一、识别核心重要数据,对数据进行分类分级,是数据安全保护工作的前提。
数据安全维护的重心是对核心和重要的数据进行安全维护。运营者首先应全面的整理安排数据资产清单,识别出核心和重要的数据,并依据相关方针规范对数据进行分类分级。要害信息基础设施的运营者,还应该通过对要害信息基础设施的要害事务流进行分析,识别出要害信息基础设施的要害数据资产。
运营者可以参考《网络安全规范实践攻略网络数据分类分级指引》和行业数据安全分类分级规范对数据进行分类分级。数据分类方面,可以从公民个人维度、公共办理维度、信息传达维度、安排经营维度、行业领域维度进行数据分类。数据分级方面,可以从数据受到破坏后对国家安全、社会秩序和大众利益、个人隐私、安排及其它法人形成的侵害程度来进行分级,可以分为一般数据、重要数据和核心数据。
二、提炼数据安全需求,建立数据安全保护策略,是数据安全保护工作的重心。
合规要求、事务需求和数据安全面临的风险是辅导数据安全维护的最主要安全需求。
目前我国《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息维护法》均对数据安全提出了维护要求,同时运营者还应依据其安排的事务特点整理各自需求满足的安全方针和职业标准。如涉及数据出境的安排还应满足《数据出境安全评价方法》的要求。
对于事务需求和数据安全风险来说,需求运营者依据实际情况进行剖析和整理,经过事务流程剖析、要挟建模和风险评价等方法剖析安排面临的数据安全要挟和风险,例如敏感数据在不安全的环境传输或存储,就会存在安全风险,需求对其进行识别。
根据合规要求、事务需求和数据安全风险,安排提炼出数据安全需求,参阅DSMM模型和职业最佳实践等,树立贴合安排现状的数据安全维护战略,构建数据安全保证架构,辅导数据安全维护工作的展开。
三、满足网络安全等级保护基本要求和关键信息基础设施安全保护要求,是数据安全保护工作的基础。
数据安全维护的基础是对数据承载环境的安全维护。因而运营者应根据网络安全等级维护政策和规范要求展开安全建造作业,确保等级维护对象满意相应等级的安全要求。要害信息基础设施运营者还应在等级维护作业基础上展开要害信息基础设施安全维护作业(简称关基维护)。
网络安全等级维护基本要求和要害信息基础设施安全维护要求也对数据安全提出了相关维护要求。等级维护基本要求强调了对辨别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息的维护,包含基于安全策略的访问操控要求,传输和存储的保密性要求和完好性要求,以及重要数据备份和康复的要求,并对个人信息维护进一步强调了收集限制和制止非授权访问等。要害信息基础设施安全维护要求中,也在剖析识别、安全防护等方面对数据提出了安全维护要求。以上均需运营者要点重视并给出对应的安全维护措施。
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询