成年无码AV片在线蜜芽,人人玩人人添人人澡超碰,精品久久久久久无码免费,99久久综合狠狠综合久久

Network

當前位置:主頁 > 新聞中心 > 產(chǎn)業(yè)規(guī)劃 >

國標《重要數(shù)據(jù)處理安全要求》征求意見:將對產(chǎn)業(yè)影響幾何?

來源:高新院 achie.org 日期:2023-09-04 點擊:190次

  作為國家數(shù)據(jù)安全工作的重點,重要數(shù)據(jù)監(jiān)管又有了新動態(tài)。
 
  近日,國家標準《信息安全技術重要數(shù)據(jù)處理安全要求》(下稱《要求》)首次公開征求意見。據(jù)悉,《要求》是第二部重要數(shù)據(jù)安全國標,規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求,主要涉及設施安全、數(shù)據(jù)處理活動的安全、運行與管理安全三大方面。
 
  受訪專家認為,重要數(shù)據(jù)保護制度是我國數(shù)據(jù)安全工作中一項基礎性、全局性的重大制度。隨著國標《要求》公開征求意見,關于重要數(shù)據(jù)的兩部國家標準都已揭開面紗。了解重要數(shù)據(jù)的識別規(guī)則和安全要求,對于企業(yè)有效開展數(shù)據(jù)治理工作、數(shù)據(jù)資產(chǎn)梳理工作具有重要意義。
 
  或?qū)⒂谀陜?nèi)批報
 
  此次《要求》征求意見,是我國推進數(shù)據(jù)安全工程的重要一步。
 
  “重要數(shù)據(jù)”概念最早見諸2017年實施的《網(wǎng)絡安全法》,直到2021年《數(shù)據(jù)安全法》的落地實施,重要數(shù)據(jù)的內(nèi)涵才被真正明確。
 
  《數(shù)據(jù)安全法》提出了建立數(shù)據(jù)分類分級保護制度,同時制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。盡管上位法已初步規(guī)定了重要數(shù)據(jù)的安全處理要求。然而,在實踐中,識別重要數(shù)據(jù)仍然存在困難。
 
  “在實踐中,重要數(shù)據(jù)識別常被以為重要的數(shù)據(jù)的,導致實際認定的‘重要數(shù)據(jù)’范圍擴大。并且,不同行業(yè)、不同領域的重要數(shù)據(jù)類型和范圍具有顯著的差異性,僅憑一般性的‘重要數(shù)據(jù)’概念界定并不足以滿足企業(yè)合規(guī)需求,而此次征求意見稿的公布有助于為實踐中的重要數(shù)據(jù)識別提供更為明確、具體且可操作的判斷標準。”北京航空航天大學法學院副教授、北京科技創(chuàng)新中心研究基地副主任趙精武向21世紀經(jīng)濟報道記者表示。
 
  為進一步細化重要數(shù)據(jù)的識別要求和安全保護標準,2020年,全國信息安全標準化技術委員會正式委托編制國家標準《重要數(shù)據(jù)識別指南》。2023年上半年,《重要數(shù)據(jù)識別指南》歷經(jīng)征求意見稿、送審稿后,正式向國家申請報批。
 
  考慮到重要數(shù)據(jù)的識別只是第一步工作,數(shù)據(jù)處理者還應在識別出重要數(shù)據(jù)后對其加以保護,故還需制定第二部國家標準《要求》。為此,全國信息安全標準化技術委員會于2022年對該標準立項,國家標準化管理委員會于2023年8月下達了國家標準計劃號20230792-T-469。該標準同樣被主管部門列為重點標準。
 
  2023年8月,經(jīng)全國信息安全標準化技術委員會組織審定后,《要求》向社會公開征求意見。據(jù)中國科學技術大學公共事務學院教授左曉棟透露,目前委員會正在積極推進《要求》的制定工作,爭取于年內(nèi)報批。
 
  從征求意見稿來看,《要求》規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求,明確了重要數(shù)據(jù)的定義,并規(guī)定了重要數(shù)據(jù)的設施安全、數(shù)據(jù)處理活動的安全、運行與管理安全的具體標準,為數(shù)據(jù)處理者對重要數(shù)據(jù)開展處理活動提供指引。
 
