您所在的位置: 首頁 >
新聞資訊 >
公司資訊 >
工業(yè)和信息化領域信息安全要關注起來了?。?!
近日,工信部為貫徹落實《數據安全法》《工業(yè)和信息化領域數據安全管理辦法(試行)》,研究起草了《工業(yè)和信息化領域數據安全行政處罰裁量指引(試行)》并向社會公開征求意見,這意味著工業(yè)和信息化領域的數據安全將從“需要怎么做,應該怎么做”進入到“不這么做,將會受什么處罰”的監(jiān)管執(zhí)法階段,此辦法推動著工業(yè)和信息化領域數據安全行政處罰工作向制度化、規(guī)范化方向開展。
來看看行政處罰裁定的工作方式是怎樣的。
依據網安法、數安法、行政處罰法和工信部行政處罰程序,工業(yè)和信息化領域數據安全行政處罰由違法行為發(fā)生地的行政處罰機關管轄,兩個及以上行政處罰機關對同一違法行為均有管轄權 ,應當由最先立案的行政處罰機關管轄,工業(yè)和信息化部依職權指導監(jiān)督工業(yè)和信息化領域數據安全違法行為管轄工作。
已經明確了處罰情形,需要著重關注。
裁量指引中定義的數據安全行政處罰情形,按不履行數據安全保護義務、向境外非法提供數據和不配合監(jiān)管三個方面,明確了25個違規(guī)情形,對重要數據和核心數據處理者進行了著重要求。
25個明確的違規(guī)情形包含了數據安全工作的組織體系、管理體系、技術體系和運營體系,進一步銜接、細化、落實《網絡安全法》《數據安全法》《工業(yè)和信息化領域數據安全管理辦法(試行)》,推動著工業(yè)和信息化領域組織的數據安全進行體系化建設、實戰(zhàn)化建設。
金 瀚信安的方案是不錯的選擇。
金 瀚信安數據安全治理體系化、實戰(zhàn)化解決方案,從“一中心、四體系、六過程”的頂層設計思路出發(fā),構建以工業(yè)和信息化領域重要數據、核心數據的安全防護為中心;以組織、管理、技術和運營四個數據安全體系;實現工業(yè)和信息化領域重要數據、核心數據全生命周期六大過程的安全防護。
組織體系建設
工業(yè)企業(yè)數據安全組織體系,需要構建一個由企業(yè)數據部門、業(yè)務部門、信息安全部門共同組成的,既懂安全,又懂數據的,獨立的,為數據安全端到端負責的組織,包括數據安全管理團隊、數據安全建設運營團隊、數據安全審計團隊等數據安全治理相關角色。建立相互促進、相互監(jiān)督的數據安全管理組織機制。
管理體系設計
工業(yè)企業(yè)數據安全管理體系的制度流程規(guī)劃需要從組織層面整體考慮和設計,并形成體系框架。制度體系需要分層,層與層之間,同一層不同模塊之間需要有關聯(lián)邏輯,在內容上不能重復或矛盾,一般分為四級。
防護技術能力建設
工業(yè)數據安全防護技術能力,要以基礎網絡安全能力為支撐,根據數據安全需求、標準、規(guī)范、目標等,在數據全生命周期不同的過程中執(zhí)行最佳的數據安全防護實踐,構建一套有效保障工業(yè)數據安全使用、共享的技術保障體系。
(1)數據采集安全:結合數據采集、清洗、轉換、匯聚階段的不同特點和要求,利用敏感數據識別、分類分級、身份認證、安全審計等技術,保障數據采集安全、數據真實可靠。
(2)數據傳輸安全:數據在傳輸過程中可能會面臨被竊取風險,可利用鏈路加密、數據加密、數據脫敏等技術,保障數據在傳輸過程中的安全。
(3)數據存儲安全:結合數據分級分類,實現關鍵數據加密存儲與分級數據的安全隔離,保障數據的存儲安全,主要包括實施用戶訪問控制、數據存儲合規(guī)審計、存儲介質安全、訪問行為審計等。
