1-3 阿里云数据安全治理实践.pdf

1、阿里云数据安全治理实践数据安全治理6问刘天鸢 阿里云DataWorks产品专家DataWorks安全能力建设负责人|02目录 CONTENT|数据安全治理的本质与方向01数据安全治理与法律法规04阿里云数据安全治理场景与案例03阿里云DataWorks数据治理建设实践数据安全治理与法律法规01|数据安全治理与法律法规逐步完善的法律法规2017.62019.82021.15部数据安全能力成熟度模型民法典2017.5 双高解释关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释2018.5 银行业金融机构数据治理指引2019.1 关于开展APP违法违规收集使用个人信息专项治理的公告2019.11

2、 APP违法违规认证办法2021.1 电信网和互联网数据安全风险评估实施方法2021.4 金融数据安全数据生命周期安全规范2020.2 个人金融信息保护技术规范2020.3 个人信息去标识化指南2020.6 网络安全审查办法2020.7 APP违法违规收集使用个人信息自评估指南2020.9 金融数据安全 数据安全分级指南2020.10个人信息安全规范2021.11个人信息保护法2021.9数据安全法|2016前网络安全法2003-商业银行法“应遵循为存款人保密的原则”2004-传染病防治法规定“故意泄露病人信息，给予处分”2011-居民身份证法“工作中获得的身份证信息，应当予以保密”2015-

3、刑法修正案（九）“侵犯公民个人信息罪”立法零散非计划性2017.12GB/T 35273-2017 信息安全技术 个人信息安全规范“个人信息控制者开展个人信息处理活动，应遵循以下基本原则”“网络运营者应当时对其收集的用户信息严格保密，并建立健全用户信息保护制度”思路明确规则具体处罚严重2022.09数据出境安全评估办法2019.12等保2.0数据安全治理与法律法规法律条文中的数据安全治理第一章 第三条举例：中华人民共和国数据安全法要点解读本法所称数据，是指任何以电子或者其他方式对信息的记录。数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全，是指通过采取必要措施，确保数据

4、处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。第一章 第四条维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。GB/T 37988-2019 数据安全能力成熟度模型（DSMM）首次提出：以数据为中心，从数据全生命周期角度出发开展数据安全管理工作。30个PA几乎覆盖所有安全领域：用户管理、登录认证、授权&鉴权、传输加密、数据脱敏、分级分类、操作审计、安全响应.|数据安全治理与法律法规法律条文中的数据安全治理第三章 第二十一条国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国

5、家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。金融数据安全 数据安全分级指南 JR-T 0197-2020基础电信企业重要数据识别指南 YD/T 3867-2021基础电信企业数据分类分级方法 YDT 3813-2020信息安全技术 健康医疗数据安全指南 GB/T 39725-2020信息技术 大数据 数据分类指南 GB/T 38667-2020 证券期货业数据分类分级指引 JR/T 0158-2018贵州省政府数据分类分级指南 DB 52/T 1123-2016 行业标准：地方标准

6、：重庆市公共数据分类分级指南国家标准：个人金融信息保护技术规范 JR/T 0171-2020举例：中华人民共和国数据安全法要点解读|数据安全治理与法律法规法律条文中的数据安全治理第三章 第二十四条国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。第四章 第二十九条开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。事中安全措施：事后安全措施：操作审计：谁？在什么时间点？在什么位置？通过什么手段？做了什么？数据溯源场景化响应措施：告警、阻断、审