重保網(wǎng)絡(luò)安全法五十三條制定應(yīng)急預(yù)案，并定期組織演練數(shù)據(jù)安全治理實(shí)踐第三章數(shù)據(jù)安全制度（保護(hù)重要數(shù)據(jù)）數(shù)據(jù)分類分級(jí)保護(hù)制度(重要數(shù)據(jù)保護(hù)目錄)風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)報(bào)告信息共享 監(jiān)測(cè)預(yù)警數(shù)據(jù)安全應(yīng)急處置機(jī)制數(shù)據(jù)安全審查制度數(shù)據(jù)出口管制針對(duì)歧視性禁止、限制的對(duì)等措施《數(shù)據(jù)安全分級(jí)分類規(guī)范指引》在制定過程中?！局匾獢?shù)據(jù)目錄】省部主管（行業(yè)主管）與地方協(xié)商制訂，這里涉及數(shù)據(jù)共享格式是否統(tǒng)一。數(shù)據(jù)的收集、存儲(chǔ)、使用、加工中的“跑冒滴漏”，通過DAS、DPS、DOMS、DES等技術(shù)手段監(jiān)管。數(shù)據(jù)傳輸、提供、公開，防止在公網(wǎng)暴露，通過DSWMS、DAS、DPS等手段監(jiān)管。應(yīng)建立《數(shù)據(jù)安全事件應(yīng)急處置機(jī)制》，并定期進(jìn)行非授權(quán)數(shù)據(jù)批量泄露和數(shù)據(jù)篡改事件處置演練。落地的面臨問題缺乏制度無法監(jiān)管違規(guī)事件無規(guī)范約束，安全管理制度未覆蓋，出現(xiàn)的數(shù)據(jù)安全問題。有安全管理制度和規(guī)范約束；缺乏技術(shù)支撐落地手段；出現(xiàn)如批量泄露無審計(jì)措施。有安全管理制度和規(guī)范約束；已具備技術(shù)支撐落地；出現(xiàn)如運(yùn)維人員違反規(guī)范的批量刷庫行為。《數(shù)據(jù)安全法》中的數(shù)據(jù)安全治理應(yīng)建制度、有監(jiān)管、定期上報(bào)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)補(bǔ)丁未升級(jí)弱口令低安全策略高危程序代碼缺省配置權(quán)限寬泛加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)?提權(quán)漏洞?SQL注入漏洞?緩沖區(qū)溢出?訪問控制漏洞?拒絕服務(wù)漏洞立即采取補(bǔ)救措施監(jiān)測(cè)數(shù)據(jù)安全全生命周期數(shù)據(jù)中臺(tái)/數(shù)據(jù)湖數(shù)據(jù)收集存儲(chǔ) 數(shù)據(jù)使用加工數(shù)據(jù)提供公開 數(shù)據(jù)應(yīng)用生產(chǎn)庫歸集庫主題庫專題庫中間庫DMS數(shù)據(jù)脫敏系統(tǒng)開發(fā)測(cè)試庫第三方開發(fā)測(cè)試第三方運(yùn)維WEB應(yīng)用系統(tǒng) API共享庫API分析系統(tǒng)、報(bào)表系統(tǒng)、查詢系統(tǒng)、第三方數(shù)據(jù)服務(wù)共享庫脫敏文件中間庫表數(shù)據(jù)安全缺陷 安全漏洞 數(shù)據(jù)采集系統(tǒng)臨時(shí)庫外部用戶立即采取發(fā)現(xiàn)安全 處置措施事件及時(shí)告知用戶并上報(bào)主管部門數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估01據(jù)有資多產(chǎn)少需（要種類和數(shù)量）數(shù)納入管理范疇需要回答的信息03數(shù)據(jù)資產(chǎn)環(huán)境是否存在安全隱患，如漏洞、弱口令02開展數(shù)據(jù)處理活動(dòng)的情況。數(shù)據(jù)從哪來，敏感數(shù)據(jù)有哪些，位于什么地方，被誰訪問04權(quán)數(shù)據(jù)環(huán)境中有多少活躍賬號(hào)、限如何，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)和應(yīng)對(duì)措施。