数据安全相关法律与标准
数据安全相关标准
数据安全标准
《网络安全标准实践指南——数据分类分级》
数据分类分级原则
a) 合法合规原则:优先识别法律法规中规定的数据类别或级别,如识别是否包含国家核心数据、重要数据、个人信息、公共数据
b) 界限明确原则:数据分类分级的各类别、各级别界限明确
c) 就高从严原则
d) 时效性原则
d) 自主性原则数据分类分级框架
- 个人信息分类
- 数据分类分级流程
论数据分类分级目的、原则与规划
ISO/IEC 27002 信息安全、网络安全和隐私保护-信息安全控制
- 资产定义
- 主要资产:信息、业务流程和活动
- 所有类型的支持性资产(主要资产所依赖的),例如:硬件、软件、网络、人事、现场、组织的结构
信息安全属性:保密性、完整性和可用性
网络安全概念:识别、保护、检测、响应和恢复
业务能力:治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性、信息安全事件管理和信息安全保障
安全领域:治理和生态系统(信息系统安全治理和风险管理、生态系统网络安全管理(内部有和外部利益相关者))、保护(IT安全架构、IT安全管理、身份和访问管理、IT安全维护、物理和环境安全)、防御(检测、计算机安全事件管理)、恢复(运营的连续性、危机管理)
控制类型:预防(防止发生信息安全事件的控制)、侦查(控制在发生信息安全事件时采取行动)、纠正(控制在发生信息安全事件后采取行动)
DSMM
数据安全能力成熟度模型
范围
本标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
成熟度模型架构
DSMM 评估流程
DSMM 评估方法
数据安全法律
个人信息保护法
定位:法律层次顶端,个人信息保护法是一部专门的、高效力层级的个人信息保护立法。个人信息保护法实质上为数据安全法原则在个人信息保护领域的延申。
数据安全法
数据,是指任何以电子或者其他方式对信息的记录
第二十一条规定了 数据分类分级保护制度
第二十二条规定了 数据安全风险评估、报告、信息共享、监测预警机制。加强数据安全风险信息的获取、分析、研判、预警工作
第二十三条规定了 数据安全应急处置机制
第二十四条规定了 数据安全审查制度
第三十条规定了 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,报送风险评估报告
风险评估报告应该包括包括处理重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施第三十三条规定了 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源
企业合规建议
- 按照《数据安全法》及其相关法律法规、监管要求,建立数据全生命周期合规管理制度与流程。
- 建立数据分级分类目录及重要数据目录
- 重要数据风险评估制度
- 建立自身的重要数据出境管理制度
- 数据出口管制制度的建立
数据安全相关法律与标准
