数字安全 | 数据安全管理

数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。数据安全管理是指在组织数据安全战略的指导下，为确保数据处于有效保护和合法利用的状态，多个部门协作实施的一系列活动集合。包括建立组织数据安全治理团队，制定数据安全相关制度规范，构建数据安全技术体系，建设数据安全人才梯队等。

数据安全管理的关键活动包括：

数据安全管理计划：理解组织内外部数据安全需求与监管要求；制定数据安全管理制度体系，包括数据安全工作的基本原则、数据安全管理规则和程序、内外部协调机制等，并且明确个人信息保护管理制度（包括处理规则、合规审计制度、跨境传输安全评估体系等）；定义并发布数据分类分级标准规范；

数据安全管理执行：依托平台工具，识别敏感数据，应用数据安全分类分级标准规范；根据数据的敏感级别，部署相应的数据安全防控系统或工具（如权限管控、数据脱敏、数据防泄露、安全审计等）；

数据安全管理检查：监控数据在采集、存储、传输、加工、使用等环节的安全、隐私及合规状况等;组织进行内外部数据安全审计；

数据安全管理改进：总结数据安全问题与风险，评估数据安全管理相关标准规范的适用性、有效性，持续优化数据安全管理过程。

数据安全分类分级成为数据安全管理的基础性、关键性工作。2021年我国发布《数据安全法》，提出“国家建立数据分类分级保护制度，对数据实行分类分级保护”，正式确立了数据分类分级的保护要求；同年发布的《个人信息保护法》，要求“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”；网信办在《》中进一步明确，将数据分为一般数据、重要数据、核心数据，国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护；各地区、各部门按照国家要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

此外，金融、工业、电信、医疗等行业纷纷出台相应的数据分类分级指南，以数据资产分类为基础，结合敏感数据分级规则，形成数据资产安全分类分级标准。金融标准化管理技术委员会联合其行业主管部门已发布多项数据分类分级与保护相关的标准，如《金融数据安全数据安全分级指南》（JR/T 0197-2020）、《金融数据安全数据生命周期安全规范》（JR/T 0223-2021）等，还有多项处于研制阶段金融行业标准，如《金融数据安全数据安全评估规范（征求意见稿）》，从全量个人信息、个人信息安全影响、个人金融信息、金融业数据、数据生命周期、网络数据、重要数据以及数据安全评估的维度对金融数据分类分级与保护做出了规定。工业和信息化部于2020年印发了《工业数据分类分级指南（试行）》，旨在指导企业全面梳理自身工业数据，提升数据分级管理能力，促进数据充分使用、全局流动和有序共享。中国通信标准化协会于2020年发布的《》（YD/T 3813-2020）等行业标准，进一步提出了针对电信企业的数据分类分级方法。医疗行业在2020发布了《信息安全技术 健康医疗数据安全指南》，将健康医疗数据可被分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据和公共卫生数据6类，根据数据重要程度、风险级别以及对个人健康医疗数据主题可能造成的损害和影响将数据安全划分为五级。

个人信息保护成为数据安全管理关注的焦点。《个人信息保护法》将自然人姓名、出生日期、身份证件号码、生物识别信息等全面纳入保护范围，为组织确定了个人信息保护范畴与要求。系统性识别业务涉及的个人信息处理活动，充分掌握个人信息收集、存储、流通等活动，并作为数据安全标准规范的建立依据。在确保个人信息安全的前提下，引入多方安全计算、联邦学习等隐私计算技术，开展数据资产流通。

扫码进星球下载公众号文件