  “《要求》的編制有一個重要原則,即全面落實法律法規(guī)規(guī)定的重要數(shù)據(jù)安全保護要求。”左曉棟表示,該標準有著明確而具體的上位法,這是其與其他標準的重要區(qū)別。
 
  左曉棟進一步指出,《數(shù)據(jù)安全法》對重要數(shù)據(jù)安全的要求是分散的,不成體系,不能作為《要求》的直接依據(jù)。2021年11月,《網(wǎng)絡數(shù)據(jù)安全管理條例》征求意見,專門設立了“重要數(shù)據(jù)安全”章節(jié),這是我國系統(tǒng)性建立重要數(shù)據(jù)保護制度的標志,也為《要求》的編制提供了根本依據(jù)。
 
  “編制組主要以2021年11月的版本為基本參考,并根據(jù)主管部門的通知,針對條例的變化情況及時調(diào)整了標準的內(nèi)容。”他表示。
 
  北京師范大學法學院博士生導師、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括認為,以國標的形式明確重要數(shù)據(jù)的識別規(guī)則和安全要求,對于企業(yè)有效開展數(shù)據(jù)治理工作、數(shù)據(jù)資產(chǎn)梳理工作具有重要意義。同時,在落實與重要數(shù)據(jù)相關的各項法定合規(guī)義務層面,也有具體的指導價值。
 
  新的藍海已經(jīng)產(chǎn)生
 
  據(jù)了解,《要求》編制原則從四方面明確數(shù)據(jù)安全內(nèi)涵,即環(huán)境安全、資產(chǎn)安全、行為安全、生產(chǎn)要素安全,并提到“不能僅從數(shù)據(jù)收集處理的生命周期來理解數(shù)據(jù)處理安全需求”。
 
  對此,趙精武認為,這里實際上體現(xiàn)了我國立法層面的體系化、動態(tài)化數(shù)據(jù)安全理念。一方面,數(shù)據(jù)安全的保障不僅需要從數(shù)據(jù)收集、加工、處理、存儲、刪除、銷毀等各個業(yè)務環(huán)節(jié)予以落實,另一方面,數(shù)據(jù)安全風險還與所處環(huán)境、數(shù)據(jù)處理者內(nèi)部管理制度等諸多外部因素相關,故而同時需要從環(huán)境安全、資產(chǎn)安全、行為安全以及生產(chǎn)要素安全等層面確保數(shù)據(jù)所處狀態(tài)的安全性。
 
  具體到標準內(nèi)容上,《要求》主要規(guī)定了三個方面:設施安全、數(shù)據(jù)處理活動的安全、運行與管理安全。
 
  其中,設施安全主要包括系統(tǒng)安全和云計算服務平臺安全。數(shù)據(jù)處理活動的安全,主要涉及數(shù)據(jù)收集、存儲、使用與加工、傳輸與提供、公開、刪除等環(huán)節(jié),重點突出重要數(shù)據(jù)全生命周期中,各項處理活動應滿足的安全要求。
 
  對于數(shù)據(jù)處理活動的收集環(huán)節(jié),《要求》提出數(shù)據(jù)處理者應制定“重要數(shù)據(jù)清單”及“重要數(shù)據(jù)目錄”。
 
  趙精武指出,“重要數(shù)據(jù)清單”是為了方便數(shù)據(jù)處理者通過自動化信息技術提升重要數(shù)據(jù)的識別效率;“重要數(shù)據(jù)目錄”則是為了落實監(jiān)管機構(gòu)根據(jù)《數(shù)據(jù)安全法》第21條制定的本行業(yè)、本領域的重要數(shù)據(jù)目錄,記載事項不僅僅涉及數(shù)據(jù)的基本情況,還涉及到責任主體、數(shù)據(jù)處理以及數(shù)據(jù)安全情況等內(nèi)容。
 
  兩者的區(qū)別在于,“重要數(shù)據(jù)清單”主要是為了數(shù)據(jù)處理者自身提供識別依據(jù)和指引,“重要數(shù)據(jù)目錄”則是為了實現(xiàn)定期數(shù)據(jù)安全風險評估的管理效果,同時數(shù)據(jù)處理者需要依法定期上報國家有關部門,這也是為了國家有關部門能夠根據(jù)產(chǎn)業(yè)實踐情況更新、維護本行業(yè)的重要數(shù)據(jù)目錄。
 
  另外,運行與管理安全方面,主要包括組織與人員、數(shù)據(jù)治理、供應鏈、審計、應急處置、風險評估、配合監(jiān)督管理等運行安全要求。其中,《要求》6.6條規(guī)定了風險評估的具體步驟,描述了評估制度、評估內(nèi)容、評估時機等要求。
 
  針對重要數(shù)據(jù)的不同階段進行針對性的安全風險評估,是否會一定程度增加企業(yè)合規(guī)成本?
 
