等保测评认证数据安全保护新形势（下）

四、构建数据安全技术体系，保证数据的产生、采集、传输、存储、使用、共享和销毁各阶段的安全，是数据安全保护工作的技术抓手。

面向数据安全合规和具体事务安全需求，运营者还应在等级维护和关基维护的作业基础上，进一步辨认和剖析数据资源在产生、搜集、传输、存储、运用、同享和毁掉各阶段面临的网络安全要挟，特别是云核算等新技能、新运用和新模式带来的新要挟，并针对性的强化数据安全安全防护手段和办法，从而融合已有办法构建一个掩盖数据全生命周期的综合性安全防护技能体系。以技能作为抓手，执行数据安全管理要求，支撑数据安全运行作业。各阶段常见的数据安全技能手段或办法或许包含：

（1）数据的搜集阶段：经过技能手段和办法如最小化搜集等方式，确保数据搜集进程依法合规。在数据搜集时，应告知数据搜集的目的、范围并经过技能办法确保个人在同意后方可搜集。

（2）数据的传输阶段：经过暗码技能和协议等办法确保重要数据传输的机密性和完整性。

（3）数据的存储阶段：应确保不同级别数据之间的隔离性，经过合理的授权和拜访操控机制确保数据免受非授权拜访；经过加密和HMAC等方式确保数据存储的机密性和完整性。

（4）数据的运用阶段：经过最小权限授权和采取细粒度动态拜访操控办法限制对数据的运用，经过数据防泄漏机制防止数据运用进程中的走漏。关于需要从原始数据进行大数据剖析的离线数据，运用前应进行数据匿名化或脱敏处理。

（5）数据的同享阶段：应采取技能手段确保数据在与其他组织之间同享的安全，如数据匿名化、多方安全核算、同态加密和个人隐私核算等方式。

（6）数据的毁掉阶段：数据进入毁掉阶段时，尤其是个人信息在个人用户挑选和要求删除的情况下（被忘记权），应采取技能手段删除个人信息。

五、根据《中华人民共和国数据安全法》要求，重要数据的处理者应当清晰数据安全负责人和办理机构，履行数据安全维护责任，建立健全全流程数据安全办理制度，安排展开数据安全教育训练。

运营者应根据法律法规要求及安排内部实际情况，充沛履行安全办理要求，保证数据安全经过正确、规范、逻辑闭环的数据安全办理体系进行要求和履行。

六、加强数据安全运营和实战演练，做到平战结合，是数据安全保护工作的落脚点。

数据安全作业终究要落到日常安全运营和实战中去。因而运营者应该依据数据安全办理要求，使用数据安全技能东西展开数据安全运营作业。经过合理的装备办理、改变办理、介质办理、设备办理、网络安全办理、事件处置机制、应急办理等作业流程，做好日常运营作业。经过数据安全态势感知渠道等持续对中心和重要数据进行监测和检测，定级查看对外提供服务的API接口安全和重要装备以避免错误装备导致数据泄露。一起展开危险评价、安全评价、渗透测验、攻防实战等作业，做到平战结合，真正承担起保护数据的责任。

结合往期六条内容，运营者依据数据安全法律法规对数据进行分类分级，树立数据安全整体战略，从六点主张中结合自身业务实际经过技能，办理和运营构建数据安全保证体系，从而有效的保护中心和重要数据安全。

保证数据安满是一项杂乱的系统工程，需要从顶而下的展开数据安全治理作业，保证中心和重要数据安全，下降数据安全危险。除运营者做好自己的数据安全保护作业外，还需要监管部门、数据安全厂商和服务商等多方协作，构建数据安全协作生态，一起保护我国网络数据安全。