数据安全发展趋势与防护实践(2023)
AI智能总结
许国昊绿盟科技集团股份有限公司高级数据安全专家 2021.11.1已实施,最高处罚5000万元或者上一年度营业额5%罚款。责令暂停相关业务或者停业整频、通报有关主管部门吊销相关业务许可或者吊销营业执照。 中华人民共和国个人信息保护法 中华人民共和国网络安全法 2017.6.1已实施,个人信息侵权或数据安全相关,最高处罚100万元:或违法所得十倍的罚款。 中华人民共和国网数据安全法 责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 2021.9.1已实施,最高处罚1000万元;或违法所得十倍的罚款。责令暂停相关业务、停业整频、吊销相关业务许可证或者吊销营业执照。相关人员依法给予处分。刑事责任。 各种数据业务场景与环境VS数据库&文档 数据安全1.0:弱监管、企业自发性、单点保护 数据安全2.0:强监管驱动为主、数据全生命周期防护 自标:企业保护对象是企业敏感数据和重要资产。防止内部人员的非法拷贝和黑客的窃取 目标:安全与合规,数据安全全生命周期能力建设 特点:被动合规驱动为主、主动数据安全建设为辅、投入成本相对高昂的数据安全建设。数据安全保护对象是各种类型的敏感数据。 特点:主动的、数据资产驱动的、投入成本相对小的数据安全防护。 建立数据分类分级保护制度 合规要求:《数据安全法》21条口应对技术:数据资产发现、敏感数据识别/重要数据识别、数据分类分级。保护:加密、脱敏、访问控制、防火墙等 二、履行数据共享监督享露潮源义务 合规要求:《数据安全法》45条;《个人信息保护法》21条口应对技术:潮源水印、区块链等 三、匿名化处理、去标识化处理 合规性1:《网络安全法》42条合规性2:《个人信息保护法》4条、应对技术:K-名、去标识化、安全多方计算、联邦学习等 数据安全的合规并非安全或法务部门一两个部门协助即可完成的事项,还需要应用和管理部门、产品和服务开发部门、招采部门和财税部门组成的跨部门的合规团队共同协作才能完成。因此数据安全的合规工作需要得到公司战略层的重视及高层管理人员的牵头,才能有效的推动进行 管理层重视 1)重视数据保护!2)了解数据安全防护的成本与合规成本 组建团队1)创建跨团队的工作组2)任命数据安全保护负责人3)设立专门机构或者指定代表 资金配备 基于数据使用需求、自身业务特性和数据梳理成果,定义数据分类分级并进行核查。 防护实践一技术赋能数据流转合规监测 防护实践一实体行为分析挖掘隐藏风险 数据安全防护需要建立在纵深防御体系内 体系化安全建设 常态化安全运营 边界安全,传统访问控制,入侵防护身份安全,最小权限,零信任数据安全治理,脱敏,数据泄漏防护,审计 覆盖网络,终端,身份,业务,数据,收集安全告警,流量,日志安全大脑和探针联动,本地和云端联动