  吳沈括表示,安全評估是目前安全領域中的常見做法,能夠提高事先預防和處置的能力,對于風險的識別、防范、緩解具有實際的重大意義。“在此過程中,企業(yè)的合規(guī)成本也會有一定的上升,所以需要考慮的是在監(jiān)管合規(guī)過程中及時研判實質(zhì)的成本收益,做出有效的價值平衡,并且需要持續(xù)地探索靈敏便捷、具有經(jīng)濟性的數(shù)字化實現(xiàn)方案。”
 
  趙精武認為,目前《要求》規(guī)定的安全風險評估標準并不會過度增加企業(yè)合規(guī)成本。一方面,采取更有效的風險預防措施,能夠減少企業(yè)因數(shù)據(jù)安全事件而遭受的損失;另一方面,這些針對性安全評估實際上早在《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等法律法規(guī)中有所提及,“針對性”不能簡單理解為“更嚴格的安全監(jiān)管要求”,而是應當理解為“個性化的安全監(jiān)管”和“更有效的義務履行方式”。
 
  在左曉棟看來,重要數(shù)據(jù)保護制度是我國數(shù)據(jù)安全工作中一項基礎性、全局性的重大制度。目前,關于重要數(shù)據(jù)的兩部國家標準都已揭開面紗。從識別到管理,從使用到保護,所有的安全要求都需要有專業(yè)化、自動化工具的支持,數(shù)據(jù)跨境流動等場景更離不開專業(yè)咨詢服務。“這意味著一片新的藍海已經(jīng)產(chǎn)生,新的產(chǎn)業(yè)方向呼之欲出。”
 
  來源|21世紀經(jīng)濟報道

 

主頁 > 新聞中心 > 產(chǎn)業(yè)規(guī)劃 >

國標《重要數(shù)據(jù)處理安全要求》征求意見:將對產(chǎn)業(yè)影響幾何?

2023-09-04 來源:高新院 achie.org 點擊:190次

  作為國家數(shù)據(jù)安全工作的重點,重要數(shù)據(jù)監(jiān)管又有了新動態(tài)。
 
  近日,國家標準《信息安全技術重要數(shù)據(jù)處理安全要求》(下稱《要求》)首次公開征求意見。據(jù)悉,《要求》是第二部重要數(shù)據(jù)安全國標,規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求,主要涉及設施安全、數(shù)據(jù)處理活動的安全、運行與管理安全三大方面。
 
  受訪專家認為,重要數(shù)據(jù)保護制度是我國數(shù)據(jù)安全工作中一項基礎性、全局性的重大制度。隨著國標《要求》公開征求意見,關于重要數(shù)據(jù)的兩部國家標準都已揭開面紗。了解重要數(shù)據(jù)的識別規(guī)則和安全要求,對于企業(yè)有效開展數(shù)據(jù)治理工作、數(shù)據(jù)資產(chǎn)梳理工作具有重要意義。
 
  或?qū)⒂谀陜?nèi)批報
 
  此次《要求》征求意見,是我國推進數(shù)據(jù)安全工程的重要一步。
 
  “重要數(shù)據(jù)”概念最早見諸2017年實施的《網(wǎng)絡安全法》,直到2021年《數(shù)據(jù)安全法》的落地實施,重要數(shù)據(jù)的內(nèi)涵才被真正明確。
 
  《數(shù)據(jù)安全法》提出了建立數(shù)據(jù)分類分級保護制度,同時制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。盡管上位法已初步規(guī)定了重要數(shù)據(jù)的安全處理要求。然而,在實踐中,識別重要數(shù)據(jù)仍然存在困難。
 
