2019年7月1日发布的《电信和互联网行业提升网络数据安全保护能力专项行动方案》(以下简称《行动方案》)是自2013年7月16日工业和信息化部第24号令《电信和互联网用户个人信息保护规定》以来的数据安全保护要求的进一步强化和落地。
《行动方案》的工作目标之一是督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患,在2019年10月底前完成全部基础电信企业(含专业公司)、50家重点互联网企业以及200款主流App数据安全检查。工作目标之二是建立行业网络数据安全保障体系,行业网络数据安全管理和技术支撑平台基本建成,遴选网络数据安全技术能力创新示范项目,基础电信企业和重点互联网企业网络数据安全管理体系有效建立。
《行动方案》制定了为期一年、明确可执行的详细计划:不同于标准、规范,更强调具体任务的推动。方案分为四个阶段,将每阶段的责任方、工作任务进行了具体化,同时也强调了对典型经验做法进行推广,巩固相关工作成效的要求。这使得《行动方案》形成了一个执行力强,并不断迭代升级的长期计划。
五大亮点引人关注
《行动方案》主要亮点体现在以下五个方面。
一是《行动方案》要求加快完善网络数据安全制度标准。基于《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求的驱动,电信运营商从合规角度出发对数据安全保护的重要性有足够重视,但安全制度标准的不充分影响了这项工作的开展,例如对同一项敏感数据的分类分级和控制措施,在不同企业不同部门之间并不统一,极易发生因合作双方控制能力不同导致敏感数据泄露事件。制度标准的完善能够大幅促进数据安全保护的效果,有利于正常数据业务的健康发展,帮助各个企业步调一致统一行动。
二是《行动方案》将开展合规性评估和专项治理工作。包括网络数据安全风险评估、App违法违规专项治理、强化网络数据安全监督执法。此些举措划出了数据安全违规行为的红线,并以行政处罚、软件下架、企业纳入不良名单和失信名单的方式“迫使”企业必须重视数据安全保护。手段足以让违反数据安全的经营模式不复生存,让忽略数据安全的企业付出代价。
三是《行动方案》将强化行业网络数据安全管理,提出了四项具体意见:
首先,提出了数据资产“清单式”管理的要求,电信和互联网企业在实体资产、IT资产管理方面有着丰富的经验,但并没有对数据资产进行严格管理,若无法形成数据清单,也无法对针对数据的行为进行有效监控。数据资产管理的主要难点一方面是技术难度,另一方面是缺乏明确的标准和制度。
其次,《行动方案》明确了企业网络数据安全职能部门的设置,根据以往经验,某项工作开展困难的主要原因之一是企业重视不足,导致该职能科室权力小、人数少、话语权低。设立专门的网络数据安全职能部门是数据安全保护工作健康发展的必要步骤。
再次,《行动方案》提出了强化网络数据对外合作安全管理的要求,自从瑞智华胜、数据堂的案件发生以来,电信运营商对于数据合作业务从积极转向谨慎,但网络数据安全保护的本意是促进业务健康发展,数据合作业务应该在安全、合规的情况下有序进行。
最后,《行动方案》提出了行业网络数据安全应急管理的要求,指出了网络数据安全事件发生事前、事中、事后的要求,对恶性事件形成预案,不打无准备之仗。
四是《行动方案》在能力建设方面提出了手段建设、技术创新、专业化支撑队伍的要求。此项要求有利于数据安全产业的甲乙方共同发展,首先为企业开展数据安全类采购和研发指明了方向,也为高水平数据安全公司发挥其水平和能力提供绝佳机会。目前国内的数据安全类产品大多数沿用国外产品思路,视角和技术并不适合电信和互联网企业这种地域覆盖大、组织结构复杂、业务众多、发展迅速的经营模式,使得网络数据安全类产品严重碎片化、孤岛化,在实际应用中难以起到防护效果,正在逐步降低客户采购的意愿。
五是《行动方案》强调了社会监督和宣传交流,目前网络数据安全在电信和互联网企业中仍是少部分人的任务,而本质上数据安全与企业的经营模式、业务模式紧密相关,这方面区别于其他安全技术。网络数据安全必须得到企业决策者的充分重视,必须做到企业文化认可,从业者高度自律,具有全面的监督处罚机制。
企业需构建数据安全保护体系
数据安全保护关系到了企业切身利益,我们应认真对标《网络安全法》等相关行政命令的要求,形成企业自身的数据安全保护体系,从策略(规章制度及差距分析)、组织(部门与人)、技术(生产平台和数据安全保护技术)、运营(运转保障)等方面进行全面建设和不断提升。
我们需要正确面对现有业务模式和技术平台存在的数据安全问题,一些业务本身是侵犯隐私的,或者存在安全风险。例如已经全部下线的“短信保管箱“类业务,以及运营商普遍在业务环节中增加了二次认证和信息脱敏措施,都是在数据安全方面进步的表现。企业应该对存量业务进行评估、建立新业务评估的三同步机制(数据安全能力与业务功能同步规划、同步建设、同步运行)、人员管理、合作伙伴管理等机制的优化,避免新的数据安全事件发生。
另外,还要加强数据安全专职部门的设立,提升话语权,保持合理的人员配备。将敏感数据进行资产化管理,建立分类分级制度、采用自动化识别跟踪技术形成敏感数据清单,将敏感数据的异常分布与流动进行安全事件处置,对于敏感数据的访问行为增加身份认证和敏感行为审计等环节。
加强对合作伙伴的管理,建议采用数据安全能力评级和考核制度,降低数据扩散风险,以合作合同条款方式指明在数据安全方面的违约条款与责任。
建设立体的数据安全防护体系。例如,在数据泄露案例中,将数据泄露到外网存在多种途径,并且涉及数据不同环节的风险,单一技术手段无法覆盖所有主要途径。建议基于不同途径选择各领域最优技术搭建数据安全立体防御,以基于实战总结的经验作为数据保护技术手段的有效性评估标准。
作者吕韬奇,系安信集团合伙人、副总裁
1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。
3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。
12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。
3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。
11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。
11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。
10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。