(4)數據處理安全:根據數據分級分類,明確數據處理模式和要求,為處理過程提供安全保障,主要包括數據權限管控、數據脫敏、數據處理異常行為監(jiān)控和分析、數據處理合規(guī)審計等。
(5)數據交換安全:根據數據管理制度規(guī)定、數據分類分級結果,利用權限管控、數據脫敏、數據水印等技術保障數據交換過程中的安全,同時對交換過程中數據類別、數據量進行識別監(jiān)控,防止數據被過量交換。
(6)數據銷毀安全:數據銷毀常采用刪除、格式化等常規(guī)操作來“銷毀”數據,事實上數據并沒有被真正銷毀,在新數據寫入同一存儲空間前,該數據會一直保留,從而存在被他人刻意恢復的風險,所以在數據銷毀時,需要采用多次復寫,或者加密復寫等技術保證數據完全被銷毀。
持續(xù)安全運營優(yōu)化
以應用數據安全管理平臺的“化零為整、機器學習、威脅分析、感知未然、聯(lián)防聯(lián)控、健康預警”功能作為數據安全運營的抓手,對全網數據安全風險持續(xù)監(jiān)測、風險識別、安全防護、安全響應,提升數據安全運營的效率。
同時,通過數據安全風險評估、應急演練、定期審計等運營手段,對數據安全能力度和效果進行稽核,對短板指標對應的人員、制度、技術多維度分析與優(yōu)化,不斷豐富和提升數據安全建設的完整性和成熟度,最終達到對整個數據安全的全方位管控和動態(tài)調優(yōu)。
方案價值
●全面覆蓋處罰裁定指引中的處罰情形,規(guī)避組織的處罰風險;
●建立并完善工業(yè)和信息化領域組織的數據安全管理體系,引導組建數據安全管理團隊,完善安全制度及流程體系,提高數據安全管理能力和運營能力;
●為工業(yè)和信息化領域組織構建起統(tǒng)一的、聯(lián)動聯(lián)防的、合成作戰(zhàn)的數據安全防護控制體系,可應對更加復雜的數據安全威脅及問題,提升數據安全防控能力;
近日,工信部為貫徹落實《數據安全法》《工業(yè)和信息化領域數據安全管理辦法(試行)》,研究起草了《工業(yè)和信息化領域數據安全行政處罰裁量指引(試行)》并向社會公開征求意見,這意味著工業(yè)和信息化領域的數據安全將從“需要怎么做,應該怎么做”進入到“不這么做,將會受什么處罰”的監(jiān)管執(zhí)法階段,此辦法推動著工業(yè)和信息化領域數據安全行政處罰工作向制度化、規(guī)范化方向開展。
來看看行政處罰裁定的工作方式是怎樣的。
依據網安法、數安法、行政處罰法和工信部行政處罰程序,工業(yè)和信息化領域數據安全行政處罰由違法行為發(fā)生地的行政處罰機關管轄,兩個及以上行政處罰機關對同一違法行為均有管轄權 ,應當由最先立案的行政處罰機關管轄,工業(yè)和信息化部依職權指導監(jiān)督工業(yè)和信息化領域數據安全違法行為管轄工作。
已經明確了處罰情形,需要著重關注。
裁量指引中定義的數據安全行政處罰情形,按不履行數據安全保護義務、向境外非法提供數據和不配合監(jiān)管三個方面,明確了25個違規(guī)情形,對重要數據和核心數據處理者進行了著重要求。
25個明確的違規(guī)情形包含了數據安全工作的組織體系、管理體系、技術體系和運營體系,進一步銜接、細化、落實《網絡安全法》《數據安全法》《工業(yè)和信息化領域數據安全管理辦法(試行)》,推動著工業(yè)和信息化領域組織的數據安全進行體系化建設、實戰(zhàn)化建設。
金 瀚信安的方案是不錯的選擇。
金 瀚信安數據安全治理體系化、實戰(zhàn)化解決方案,從“一中心、四體系、六過程”的頂層設計思路出發(fā),構建以工業(yè)和信息化領域重要數據、核心數據的安全防護為中心;以組織、管理、技術和運營四個數據安全體系;實現工業(yè)和信息化領域重要數據、核心數據全生命周期六大過程的安全防護。