  “在實踐中,重要數(shù)據(jù)識別常被以為重要的數(shù)據(jù)的,導致實際認定的‘重要數(shù)據(jù)’范圍擴大。并且,不同行業(yè)、不同領域的重要數(shù)據(jù)類型和范圍具有顯著的差異性,僅憑一般性的‘重要數(shù)據(jù)’概念界定并不足以滿足企業(yè)合規(guī)需求,而此次征求意見稿的公布有助于為實踐中的重要數(shù)據(jù)識別提供更為明確、具體且可操作的判斷標準。”北京航空航天大學法學院副教授、北京科技創(chuàng)新中心研究基地副主任趙精武向21世紀經(jīng)濟報道記者表示。
 
  為進一步細化重要數(shù)據(jù)的識別要求和安全保護標準,2020年,全國信息安全標準化技術委員會正式委托編制國家標準《重要數(shù)據(jù)識別指南》。2023年上半年,《重要數(shù)據(jù)識別指南》歷經(jīng)征求意見稿、送審稿后,正式向國家申請報批。
 
  考慮到重要數(shù)據(jù)的識別只是第一步工作,數(shù)據(jù)處理者還應在識別出重要數(shù)據(jù)后對其加以保護,故還需制定第二部國家標準《要求》。為此,全國信息安全標準化技術委員會于2022年對該標準立項,國家標準化管理委員會于2023年8月下達了國家標準計劃號20230792-T-469。該標準同樣被主管部門列為重點標準。
 
  2023年8月,經(jīng)全國信息安全標準化技術委員會組織審定后,《要求》向社會公開征求意見。據(jù)中國科學技術大學公共事務學院教授左曉棟透露,目前委員會正在積極推進《要求》的制定工作,爭取于年內(nèi)報批。
 
  從征求意見稿來看,《要求》規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求,明確了重要數(shù)據(jù)的定義,并規(guī)定了重要數(shù)據(jù)的設施安全、數(shù)據(jù)處理活動的安全、運行與管理安全的具體標準,為數(shù)據(jù)處理者對重要數(shù)據(jù)開展處理活動提供指引。
 
  “《要求》的編制有一個重要原則,即全面落實法律法規(guī)規(guī)定的重要數(shù)據(jù)安全保護要求。”左曉棟表示,該標準有著明確而具體的上位法,這是其與其他標準的重要區(qū)別。
 
  左曉棟進一步指出,《數(shù)據(jù)安全法》對重要數(shù)據(jù)安全的要求是分散的,不成體系,不能作為《要求》的直接依據(jù)。2021年11月,《網(wǎng)絡數(shù)據(jù)安全管理條例》征求意見,專門設立了“重要數(shù)據(jù)安全”章節(jié),這是我國系統(tǒng)性建立重要數(shù)據(jù)保護制度的標志,也為《要求》的編制提供了根本依據(jù)。
 
  “編制組主要以2021年11月的版本為基本參考,并根據(jù)主管部門的通知,針對條例的變化情況及時調(diào)整了標準的內(nèi)容。”他表示。
 
  北京師范大學法學院博士生導師、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括認為,以國標的形式明確重要數(shù)據(jù)的識別規(guī)則和安全要求,對于企業(yè)有效開展數(shù)據(jù)治理工作、數(shù)據(jù)資產(chǎn)梳理工作具有重要意義。同時,在落實與重要數(shù)據(jù)相關的各項法定合規(guī)義務層面,也有具體的指導價值。
 
  新的藍海已經(jīng)產(chǎn)生
 
  據(jù)了解,《要求》編制原則從四方面明確數(shù)據(jù)安全內(nèi)涵,即環(huán)境安全、資產(chǎn)安全、行為安全、生產(chǎn)要素安全,并提到“不能僅從數(shù)據(jù)收集處理的生命周期來理解數(shù)據(jù)處理安全需求”。
 
  對此,趙精武認為,這里實際上體現(xiàn)了我國立法層面的體系化、動態(tài)化數(shù)據(jù)安全理念。一方面,數(shù)據(jù)安全的保障不僅需要從數(shù)據(jù)收集、加工、處理、存儲、刪除、銷毀等各個業(yè)務環(huán)節(jié)予以落實,另一方面,數(shù)據(jù)安全風險還與所處環(huán)境、數(shù)據(jù)處理者內(nèi)部管理制度等諸多外部因素相關,故而同時需要從環(huán)境安全、資產(chǎn)安全、行為安全以及生產(chǎn)要素安全等層面確保數(shù)據(jù)所處狀態(tài)的安全性。
 
