门嘉平:《数据安全法》即将实施 网络安全不容小觑
9月1日, 《中华人民共和国数据安全法》(以下简称《数据安全法》)即将正式实施,这将进一步完善我国网络安全领域的法律法规体系。同时也表明,数据安全业已成为2021年的关键词,网络安全不容小觑。日前,媒体记者有机会采访到了国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安董事长门嘉平博士。
数据安全“要有全局意识”
7月,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,明确提出,到2023年网络安全产业规模超过2500亿元,年复合增长率超过15%,网络安全产业将不断突破边界迎来高速增长期。
随着政企数字化的转型加快,各行业对网络安全的要求也越来越高。网络安全除了保障业务系统安全之外,还要考虑防范数据泄露、被篡改,以及破坏等诸多问题。由此带来的业务发展与数据安全风险和矛盾不断升级,促使数据价值不断提升。
其实早在2018,我国即全面实施国家大数据战略,将数据定义为一种“战略资源”,把数据作为国家主权安全的保护对象。而《数据安全法》可谓大数据战略的可靠保障,它既加强了网络安全等级保护、关键信息基础设施的保护,同时也强化了国家关键数据处理能力,增强了数据安全预警与溯源能力,是国家战略的全局意识充分体现。
数据安全“既必要又紧迫”
公开的数据显示,2020年全球数据泄露的平均损失成本为1145万美元;2019年数据泄露事件达到7098起,涉及151亿条数据记录,同比2018年增幅284%,由于数据泄漏事件而造成经济损失极其重大,且负面影响也极为深远。
此前,埃森哲发布的一项调查研究结果显示其调查的208家企业中,69%的企业曾在过去一年内“遭公司内部人员窃取或试图盗取数据”。未采取有效的数据访问权限管理,加强身份双因素认证、日志管理、运维审计等措施是大多数企业数据遭受内部人员盗窃的原因。
《数据安全法》作为我国第一部与“数据安全”相关的法律,与2016年11月7日发布的《中华人民共和国网络安全法》并行,标志着我国数据信息安全领域的法律法规体系得到进一步完善,网络与信息安全再度引起业界广泛重视。
《网络安全法》从2013年开始起草,2015年6月开始初审议,到2016年10月第三次最终审议通过,经历了四年时间。而《数据安全法》从初审到三审通过,只用了不到一年时间,立法和实施之快足以体现《数据安全法》的必要性和紧迫性。
数据安全“聚焦两个体系”
从《数据安全法》具体内容看,保障数据信息安全应当聚焦在安全管理体系和安全技术体系两个层面。
首先是建立健全的安全管理体系。国家建立数据的分类、分级保护,对数据进行实行分类分级保护,并确定重要数据目录,以加强对重要数据的保护。各地区、各单位需要遵循“网络安全等保2.0”来确保所运营的系统是否符合国家标准,并且建立数据安全管理制度,尤其要加强对重要数据管理人的管理,要明确安全责任和管理机构,落实数据安全保护责任主体。
其次是建立完善的安全技术体系。随着信息化的发展,数据在环境、网络、应用系统等方方面面都面临着威胁,如果不具备完善的安全技术体系,数据就显得格外脆弱。从身份识别到安全审计、运维审计、数据库审计、数据防护等,不同的数据管理方面都有关联,而且对应物理、网络、系统、应用、数据等不同的项目。
“Gartner对数据安全治理的定义,就是从管理体系到技术体系,是决策层到技术层,自上而下贯穿组织架构的一个完整链条。数字经济时代,数据就是社会发展和科技进步的核心驱动力。《数据安全法》实施,既维护了公民合法权益,也促进了我国数字经济健康发展,更维护了国家网络空间安全。”国联易安董事长门嘉平博士强调。