美创荣获“中国数据安全领域最具商业合作价值企业”
2024-08-28
国家数据局:数据产业和企业数据资源开发利用政策即将出台
2024-08-28
从这三方面入手,杜绝“删库跑”!
2024-08-22
2024网安创新大赛,美创产品方案双获奖!
2024-08-19
美创科技登榜《2024信创500强》!
2024-08-12
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务在信息爆炸的今天,数据已成为驱动社会进步与经济发展的核心引擎。为了进一步规范与提升我国大数据治理水平,近日,国家标准《信息技术 大数据 数据治理实施指南》GB/T 44109-2024正式颁布,并将于2024年12月1日起全面实施。这一里程碑式的举措,不仅标志着我国数据治理工作迈入了标准化、规范化的新阶段,更为各行各业的数据管理树立了明确的方向和标准。
一、标准化引领数据治理新篇章
《信息技术 大数据 数据治理实施指南》作为组织开展数据治理工作的权威指导性文件,其出台旨在通过统一的框架和指南,引导各行业、各领域的数据治理实践走向标准化、规范化。
它不仅满足了组织对数据质量、安全和价值挖掘的迫切需求,还为数据治理行业的蓬勃发展注入了强劲动力。通过该指南,组织能够准确评估自身数据治理的成效,获取专业的改进策略,从而稳步提升数据治理能力,释放数据的潜在价值。
二、数据安全治理已迫在眉睫
随着大数据技术的飞速发展与广泛应用,数据已成为国家基础性战略资源。数据治理,作为提升组织竞争力、实现可持续发展的关键一环,其重要性日益凸显。
1. 国家政策持续加码,推动数据安全治理
国家层面高度重视数据安全治理,一系列相关政策的出台,彰显了政府在保障数据安全、促进数据流通和发展数字经济方面的决心。数据作为关键生产要素,其安全与合规利用对于维护国家安全、保护个人隐私、促进经济繁荣具有不可替代的作用。
2023年2月27日,中共中央、国务院印发的《数字中国建设整体布局规划》中明确,数字中国建设要夯实数字基础设施和数据资源体系“两大基础”,要筑牢可信可控的数字安全屏障。近几年来,我国加快出台数据安全方面的立法进程,加强防范数据安全风险。相继出台了《网络安全法》《数据安全法》《密码法》《关键信息基础设施安全保护条例》《个人信息保护法》《数据安全管理办法》等多项政策法规,以及《信息安全技术个人信息安全规范》《数据安全风险评估管理办法》等行业规章制度,为数据安全行业的规范化发展、数据安全领域的技术发展和应用深化提供了指导和参考。
2. 数据安全与发展并重,发挥数据要素价值
我国坚持数据安全与发展并重,安全是发展的前提,发展是安全的保障。《数据安全法》对数据安全的定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。《网络安全法》对等保、关基对象已提出数据安全要求,《数据安全法》进行衔接,要求利用网络开展数据处理活动,应当在等保基础上履行数据安全保护义务。
贯穿数据全生命周期,在数据采集、传输、存储、处理、共享、销毁等各阶段,政企均需进行安全防护。数据分类分级保护,不同类型、不同级别的数据,重要程度、可能造成的危害程度不同,应当匹配不同的保护措施。“管理+技术+运营”体系建设,数据安全不仅是技术问题,更是管理问题;《数据安全法》规定,数据处理者要建立数据安全管理制度,也要采取技术措施保障数据安全,还要加强风险监测;《个人信息保护法》也在管理、技术、运营等方面提出要求。
3. 数据安全威胁多发,风险驱动数据安全治理
数据具有可复制、可无限供给等属性,伴随各类数据迅猛增长,数据安全问题由冲击个人隐私、商业秘密上升至损害国家利益。
2019年,虚假“贷款APP”致超150万人隐私信息泄露;
2019年,世界炼铝巨头公司边界防护能力不足,经济损失惨重;
2020年,欧洲能源集团遭勒索软件攻击,5TB数据被盗;
2020年,美国医疗机构数据泄露,引发安全性担忧。
三、数据安全治理面临诸多挑战
我国在数据安全治理推进工作中已取得了一系列重要成就,为数字经济的健康快速发展奠定了坚实基础,同时也面临新的挑战亟待解决。
1.数据安全合规落地困难
国家出台了一系列政策文件,体现了合规升级、监管趋严的宏观趋势。
《数据安全法》《个人信息保护法》相继出台,对数据要素流通使用过程中的数据安全与隐私保护作出相关规定。
2021年12月,国务院出台《要素市场化配置综合改革试点总体方案》提出要探索建立数据要素流通规则,加强数据安全保护,推动完善数据分级分类安全保护制度。
2022年12月2日,《关于构建数据基础制度更好发挥数据要素作用的意见》明确指出,数据安全是数据要素流通交易的底线和红线,是开展数据流通交易的首要条件。
2022年12月,工信部印发《工业和信息化领域数据安全管理办法(试行)》,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求等七个方面。
2023年6月,交通运输部印发《公路水路关键信息基础设施安全保护管理办法》提出,切实保障公路水路关键信息基础设施安全,维护网络和数据安全。
2023年7月,《中国人民银行业务领域数据安全管理办法(征求意见稿)》提出,鼓励数据处理者在保障安全合规前提下,积极促进数据高效流通和创新应用。
2024年1月,《“数据要素×”三年行动计划(2024-2026)》的出台以推动数据要素高水平应用为主线,提出要提升数据供给水平、优化数据流通环境、加强数据安全保障。
2. 数据要素流通风险
数据要素流通使用环境复杂,涉及多方主体、多个环节,同时数据产品具有极易复制、非排他性、难追溯等特征,均使数据流通使用面临安全风险、隐私泄漏挑战等问题。这不仅威胁国家数据安全,也不利于企业和个人数字权益的保护,严重阻碍数据要素流通使用市场化配置。
3. 数据资产发现与分类分级难题
数据形态日益丰富,数据资产梳理和分类分级难度加大,极易产生安全死角。同时,数据的类别级别需要结合业务场景进行动态调整,在不同场景下的等级认定以及相应的管控或处理技术可能不同,数据分类分级的持续性难以保持。
4.数据安全威胁多发
传统漏洞、弱口令、高危端口等安全问题及新生的勒索、挖矿、违规外联等未知威胁层出不穷,缺乏专业安全运营团队和常态化运营机制,导致现有安全防控能力难以抵御数据安全威胁。
四、全流程数据治理体系保障数据安全
面对数据治理过程中的重重挑战,道普信息作为第三方数字化风险管控专家,提出了构建全流程数据安全治理体系的创新思路。这一体系覆盖了数据的采集、存储、处理、传输和销毁等全生命周期,确保数据在每一个环节都能得到妥善管理和有效保护。
1. 健全数据安全治理体系
通过数据治理体系建设,不断开发创新的数据服务,融合目标、流程、方法、工具,建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。
强化数据安全风险评估,对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。
2.加强多规管理融合
基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,开展等保、密码、关保等多规测评,针对风险提出改进建议,帮助完成合规整改。
3.构建安全防护体系
从运营管理、运营运行、运行技术三方面,构建具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的数字安全保障体系,形成终端防护、边界隔离与威胁监测的安全方案,实现安全运营。
国家标准《信息技术 大数据 数据治理实施指南》GB/T 44109-2024的发布与实施,是我国数据安全治理体系迈向成熟的重要标志。构建全流程数据安全治理体系,不仅是应对当前数据治理挑战的关键举措,也是我国乃至全球数字经济健康、稳定发展的基石。让我们携手并进,共创数据安全新纪元,为数字经济的繁荣发展贡献力量。