  具體到標準內(nèi)容上,《要求》主要規(guī)定了三個方面:設施安全、數(shù)據(jù)處理活動的安全、運行與管理安全。
 
  其中,設施安全主要包括系統(tǒng)安全和云計算服務平臺安全。數(shù)據(jù)處理活動的安全,主要涉及數(shù)據(jù)收集、存儲、使用與加工、傳輸與提供、公開、刪除等環(huán)節(jié),重點突出重要數(shù)據(jù)全生命周期中,各項處理活動應滿足的安全要求。
 
  對于數(shù)據(jù)處理活動的收集環(huán)節(jié),《要求》提出數(shù)據(jù)處理者應制定“重要數(shù)據(jù)清單”及“重要數(shù)據(jù)目錄”。
 
  趙精武指出,“重要數(shù)據(jù)清單”是為了方便數(shù)據(jù)處理者通過自動化信息技術提升重要數(shù)據(jù)的識別效率;“重要數(shù)據(jù)目錄”則是為了落實監(jiān)管機構(gòu)根據(jù)《數(shù)據(jù)安全法》第21條制定的本行業(yè)、本領域的重要數(shù)據(jù)目錄,記載事項不僅僅涉及數(shù)據(jù)的基本情況,還涉及到責任主體、數(shù)據(jù)處理以及數(shù)據(jù)安全情況等內(nèi)容。
 
  兩者的區(qū)別在于,“重要數(shù)據(jù)清單”主要是為了數(shù)據(jù)處理者自身提供識別依據(jù)和指引,“重要數(shù)據(jù)目錄”則是為了實現(xiàn)定期數(shù)據(jù)安全風險評估的管理效果,同時數(shù)據(jù)處理者需要依法定期上報國家有關部門,這也是為了國家有關部門能夠根據(jù)產(chǎn)業(yè)實踐情況更新、維護本行業(yè)的重要數(shù)據(jù)目錄。
 
  另外,運行與管理安全方面,主要包括組織與人員、數(shù)據(jù)治理、供應鏈、審計、應急處置、風險評估、配合監(jiān)督管理等運行安全要求。其中,《要求》6.6條規(guī)定了風險評估的具體步驟,描述了評估制度、評估內(nèi)容、評估時機等要求。
 
  針對重要數(shù)據(jù)的不同階段進行針對性的安全風險評估,是否會一定程度增加企業(yè)合規(guī)成本?
 
  吳沈括表示,安全評估是目前安全領域中的常見做法,能夠提高事先預防和處置的能力,對于風險的識別、防范、緩解具有實際的重大意義。“在此過程中,企業(yè)的合規(guī)成本也會有一定的上升,所以需要考慮的是在監(jiān)管合規(guī)過程中及時研判實質(zhì)的成本收益,做出有效的價值平衡,并且需要持續(xù)地探索靈敏便捷、具有經(jīng)濟性的數(shù)字化實現(xiàn)方案。”
 
  趙精武認為,目前《要求》規(guī)定的安全風險評估標準并不會過度增加企業(yè)合規(guī)成本。一方面,采取更有效的風險預防措施,能夠減少企業(yè)因數(shù)據(jù)安全事件而遭受的損失;另一方面,這些針對性安全評估實際上早在《網(wǎng)絡安全法》《數(shù)據(jù)安全法》等法律法規(guī)中有所提及,“針對性”不能簡單理解為“更嚴格的安全監(jiān)管要求”,而是應當理解為“個性化的安全監(jiān)管”和“更有效的義務履行方式”。
 
  在左曉棟看來,重要數(shù)據(jù)保護制度是我國數(shù)據(jù)安全工作中一項基礎性、全局性的重大制度。目前,關于重要數(shù)據(jù)的兩部國家標準都已揭開面紗。從識別到管理,從使用到保護,所有的安全要求都需要有專業(yè)化、自動化工具的支持,數(shù)據(jù)跨境流動等場景更離不開專業(yè)咨詢服務。“這意味著一片新的藍海已經(jīng)產(chǎn)生,新的產(chǎn)業(yè)方向呼之欲出。”
 
  來源|21世紀經(jīng)濟報道