导图社区 数据安全政策背景与市场导向
从保密法、国家安全法、网络安全法、数据安全法、个人信息保护等国家层面的法律法规重点内容进行标注。
这是一篇关于数据安全建设能力思维导图,主要包括:1.数据安全整体建设思路;2.数据安全治理咨询;3.数据安全建设;4.数据安全服务。
社区模板帮助中心,点此进入>>
论语孔子简单思维导图
《傅雷家书》思维导图
《童年》读书笔记
《茶馆》思维导图
《朝花夕拾》篇目思维导图
《昆虫记》思维导图
《安徒生童话》思维导图
《鲁滨逊漂流记》读书笔记
《这样读书就够了》读书笔记
妈妈必读:一张0-1岁孩子认知发展的精确时间表
数据安全政策背景与市场导向
2010年10月《中华人民共和国保守国家秘密法》
1988年建立,2010年修订
国家秘密:国家秘密是指关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。保守国家秘密是中国公民的基本义务之一。
1、国家重大决策
2、国防、武装力量
3、外交、国民经济和社会发展、科学技术、国际安全等
第二十三条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
同步规划,同步建设,同步运行。
实行分级保护,计算机信息系统要按照涉密程度不同,采取不同强度的管理措施
第二十四条 机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有下列行为....
1、接入互联网
2、使用非涉密产品
3、改装、出售
保密法修订内容:
一是上收定密权限,不再赋予县级机关定密权和地市级机关绝密级定密权。 二是明确保密期限,一般情况下绝密级不超过三十年,机密级不超过二十年,秘密级不超过十年
2014年3月《实施条例》
1. 总则
2. 范围和密级
3. 保密制度
绝密级、机密级、秘密级
4. 监督制度
5. 法律责任
2021年3月《涉密信息系统集成资质管理办法》
涉密集成资质分为甲级和乙级两个等级
甲级资质单位可以从事绝密级、机密级和秘密级涉密集成业务;乙级资质单位可以从事机密级、秘密级涉密集成业务。
产品具备涉密资质
防水坝、防火墙(数据安全网关)、审计、备份一体机、透明加密
保密法的意义
国家秘密的存在形态和运行方式发生巨大变化
2015年7月《中华人民共和国国家安全法》
19983年成立国家安全部,1993年发布,2015年修订
1、定义
国家安全是国家生存发展最重要、最基本的前提和基础。 没有国家安全,任何经济、民生和民主,任何改革、发展和建设都无从谈起 明确要求维护网络空间主权等等 政治安全、人民安全、国土安全、军事安全、经济安全、金融安全、资源能源安全、粮食安全、文化安全、科技安全、网络与信息安全、社会安全、生态安全、核安全、外层空间及国际海底区域和极地安全、海外利益安全等领域的重点任务,基本覆盖了涉及国家安全的领域
第二十五条 国家建设网络与信息安全保障体系……实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控
滴滴被罚80亿
2017年6月《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度.....
1. 安全制度,落实到人
2. 网络安全攻击和病毒防护
3. 网络日志存储不低于6个月
4. 数据分类、备份和数据加密
网络安全法中的数据:
网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放
防止网络数据泄露或者被窃取、篡改
第三十一条 关键信息基础设施的运行安全在网络安全等级保护制度的基础上,实行重点保护
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务
(三)对重要系统和数据库进行容灾备份;
境内运营中收集和产生的个人信息和重要数据应当存储在境内
意义:
规范网络空间安全管理、宣誓网络空间主权。是国家依法治网的重要依据
网络安全上升到法律高度,明确要求试行网络安全等级保护制度,加强关键基础设施安全保护;并强调法律责任
2019年12月《网络安全等级保护条例》等保2.0
2007年6月,公安部发布文件《信息安全等级保护管理办法》开始等保1.0 2019年12月,新版《信息安全技术 网络安全等级保护基本要求》开始等保2.0
标准体系保护:
等级划分、定级、实施、基本要求、测评、设计...
等保工作流程:
1.定级 2.备案 3.建设整改 4.等级测评 5.监督检查
保护客体范围:
1.基础信息网络 2.云平台 3.大数据平台 4.物联网 5.工业系统 6.移动互联网...
防护控制要求:
1.物理环境 2.通信网络 3.区域边界 4.计算环境 5.管理中心
2.管理制度 2.管理机构 3.管理人员 4.建设管理 5.运维管理
大数据应用场景:
计算环境
身份鉴别
静态脱敏去标识化
应用授权
基于数据生命周期的数据分类分级的管控措施
数据接口管控
数据一致性等
标志着国家网络安全等级保护工作步入新时代。作为网络安全防御体系框架性指导标准与规划建设指南,指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。
2021年9月《中华人民共和国数据安全法》
标志着数据安全上升到国家安全层面,自此数据安全建设有法可依。包括数据安全处理、建立健全各项制度、促进数据安全和发展、满足电子政务数据合理需求、保障国家安全。
第二十一条 国家建立数据分类分级保护制度......对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定
2021年9月《关键信息基础设施安全保护条例》
在《中华人民共和国网络安全法》确立的制度框架下,细化相关制度措施。内容更详尽、方法更具操行性、安全保护标准更严格
体系标准:1.基本要求 2.控制措施 3.评估办法 4.评价体系 5应急体系......
行业领域:1.公共通信和服务 2.能源 3.交通 4.水利 5.金融 6.公共服务 7.电子政务 8.国防科技...
第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性
2021年11月《中华人民共和国个人信息保护法》
明确个人信息采集、使用的要求,完善投诉、举报工作机制……这部专门法律充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障
第五十条 个人信息处理者...采取必要措施确保个人信息处理活动符合法律、行政法规的规定...
1. 管理制度与规范
2. 信息分类分级
3. 加密和去标识
4. 权限管控与培训
5. 应急预案