資產(chǎn)價(jià)值評(píng)估安全事件的損失資產(chǎn)識(shí)別脆弱性識(shí)別 脆弱性評(píng)估威脅識(shí)別 威脅評(píng)估安全事件的可能性綜合風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估三要素：資產(chǎn)價(jià)值評(píng)估、脆弱性評(píng)估、威脅評(píng)估向主管部門報(bào)送定期開展風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)安全治理實(shí)踐一級(jí)：總體方針，二級(jí)：制度，三級(jí)：程序；四級(jí)：表格；可通過辦法、發(fā)函、細(xì)則來落實(shí)；預(yù)計(jì)形成一級(jí)《制度》，二級(jí)《指引》，三級(jí)《細(xì)則》,四級(jí)《操作規(guī)范》。實(shí)際崗位名稱和職責(zé)待定，根據(jù)實(shí)際情況數(shù)據(jù)運(yùn)營團(tuán)隊(duì)有可能在管理團(tuán)隊(duì)下面。第四章數(shù)據(jù)安全保護(hù)義務(wù)數(shù)據(jù)安全管理制度數(shù)據(jù)安全治理數(shù)據(jù)安全教育培訓(xùn)數(shù)據(jù)安全技術(shù)措施數(shù)據(jù)安全管理機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估(種類\數(shù)量\風(fēng)險(xiǎn))合法、正當(dāng)收集數(shù)據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)處置數(shù)據(jù)處理和服務(wù)數(shù)據(jù)來源審核、記錄數(shù)據(jù)處理服務(wù)許可依法數(shù)據(jù)調(diào)取數(shù)據(jù)出境\跨境存儲(chǔ)通過數(shù)據(jù)安全運(yùn)營管控平臺(tái)隨時(shí)監(jiān)測(cè)，一般提供報(bào)告的周期與運(yùn)維周期相同，定期做風(fēng)險(xiǎn)監(jiān)測(cè)報(bào)告，建議間隔是1年。定期做風(fēng)險(xiǎn)評(píng)估報(bào)告，建議間隔時(shí)間是1年。數(shù)據(jù)安全治理面臨挑戰(zhàn)泄露數(shù)據(jù)數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開環(huán)節(jié)泄露出去了，流到黑市交易首先是思想和意識(shí)層面，政企單位應(yīng)該牢固樹立數(shù)據(jù)安全意識(shí)觀，建立全流程數(shù)據(jù)安全管理制度和規(guī)范，這是防止數(shù)據(jù)泄露的前提。多部門參與結(jié)合必要手段才能達(dá)成目標(biāo)網(wǎng)安部門業(yè)務(wù)部門風(fēng)控部門數(shù)據(jù)處理部門單位決策層參與和推進(jìn)依據(jù)《數(shù)據(jù)安全法》和行業(yè)的規(guī)章制度管好數(shù)據(jù)安全成本控制專業(yè)性不足技術(shù)能力認(rèn)知不足數(shù)據(jù)安全治理如何落地?cái)?shù)據(jù)安全治理從整體結(jié)構(gòu)入手，方案帶動(dòng)評(píng)估、平臺(tái)滿足合規(guī)購置審計(jì)、脫敏產(chǎn)品根據(jù)需求購置各種場(chǎng)景化數(shù)據(jù)安全設(shè)備運(yùn)營平臺(tái)建設(shè)、策略優(yōu)化、事件處理、持續(xù)監(jiān)控設(shè)置安全策略逐步融入管理流程，融入現(xiàn)有IT設(shè)施自頂向下方案帶動(dòng)平臺(tái)已有單品復(fù)購搭建平臺(tái)12這里開始這里開始03數(shù)據(jù)安全實(shí)踐案例安華金和數(shù)據(jù)安全治理能力十二年專注數(shù)據(jù)安全領(lǐng)域政企案例豐富 數(shù)據(jù)庫安全No.1安華金和多項(xiàng)技術(shù)專利，數(shù)據(jù)庫漏洞挖掘能力業(yè)內(nèi)第一。海關(guān)、稅務(wù)、社保、銀行、證券、國網(wǎng)、鐵路、民航等安全建設(shè)。數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫脫敏、數(shù)據(jù)庫加密、數(shù)據(jù)安全運(yùn)營管控平臺(tái)業(yè)內(nèi)最強(qiáng)。數(shù)據(jù)安全治理理念領(lǐng)先北京市數(shù)據(jù)安全保障小組組長單位。承辦數(shù)據(jù)安全治理高峰論壇。數(shù)據(jù)資產(chǎn)梳理數(shù)據(jù)資產(chǎn)梳理前 數(shù)據(jù)資產(chǎn)梳理后記錄和客戶申報(bào)：110個(gè)庫 ?