数据安全白皮书笔记

数据安全白皮书笔记

第一章 数据安全形式

1.1 数据价值

  数据的重要性:

  • 数据是数字经济时代的核心生产要素。
  • 通过法律法规限定达到数据安全合规要求

  数据利用与数据安全的平衡兼顾存在问题

  • 对数据资产识别不完整
  • 数据流动路径无法溯源
  • 安全与业务难以兼顾
1.1.1 我国数据发展战略
  • 2015年8月《促进大数据发展行动纲要》:数据为国家基础性战略资源。
  • 2016年11月《网络安全法》:鼓励开发网络数据安全保护和利用技术。
  • 2016年12月《国家网络空间安全战略》:实施国家大数据战略,建立大数据安全管理制度、支持大数据信息技术创新和应用要求。
  • 2020年4月《关于构建更加完善的要素市场化配制体制机制的意见》:数据与土地、劳动力、资本、技术并称为五种要素。
  • 2020年5月《关于新时代加快完善社会主义市场经济体制的意见》:加快培育发展数据要素市场。
  • 2020年10月《中共中央关于制定国民经济和社会发展第十四个五年规划和二O三五年远景目标的建议》
  • 2021年10月《关于加快推进中央企业两化融合和数字化转型战略合作协议》:推动中央企业加快信息化工业化融合和数字化转型,促进数字技术与实体经济深度融合。
  • 2021年11月《“十四五”大数据创业发展规划》:加快培育数据要素市场、发挥大数据特性优势、筑牢数据安全保证防线。
  • 2021年12月《“十四五”国家信息规划》:数据要素是社会生产经营活动,带来经济效益,一电子方式记录的数据资源,是国家发展的战略性基础性资源,是驱动数字经济发展的强大动力。
  • 2022年1月《“十四五”数字经济发展规划》:充分发挥数据要素作用,必须清华高质量数据要素供给、加快数据要素市场流通、创新数据要素开发利用机制。
  • 2022年3月《国务院总理李克强政府工作报告》:强化网络安全、数据安全和个人信息保护。
1.1.2 国外数据发展战略
  • 美国:率先启动,将大数据上升为国家战略
  • 欧盟:战略目标是确保成为数据世界的榜样和领导者,建立了完善的法律框架

1.2 数据安全风险形式

1.2.1 外部数据安全威胁

1)数据窃取:

  • 通过向软件中植入木马窃取数据
  • 盗用特权账户导致数据泄露
  • 数据委托处理时被合作方盗用数据
  • 关联利用已泄露数据发动撞库攻击
  • APT高级可持续威胁攻击窃取组织核心机密

2)数据篡改

  • 用勒索病毒加密数据敲诈赎金
  • 利用区块链漏洞攻击智能合约

3)数据非法使用

  • 利用网络爬虫抓取和分析隐私数据
1.2.2 内部数据的安全风险

1)内部人员有意或无意行为引发的数据安全风险

  • 数据泄露:
    1. 越权访问攻击
    2. 数据跨境自由流动
  • 数据窃取
    1. 内部人员窃取
    2. 员工亲友冒用身份
    3. 研发人员放置后门
  • 数据篡改
    1. 业务人员违规篡改
    2. 研究人员放置后门
    3. 运维人员为泄愤恶意破坏
    4. 数据意外丢失

2)敏感个人信息非法利用严重侵害个人权益

  • 敏感个人信息过度手机对个人权益照成巨大损害
  • 大数据杀熟严重侵害消费者权益
  • 业务频繁变化引用的数据误用和滥用
1.2.3 数据安全事件危害性

1)危害长度日益加剧

2)影响范围不断扩大

1.3 监管新措施

1)国家层面:

  • 2021年6月 《数据安全法》
  • 2021年8月 《个人信息保护法》
  • 2021年11月 《网络数据安全管理条例》

2)行业层面:

  • 2020年5月 《银行业金融机构数据治理指引》
  • 2021年1月 《中国银保监会管数据安全管理办法》
  • 2021年9月 《工业和信息化领域数据阿全管理办法》
  • 2022年1月 《金融科技发展规划》

3)地方层面:

  • 2018年6月 《贵阳市大数据安全管理条例》
  • 2018年12月 《天津市促进大数据发展应用条例》
  • 2021年7月 《深圳经济特区数据条例》
  • 2021年11月 《上海市数据条例》
  • 2021年12月 《江苏省公共数据管理办法》
  • 2022年1月 《浙江省公共数据条例》
  • 2022年1月 《山东省公共数据开放办法》

第二章:管理层面

2.1 管理层面

2.1.1 多法并轨、多标准并行下缺乏一致性的合规治理手段
  • 痛点:“三法三条例”
  • 需求

第四章 法律法规标准解读

4.1 国内法律法规与行业标准解读

4.1.1 法律

 1)《网络安全法》保障网络与信息安全

  全面地规定网络与信息安全治理的基本规则,以网络运营者及关键信息基础设施运营者为主要规制对象,明确网络运行安全,网络信息安全、监测预警与应急处置等方面的义务。

  • 保证网络运行安全
  • 保障网络用户信息安全
  • 保障网络数据安全

 2)《数据安全法》构建数据安全治理框架

  • 数据开放利用与数据安全并重
  • 构建数据安全制度体系
  • 实施全生命周期的数据安全保护
  • 推进政务数据的安全与开放

 3)《个人信息保护法》保证个人信息全生命周期处理的安全

  • 个人信息全生命周期处理的防护
  • 明确个人信息处理者所应采取的组织措施及技术措施
  • 赋予个人充分的个人信息权益
4.1.2 行政法规

 1)《关键信息基础设施安全保护条例》实施关键信息基础设施重点保护

  • 重点防范关键信息基础设施风险
  • 重点强调对数据安全的保护

 2)《网络数据安全管理条例》细化数据安全治理规则

4.1.3 部门规章及规范性文件

 1)各行业各部门数据安全的协同治理

 2)数据安全治理领域的重要规范

  • 整体要求
  • 金融领域
  • 工业和互联网
4.1.4 地方性法规

 1)创新数据安全治理新模式

 2)提供公共数据治理的模式借鉴

4.1.5 国家标准、行业标准及相关指南

4.2 国际数据拿权政策与法规概述

4.2.1 欧洲的政策和法律

 1)欧盟

  • 《通用数据保护条例》
  • 《网络信息系统安全指令》

 2)法国

  • 《第78-17号法案》

 3)德国

  • 《联邦数据安全法》

 4)英国

  • 《英国GDPR》

 5)俄罗斯

  • 《242-FZ(12.31.2014)》
4.2.2 美国的政策和法律

 1)联邦

 2)州

4.2.3 其他国家的政策和法律

 1)澳大利亚

  • 信息安全注册评估

 2)日本

  • 《个人信息保护法》

 3)阿根廷

  • 《个人数据保护法》
实习之数据安全
数据安全白皮书笔记
https://one-null-pointer.github.io/2022/07/28/数据安全日记二/
Author
liaoyue
Posted on
July 28, 2022
传送口