近日,《信息安全技术 重要数据识别指南》(征求意见稿)(以下简称《指南》)正式发布。该标准由全国信息安全标准化技术委员会(sac/tc260)提出并归口,《指南》提出了重要数据的特征,并明确从国家的角度对重要数据进行分类,主要为我国数据安全防护工作提供重要支撑。
01《指南》发布背景
一直以来,重要数据的分类分级是国家关注的重点问题。国家级别的数据安全法律法规、行业数据安全标准中均提及数据分类、重要数据保护的要求,但是并未对重要数据做出明确定义。
《数据安全法》提出规范正常数据处理活动中,要保障数据安全,促进数据开发利用,同时强调要对数据进行分类分级、对重要数据进行专项保护。数据安全建设过程中极易出现一边倒的情况,要么以企业自身利益为重去明确敏感数据定义,要么完全不行动而观望行业动向。《指南》的发布,为政府、能源、金融等重点行业和企事业单位提供了指路明灯。
02《指南》发布影响
《指南》指出重要数据是从国家安全、经济运行、社会稳定、公共健康和安全等角度来识别,只对组织自身而言重要或敏感的数据不属于重要数据。同时提出重要数据特征,明确识别重要数据的基本流程以及对重要数据描述格式。可为各地区、各部门指定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。
目前,重要数据的特征影响范围共分为八类:与经济运行相关、与人口和健康相关、与自然资源及环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关以及其他。其中这八类数据中重要数据的定义为:一旦遭到篡改、破坏、泄露或非法获取、非法利用,可能危害国家安全、公共利益。
在法律驱动下,数据安全已经不仅是企业自身需求。但在数据安全建设的过程中,由于没有明确的重要数据定义,不少企业在具体建设时会陷入窘境。自此以后,企业可依据《指南》对重要数据进行识别,明确来源、用途、共享交换情况,制定出相应的保护措施,防止重要数据受到侵害。
03 如何落实《指南》
依据《指南》,天融信可针对客户数据安全管理现状进行快速摸底,为客户提供关键痛点分析,为后续建设规划提供基础支撑。从组织管理、制度流程、技术工具、人员能力全方位评估客户当前现状和差距,并通过数据分类分级技术进行重要数据识别,提供完整的数据安全体系设计,可覆盖更多系统资产和业务场景梳理,设计覆盖数据全生命周期的技术防护体系,为数据安全管控平台建设和技术产品措施提供全面指导。
作为国内网络安全领军企业,天融信从率先提出“以数据为中心的安全技术架构”,到“以数据安全治理为基础、数据安全生命周期为核心、数据安全防护为手段、数据安全运营为支撑”的方法论,致力于持续为客户的数据安全提供全面、专业的服务,目前已在运营商、金融、政府、能源、卫生、海关等行业领域得到广泛应用与认证。同时,天融信也是注册数据安全治理专业人员认证(cisp-dsg)的独家运营机构,持续为国家培养和输出数据安全专业人才。
- 关键词标签:
- 天融信 信息安全技术 数据识别指南 数据安全防护