最終梳理出290個(gè)庫，其中180個(gè)庫無人認(rèn)領(lǐng)和管理?無主庫中包含敏感信息庫90多個(gè)?最終有43個(gè)庫確認(rèn)是僵尸庫，進(jìn)行了清理?資產(chǎn)不明，有多少存量資產(chǎn)未知?數(shù)據(jù)無分類分級(jí)，數(shù)據(jù)缺乏管理依據(jù)和制度。?訪問來源混亂，權(quán)限混亂無體系?自動(dòng)梳理：自動(dòng)化分析數(shù)據(jù)資產(chǎn)類型、歸屬。?數(shù)據(jù)分級(jí)：將客戶信息進(jìn)行分類，分級(jí)管理。?資產(chǎn)認(rèn)領(lǐng)：所有未知資產(chǎn)全部認(rèn)領(lǐng)。?資產(chǎn)臺(tái)賬：責(zé)任到部門、人，建立數(shù)據(jù)資產(chǎn)安全標(biāo)識(shí)。?數(shù)據(jù)熱度：監(jiān)控資產(chǎn)和數(shù)據(jù)使用熱度，進(jìn)行重點(diǎn)防護(hù)和監(jiān)管?監(jiān)控風(fēng)險(xiǎn)：記錄核心數(shù)據(jù)庫的運(yùn)維操作，對(duì)第三方運(yùn)維人員操作進(jìn)行全面的審計(jì)和監(jiān)控；關(guān)鍵價(jià)值?徹底解決數(shù)據(jù)底賬不清的問題?為后續(xù)數(shù)據(jù)安全防護(hù)體系的建設(shè)提供依據(jù)?建立長效監(jiān)控機(jī)制，動(dòng)態(tài)監(jiān)控資產(chǎn)和數(shù)據(jù)變化，一勞永逸數(shù)據(jù)分類分級(jí)實(shí)踐中煙數(shù)據(jù)分級(jí)分類客戶需求對(duì)中煙信息系統(tǒng)內(nèi)的數(shù)據(jù)進(jìn)行收集、整理，歸類，運(yùn)用相應(yīng)地?cái)?shù)學(xué)模型，對(duì)數(shù)據(jù)的類別、特征、生命周期、安全要求等各方面進(jìn)行綜合建模，結(jié)合相應(yīng)地法律法規(guī)，形成以下方面的標(biāo)準(zhǔn)：?數(shù)據(jù)資產(chǎn)分類標(biāo)準(zhǔn)。數(shù)據(jù)資產(chǎn)分類標(biāo)準(zhǔn)研究是按照數(shù)據(jù)的主題、形態(tài)、元特征、應(yīng)用、部署地點(diǎn)、生成時(shí)間等進(jìn)行分類，數(shù)據(jù)分類維度的選擇以數(shù)據(jù)主題為優(yōu)先。?數(shù)據(jù)資產(chǎn)分級(jí)標(biāo)準(zhǔn)。數(shù)據(jù)資產(chǎn)分級(jí)標(biāo)準(zhǔn)是按照數(shù)據(jù)的保密性和完整性等進(jìn)行高低級(jí)別的劃分。對(duì)最關(guān)鍵和最有價(jià)值的數(shù)據(jù)采取最高級(jí)別的防護(hù)措施，同時(shí)減少不必要的投入。?數(shù)據(jù)資產(chǎn)安全防護(hù)標(biāo)準(zhǔn)。依據(jù)數(shù)據(jù)資產(chǎn)不同的分類和分級(jí)信息，結(jié)合國家、行業(yè)，提出不同分類、分級(jí)對(duì)應(yīng)的安全防護(hù)標(biāo)準(zhǔn)。項(xiàng)目背景累計(jì)10年的訂單明細(xì)約為20億行，每周產(chǎn)生的數(shù)據(jù)量約為500萬行，交易筆數(shù)約為3億/年，更多的消費(fèi)者數(shù)據(jù)將納入到煙草生態(tài)圈中，煙草行業(yè)的數(shù)據(jù)量大且增長迅猛。然而，煙草數(shù)據(jù)的巨大價(jià)值也引發(fā)了黑客組織和攻擊者的高度關(guān)注。分析發(fā)現(xiàn)，煙草數(shù)據(jù)安全事件具有以經(jīng)濟(jì)利益為主要目的、以重要敏感煙草數(shù)據(jù)為攻擊目標(biāo)、攻擊大多來源于企業(yè)外部等特點(diǎn)。如何推動(dòng)企業(yè)提升煙草數(shù)據(jù)安全管理能力，在促進(jìn)煙草數(shù)據(jù)使用、流動(dòng)與共享的同時(shí)實(shí)現(xiàn)有效管控治理，成為亟待解決的問題。智慧城市數(shù)據(jù)安全十四五要求《北京市十四五智慧城市發(fā)展行動(dòng)綱要》網(wǎng)絡(luò)數(shù)據(jù)的安全防護(hù)，事前監(jiān)測(cè)與數(shù)據(jù)庫風(fēng)險(xiǎn)評(píng)估、事中防護(hù)與數(shù)據(jù)庫防火墻、事后響應(yīng)與數(shù)據(jù)庫安全審計(jì)相關(guān)。