【热点问答】非结构化数据保护和软件漏洞修复等

探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

社

区

互

动

知识星球热点问答

合规社知识星球社区聚集了许多关于数据安全和个人信息保护的讨论。我们将在公众号上定期整理这些社区问答，涵盖难点问题、实践案例和专家见解。

问题1

问题1:有限资源下如何做好数据安全保障？

“关于数据分类分级如何持续做下去，因为每个人对数据分类分级有不同的看法，如何能做好数据分类分级结果的准确，同时在数据使用场景也是符合数据分类分级要求？特别是企业涉及合作人员来支撑数据开发及数据维护，如何做好数据安全防护，很多系统都是在日益完善的过程，在有限资源投入，如何做好最大的安全保障？”

▽

✅探讨要点：

1.数据分类分级的工作思路

关于分类分级的探讨很多，现实落地很难。任何从事IT或数据行业的人员对分类分级都有一些自己的见解，个人也更新观点：

●分类分级不要期待大而全的做法，建议从重要业务、重要信息系统结构化数据库开始；优先控制好数据来源合规和数据对外使用合规。

●可以简要分成如下五步：

√ 第一步：建立分类分级规范；

√ 第二步：技术侧用工具打标；

√ 第三步：技术部门同业务部门分析打标结果，关联数据和业务，形成业务数据目录；

√ 第四步：梳理数据（尤其是个人信息和敏感数据）对外使用场景（技术层面，数据所在的系统和外部系统的链接）；

√ 第五步：数据对外业务场景（业务层面）有哪些？对于新增业务场景进行审批和上线流程。

2.有限资源下如何做好数据安全保护

所经历发现的安全事件和信息系统运行稳定性故障（可用性），超过70%是安全管理方面的问题造成的。比如弱口令、违规暴露互联网、默认配置、磁盘空间满、违规变更等等。

●做好基础安全管理，定义关键工作通过“要求-落实-检查-审计”四个步骤循环执行。

●优先建立必要的数据防护能力，再考虑建立丰富和优化安全防护措施。

针对外包人员和数据开发人员，接入层面系统账号权限（VPN、堡垒机、零信任网关等）、数据层面账号权限（大数据平台权限、数据库库表权限、账号读写权限等）；敏感数据的访问工具和通道，比如数据脱敏网关。

●控制主要风险。

（1）识别企业互联网暴露面、信息系统资产、数据资产；

（2）梳理这些资产的访问控制面；

（3）定期的风险评估，识别出主要风险，逐步整改。

风险无法安全控制和消除，安全工作的核心把标准动作、合规工作等落实执行好，建立“尽职履职”思路，出现安全事件时进行应急处置，尤其数据业务形态下，保护好企业、保护员工自身。

📖 推荐阅读：

问题2

问题2:非结构化数据的数据安全如何管控？

“现在数据分类分级一般都是针对结构化数据做的，非结构化数据在具体实践中企业是怎么做的呢？尤其是终端中存放的这种碎片化的非结构化数据。非结构化数据分类分级结果怎么应用，有哪些典型的系统工具可以结合分类分级结果做数据的分级管控。”

▽

✅探讨要点：

1.非结构化数据的安全管控

非结构化数据通常包括文本文档、程序代码、图片、视频和音频等，尤其以文件为主。数据安全有两类主要场景很重要，一类是业务信息系统的数据安全，另一类是办公场景的数据安全，比如企业敏感数据、密级文件的外发和流转，企业文档管理系统、网盘、工作沟通聊天软件等。

以前接触过一些办公场景的安全管控，提供一些参考：

●办公场景中的非结构化文件的保护需要综合考虑，通常涉及邮件，电脑终端，个人手机等场景，其中电脑终端，可以考虑安装终端DLP软件进行审计和防护，对于邮件则需要考虑邮件安全网关对外发的敏感内容进行识别，个人手机办公的场景则需要考虑一些MDM（移动设备管理）的产品，上述方案相互结合，才能够整体的实现办公环境中的非结构数据安全管控。

●部署类似敏感数据扫描工具，可识别接入办公网络的非结构化敏感数据。网络层部署网络防泄漏系统，识别网络中泄漏的敏感数据。

●建立私有化的企业管理软件。如企业微信、钉钉等，企业内部网盘，涉及企业内部文档流通。这些软件的应用层面功能很多可配置的安全限制，比如禁止外部转发、分享外部链接等，做很多精细化应用层级的限制。

●非结构化文件人员权限强管控。比如查看、编辑等，浏览次数等，控制范围等常规思路。

2.数据的分级安全管控

数据分级的标准比较统一，即重要数据、核心数据和一般数据（1-4级），99%的企业不涉及重要数据和核心数据，因此他们的目标是保护一般数据中3级-4级数据，优先个人信息和敏感数据的保护。

甲方做数据安全不要期待通过一个系统或工具把数据安全做好，容易把工作思路限制住，一定要从业务视角出发，即数据安全场景化，比如针对数据分级结果，我们核心目标是管理好个人信息和敏感数据。

●对内看：个人信息和敏数据需要加密存储；对内部数据提供做好传输通道加密（三次加密）；梳理哪些场景下（运维、数据分析、厂商第三方）会访问这些数据，访问通道管理好，账号权限管控好。

●对外看：通过什么方式和途径提供这些数据（常见的是API接口方式），是否涉及源数据直接提供。特定场景的应用，涉及敏感数据时，是否考虑隐私计算技术进行解决。

此外，数据分级管控不能全依赖安全技术管控。安全管理措施也是重要方法，可以通过技术工具协助我们做数据安全管理，安全能力建设好后，如何用好工具非常重要。

问题3

问题3:项目中软件产品过了维保期，需要修复漏洞吗？？

“在IT项目中，软件开发商提供的子系统（包括应用软件）在一年免费维护期后若出现安全漏洞，项目总承包商或甲方是否有权要求开发商免费提供安全保障？《网络安全法》对网络产品和服务有安全要求，软件产品是否适用？”

▽

✅ 探讨要点：

1. 根据《网络安全法》第二十二条，网络产品或服务提供者在发现安全缺陷或漏洞时，应立即采取补救措施，并持续提供安全维护，直至规定或约定期限结束。违反此规定将面临第六十一条规定的处罚。

2.软件通常被视为网络产品或服务的一部分，尤其在《网络安全法》的框架下，软件是网络基础设施的关键组成部分。

3.实际操作中，软件开发商可能会依据合同条款提供服务。如果合同规定免费保修期后需收费，开发商可能会对安全漏洞修复收费。然而，法律规定的义务优先于合同条款。合同中关于免费保修期后收费的条款，如果不影响基本安全漏洞补救的法律要求，可能是有效的。因此，合同的具体条款至关重要，合同内容不违反国家的法律法规基础要求。

4.2021年工信部、网信办和公安部联合发布的《网络产品安全漏洞管理规定》提出更加具体的细则规定。第七条提出了网络产品提供者应当履行的义务：应当即使组织对网络产品安全漏洞进行修补。

📖 推荐阅读：

580+次内容更新

1100份+干货文件不限下载

平均每月至少2期知识星球闭门私享会【Data Insights]

370+律师、法务合规、数据安全、信息安全、数据治理等从业人员已加入群聊

⬇️⬇️⬇️

「热点问答」专栏合集