国务院组建新部门,数据安全和发展并重
根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。
将中央网络安全和信息化委员会办公室承担的研究拟订数字中国建设方案、协调推动公共服务和社会治理信息化、协调促进智慧城市建设、协调国家重要信息资源开发利用与共享、推动信息资源跨行业跨部门互联互通等职责,国家发展和改革委员会承担的统筹推进数字经济发展、组织实施国家大数据战略、推进数据要素基础制度建设、推进数字基础设施布局建设等职责划入国家数据局。
国家数据局的建立,将加快数据要素流动、释放数据要素价值。由国家数据局自上而下统一协调推进各项基础制度建设,可以加强数据要素相关制度的顶层设计,增加制度和政策间的协同性,进而加快数据资源在全国范围内的流通,夯实数字经济健康发展基础。有利于统筹数字经济发展与经济社会其他领域发展之间的关系,进而更好地支撑构建现代化经济体系。
金石之策,笃行不怠
近年来,国家针对数据建设和发展,发布了一系列政策和指导,包括:
2020年,国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,着力加快培育数据要素市场,通过制定出台新一批数据共享责任清单、探索建立统一的数据标准规范、支持构建多领域数据开发利用场景,全面提升数据要素价值。
“十四五”规划提出加快数字化发展,建设数字中国,迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。
2022年,国务院发布《“十四五”数字经济发展规划》,推动数字经济转向深化应用、规范发展、普惠共享的新阶段。
2023年,国务院发布《数字中国建设整体布局规划》,夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。
统筹规划,一体两翼
国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展,并且针对数据安全依法出台多项新政策。
2021年9月1日《数据安全法》施行,规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。
2021年11月1日《个人信息保护法》施行,保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。
2022年2月15日《网络安全审查办法》施行,确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全。
2022年9月1日《数据出境安全评估办法》施行,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。
体系建设,安全保障
数字经济时代的显著特征是数据驱动业务发展。数据既是信息载体又是生产要素,数据种类、控制状态、处理行为具备多样性和复杂性。数据处理活动涉及多个部门以及组织,主体多元、利益多元,数据安全与发展难以平衡。构建全方位的数据安全防护体系,数据安全治理势在必行。
数据安全治理需要满足组织内部各方利益关系,实现数据开发利用和安全合规的平衡,围绕数据采集、传输、存储、使用、交换和销毁等全生命周期,深度融合管理、技术和运营能力,通过内部体系建设、外部服务支撑、持续的治理评估改进,实现入侵威胁的防御和业务数据的安全流转。数据安全治理包括数据安全管理体系、数据安全技术体系和数据安全运营体系三个部分。
数据安全管理体系首先要建立组织架构,明确数据安全的权责关系。在这基础上,梳理数据安全的业务、合规要求等要求,制定方针策略规范等管理制度,用以指导安全技术的落地实施。
数据安全技术体系以密码管理、身份认证、时间同步等技术为基础,围绕企业的运营环境实施纵深防御的安全防护措施,对环境中运营的数据实行全生命周期的安全管控,实现大数据系统数据、风控数据、营销数据等业务数据的统一标记、统一认证、统一授权、统一审计,满足监管法规的要求。
数据安全运营体系建设和运营过程中,将通过引入安全服务保障体系(资产安全运营、常态化运营、安全风险运营),并基于治理评估结果进行持续优化改进。
在数据安全建设体系上,绿盟科技提出“一个中心,四个领域,五个阶段”的顶层设计。一个中心是指以数据安全防护为中心。四个领域是指数据安全建设的四个领域:组织建设、制度流程,技术工具和人员能力。五个阶段是指的数据安全建设的五个阶段:业务梳理、分级分类、策略制定、技术管控、优化改进,即:知识控察行。
知:分析政策法规、梳理业务及人员对数据的使用规范,定义敏感数据。
识:根据定义好的敏感数据,利用工具对全网进行敏感数据扫描发现,对发现的数据进行数据定位、数据分类、数据分级。
控:根据敏感数据的级别,设定数据在全生命周期中的可用范围,利用规范和工具对数据进行细粒度的权限管控。
察:对数据进行监督监察,保障数据在可控范围内正常使用的同时,也对非法的数据行为进行了记录,为事后取证留下了清晰准确的日志信息。
行:对不断变化的数据做持续性跟踪,提供策略优化与持续运营的服务。
企业和组织可以通过将数据安全治理方法“知”、“识”、“控”、“察”、“行”应用于实际项目中,利用咨询服务梳理数据资产、数据分类分级、识别和管控数据风险,建立完备的数据安全管理体系;通过部署技术措施实现对数据的可视化监控、风险点排除,及时预警、及时阻止对数据的非法使用行为;最后对数据进行持续运营服务,让数据始终处于被监控的安全状态。
数据安全建设是一个长期和持续的过程,需要技术和管理双管齐下,在建设的过程和环节中,需充分利用和发挥好各种关键技术的作用,在优化改进环节中,引入新技术来优化技术和管理流程,通过实现自动化和半自动化以降低运营成本,在安全的同时让数据价值最大化。绿盟科技累计发布28款数据安全解决方案、产品和服务,为数据安全设计全面可信的防御体系,形成场景化解决方案,为政府、金融、运营商、能源、交通、教育、医疗以及企业等用户提供数据全生命周期安全防护,助力构建更加安全的数字中国、数字经济和数字社会。