數(shù)據(jù)分級(jí)分類與數(shù)據(jù)資產(chǎn)梳理，安全咨詢服務(wù)，數(shù)據(jù)安全運(yùn)營管控平臺(tái)密切相關(guān)。智慧城市數(shù)據(jù)安全要求《北京政府投資信息化項(xiàng)目數(shù)據(jù)資源管理辦法（試行）》這幾個(gè)基礎(chǔ)庫是數(shù)據(jù)集中存儲(chǔ)的關(guān)鍵。涉及數(shù)據(jù)安全管理制度咨詢和安全風(fēng)險(xiǎn)評(píng)估。第七條市經(jīng)濟(jì)信息化委會(huì)同人口、法人、自然資源和地理空間、宏觀經(jīng)濟(jì)、電子證照等基礎(chǔ)信息資源庫市級(jí)牽頭部門，共同編制、發(fā)布和維護(hù)基礎(chǔ)信息資源目錄。第八章政務(wù)信息資源安全第二十六條市經(jīng)濟(jì)信息化委會(huì)同市網(wǎng)絡(luò)信息安全監(jiān)管部門建立政務(wù)信息資源安全管理制度，組織開展風(fēng)險(xiǎn)評(píng)估和安全審查。市經(jīng)濟(jì)信息化委要建立市級(jí)大數(shù)據(jù)管理平臺(tái)統(tǒng)一身份認(rèn)證、權(quán)限管理、數(shù)據(jù)加密等技術(shù)防護(hù)體系，增強(qiáng)其風(fēng)險(xiǎn)防范能力。政務(wù)部門要建立健全信息安全制度，對(duì)政務(wù)信息資源實(shí)施分級(jí)分類管理，確保政務(wù)信息資源采集、共享和使用安全。第二十七條政務(wù)部門應(yīng)建立應(yīng)急響應(yīng)和災(zāi)難恢復(fù)機(jī)制，制定工作預(yù)案，根據(jù)政務(wù)信息資源重要程度，采取相應(yīng)策略。第二十八條政務(wù)部門要加強(qiáng)對(duì)公民個(gè)人信息的保護(hù)，處理好公民個(gè)人信息保護(hù)與共享開放的關(guān)系，防止個(gè)人信息被非法獲取或泄露。涉及數(shù)據(jù)加密、分級(jí)分類、確保采集、共享和使用安全。保護(hù)好個(gè)人隱私信息。關(guān)鍵價(jià)值?政務(wù)數(shù)據(jù)大屏展示，需要過濾個(gè)人隱私、企業(yè)敏感數(shù)據(jù)?智慧城市通過“數(shù)據(jù)共享”提升了數(shù)據(jù)使用價(jià)值，同時(shí)面臨數(shù)據(jù)安全隱患，需要通過技術(shù)手段避免大規(guī)模數(shù)據(jù)泄漏?共享數(shù)據(jù)的業(yè)務(wù)系統(tǒng)數(shù)量多，數(shù)據(jù)脫敏需要統(tǒng)一的策略管理機(jī)制，業(yè)務(wù)系統(tǒng)“定制開發(fā)”不可行。?第三方開發(fā)人員、外包人員組織結(jié)構(gòu)復(fù)雜，需要統(tǒng)一控制，集中管理，防止敏感數(shù)據(jù)大批量泄漏某智慧城市數(shù)據(jù)動(dòng)態(tài)脫敏實(shí)踐數(shù)據(jù)動(dòng)態(tài)脫敏展示效果工業(yè)數(shù)據(jù)分類分級(jí)指南（試行）第六條工業(yè)企業(yè)工業(yè)數(shù)據(jù)分類維度包括但不限于研發(fā)數(shù)據(jù)域（研發(fā)設(shè)計(jì)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)等）、生產(chǎn)數(shù)據(jù)域（控制信息、工況狀態(tài)、工藝參數(shù)、系統(tǒng)日志等）、運(yùn)維數(shù)據(jù)域（物流數(shù)據(jù)、產(chǎn)品售后服務(wù)數(shù)據(jù)等）、管理數(shù)據(jù)域（系統(tǒng)設(shè)備資產(chǎn)信息、客戶與產(chǎn)品信息、產(chǎn)品供應(yīng)鏈數(shù)據(jù)、業(yè)務(wù)統(tǒng)計(jì)數(shù)據(jù)等）、外部數(shù)據(jù)域（與其他主體共享的數(shù)據(jù)等）。第七條平臺(tái)企業(yè)工業(yè)數(shù)據(jù)分類維度包括但不限于平臺(tái)運(yùn)營數(shù)據(jù)域（物聯(lián)采集數(shù)據(jù)、知識(shí)庫模型庫數(shù)據(jù)、研發(fā)數(shù)據(jù)等）和企業(yè)管理數(shù)據(jù)域（客戶數(shù)據(jù)、業(yè)務(wù)