組織體系建設
工業(yè)企業(yè)數據安全組織體系,需要構建一個由企業(yè)數據部門、業(yè)務部門、信息安全部門共同組成的,既懂安全,又懂數據的,獨立的,為數據安全端到端負責的組織,包括數據安全管理團隊、數據安全建設運營團隊、數據安全審計團隊等數據安全治理相關角色。建立相互促進、相互監(jiān)督的數據安全管理組織機制。
管理體系設計
工業(yè)企業(yè)數據安全管理體系的制度流程規(guī)劃需要從組織層面整體考慮和設計,并形成體系框架。制度體系需要分層,層與層之間,同一層不同模塊之間需要有關聯(lián)邏輯,在內容上不能重復或矛盾,一般分為四級。
防護技術能力建設
工業(yè)數據安全防護技術能力,要以基礎網絡安全能力為支撐,根據數據安全需求、標準、規(guī)范、目標等,在數據全生命周期不同的過程中執(zhí)行最佳的數據安全防護實踐,構建一套有效保障工業(yè)數據安全使用、共享的技術保障體系。
(1)數據采集安全:結合數據采集、清洗、轉換、匯聚階段的不同特點和要求,利用敏感數據識別、分類分級、身份認證、安全審計等技術,保障數據采集安全、數據真實可靠。
(2)數據傳輸安全:數據在傳輸過程中可能會面臨被竊取風險,可利用鏈路加密、數據加密、數據脫敏等技術,保障數據在傳輸過程中的安全。
(3)數據存儲安全:結合數據分級分類,實現關鍵數據加密存儲與分級數據的安全隔離,保障數據的存儲安全,主要包括實施用戶訪問控制、數據存儲合規(guī)審計、存儲介質安全、訪問行為審計等。
(4)數據處理安全:根據數據分級分類,明確數據處理模式和要求,為處理過程提供安全保障,主要包括數據權限管控、數據脫敏、數據處理異常行為監(jiān)控和分析、數據處理合規(guī)審計等。
(5)數據交換安全:根據數據管理制度規(guī)定、數據分類分級結果,利用權限管控、數據脫敏、數據水印等技術保障數據交換過程中的安全,同時對交換過程中數據類別、數據量進行識別監(jiān)控,防止數據被過量交換。
(6)數據銷毀安全:數據銷毀常采用刪除、格式化等常規(guī)操作來“銷毀”數據,事實上數據并沒有被真正銷毀,在新數據寫入同一存儲空間前,該數據會一直保留,從而存在被他人刻意恢復的風險,所以在數據銷毀時,需要采用多次復寫,或者加密復寫等技術保證數據完全被銷毀。
持續(xù)安全運營優(yōu)化
以應用數據安全管理平臺的“化零為整、機器學習、威脅分析、感知未然、聯(lián)防聯(lián)控、健康預警”功能作為數據安全運營的抓手,對全網數據安全風險持續(xù)監(jiān)測、風險識別、安全防護、安全響應,提升數據安全運營的效率。
同時,通過數據安全風險評估、應急演練、定期審計等運營手段,對數據安全能力度和效果進行稽核,對短板指標對應的人員、制度、技術多維度分析與優(yōu)化,不斷豐富和提升數據安全建設的完整性和成熟度,最終達到對整個數據安全的全方位管控和動態(tài)調優(yōu)。
方案價值
●全面覆蓋處罰裁定指引中的處罰情形,規(guī)避組織的處罰風險;
●建立并完善工業(yè)和信息化領域組織的數據安全管理體系,引導組建數據安全管理團隊,完善安全制度及流程體系,提高數據安全管理能力和運營能力;
●為工業(yè)和信息化領域組織構建起統(tǒng)一的、聯(lián)動聯(lián)防的、合成作戰(zhàn)的數據安全防護控制體系,可應對更加復雜的數據安全威脅及問題,提升數據安全防控能力;