【中孚信息 张振山】场景化数据安全思考与实践.pdf

1、场景化数据安全思考与实践场景化数据安全思考与实践演讲人：张振山 中孚信息股份有限公司01.数据安全新形势数据安全新形势02.数据安全新思路03.数据安全新场景CONTENTSCONTENTS目录目录法规标准逐渐健全数据安全监管增强 保障数据安全促进数据合法合规开发利用数据安全新要求数据安全成为保障经济发展、社会稳定和国家安全的重要基石，密集出台的法规政策对数据安全提出了新的要求建立网络安全监测预警和信息通报制度建立健全网络安全风险评估和应急工作机制国家实行网络安全等级保护制度采取数据分类、重要数据备份和加密等措施落实数据分类、重要数据备份和加密等措施；地市级以上人民政府建立网络安全监测预警和信

2、息通报制度；对网络运行状态、网络流量、用户行为、网络安全进行动态监测建立并落实重要数据和个人信息安全保护制度第三级以上网络应用采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务；开展密码应用安全性评估商用密码应用安全性评估与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施建立统一的商用密码监督管理信息平台密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，应当使用密码对重要数据和核心数

3、据进行保护重要数据的处理者定期开展数据安全风险监测、数据安全宣传教育培训、风险评估、应急演练等活动对处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估推动网络安全防护能力建设，开展网络安全监测、检测和风险评估每年至少进行一次网络安全检测和风险评估运营者应当优先采购安全可信的网络产品和服务建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度以及网络安全检查检测国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制开展数据处理活动应当依照法律、法规，建立健全数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全开展

4、数据处理活动应当加强风险监测，定期开展风险评估构建全方位、多层级、一体化安全防护体系建立健全数据分类分级保护、风险评估、检测认证等制度，加强数据全生命周期安全管理和技术防护。加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度建立健全网络安全、保密监测预警和密码应用安全性评估的机制，定期开展网络安全、保密和密码应用检查建立健全动态监控、主动防御、协同响应的数字政府安全技术保障体系。加强大规模网络安全事件、网络泄密事件预警和发现能力强化安全可靠技术和产品应用，切实提高自主可控水平国务院关于加强数字政府建设的指导意见个人信息处理者的义务：制定内部管理制度和操作规程；对个人信息

5、实行分类管理；采取相应的加密、去标识化等安全技术措施；合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；制定并组织实施个人信息安全事件应急预案密码法网络安全等级保护条例（征求意见稿）数据安全法网络数据安全管理条例（征求意见稿）20162018201920212022个人信息保护法关键信息基础设施安全保护条例网络安全法数据安全新挑战数据具有广泛的流动性与易传播性，单点的安全防护手段缺乏协调联动能力，导致安全策略一致性差、管控效率低、全面性弱等问题，出现“头痛医头，脚痛医脚”的现象，无法发挥围绕数据全生命周期的整体防护合力。网络安全层面，已形成完备的安全防护体系；数据安全层面，已

6、形成分类分级、加密、审计、脱敏等单点安全防护能力。但数据安全防护能力与网络安全防护体系尚未形成有机融合，缺乏围绕数据生命周期流转过程的整体化防护管理能力“三法三条例多标准”体系已经成为网络安全防护和数据安全治理的主要合规驱动力。政企需积极落实不同维度、不同方向的各类监管合规要求。如何应对众多且仍持续颁布的法律法规的合规要求，是摆在企业或组织面前的合规遵循难题组织数据量大、结构复杂且不断生产，面对海量多源异构的原始数据难以一次性完成所有数据的分类分级管理。在数据交换、共享等过程中，数据脱离原有载体再次引发数据分类分级及安全防护策略设置，快速摸清数据底账并保持数据分类分级的一致性以及防护策略的有效