freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

数据安全将有“法”可依,你怎么看?
2020-07-15 13:40:35

7月3日,《数据安全法(草案)》正式公布,向社会公开征求意见。草案内容涉及7个章节,51条内容,主要包含数据安全发展、数据安全管理制度,落实数据活动发组织、个人的主体责任等。

数据安全本身就是国家安全的一个重要部分,在数据安全领域,欧洲有GDPR、美国有CCPA,我国的《网络安全法》对数据的自身安全也略有涉猎,如今出台的《数据安全法(草案)》对于当前的数据安全保护提出了新的要求。

本期话题讨论围绕即将出台的这一数据安全法展开,对于草案的具体解读可参见文章:数据安全怎么做?合规篇之数据安全法(草案)。

1594791491.png!small

草案中提及数据应该分级分类管理,那么数据分级可以参考的维度有哪些?

@两块

1.分类分级,先分类还是先分级这个没有明确。

2.具体分类和分级,是按照行业部门监管自行在框架下分,还是统一化类别?分级的保护措施是有差别防护还是类似等保的就高不就低?

@Mark2019

《工业数据分类分级指南(试行)》其实给了我们一个思路,就是先分类再分级。很多标准都有提到数据的分类分级,如27001等,给了我们一个制定内部数据分类分级的思路。数据分类分级是数据治理和数据安全的基础,这个不制定,数据安全的很多工作开展都会有壁垒。最近我刚好在推公司内部的数据分类分级,定大类,归小类,小类对应不同的数据等级,类型尽可能细化,便于推动数据部门对数据字段进行打标签处理。

@LJ_Monica

数据分类分级,可以根据单位内部数据的类型进行分类,比如员工个人信息、客户信息、具体业务的信息等,分级可参照秘密、机密、绝密这些或者数字一二三四等,得自己把握。

@煜阳yuyang

数据分类维度,可参考CISSP。

1594792625.jpg!small

@Doraemon

1.法案中有提到一点的是会根据数据可能造成的危害程度进行分级,但具体怎么分就没细说了。

2.这次的数据安全法分级分类的主体是国家,之前有些管理办法之类的是规范对象自身去划分,现在是自上而下了。

数据安全保护义务具体化,责任分明,为数据安全合规,后期企业可能会采取哪些措施?

@煜阳yuyang

出来之后肯定是要写在员工手册的,以及整体制度里,不过具体设定需要按照第一个分类制度一并推行,在新人培训中做一个科普,同时在几大开源平台监控商业信息是否泄露,给员工进行分级,核心非核心触碰的商业信息分级,以上是我暂时已经落地的。

@CyAnogeN

1.的确数据安全法草案基本确认要往大数据社会发展,内容较大篇幅是规范国家机关、政府的公民数据使用;并明确相关运营单位(政府/第三方)的责任,但是实际上对企业的限制,也就是收集数据合法,何种为合法,何为规范,不得窃取或以非法方式获取数据,这....大概自己都默认同意了多少协议了,你不用吗也不行,要求删除相关特征也没办法,只能默默接受tb推送的女装。

2.起码部分机关涉及的非法查询公民个人信息有法可依了,总的来说,感觉整个法案可能比较多是针对政府机关及为其提供服务的供应商?

@LJ_Monica

全员数据安全培训、考试。设置专人负责数据安全,类似gdpr中要求要设置数据安全保护官一职。要加大投入,业务系统需要整改。

草案明确了数据在利用过程中的原则和界限,哪些数据是需要重点关注的?

@煜阳yuyang

我在公司设置的分类级别:个人商业身份信息,包括手机号,地址等属于1级敏感信息,个人商业敏感信息包括身份证号,银行卡号等属于2级敏感信息,生物识别信息属于3级敏感信息。

@LJ_Monica

重点关注的数据,要按照分级的结果来定,做到有的放矢。

其他观点

@煜阳yuyang

其实这方面规定基本限制不到企业。企业该怎么样还是怎么样,该收集信息收集,就算泄露了也是扯皮。

@acstar

1.感觉里面的限制向境外执法机构提供数据,以及境外的管辖都厉害。但不知道会具体怎么实施。

2.既然是法律,更关注生效后执法的尺度是啥,什么情况下检查,怎么检查,查的多严。

@日影飞趣51

感觉处罚更详细量化了,方便对应的操作和执行,这样可以规避部分人钻空子和扯皮。

@IRONMAN娄大壮

1.草案中的一些条款其实都是商业机会和发展方向。

2.分级分类的工具配套的应该是安全工具了,是一个整体的联动效应,有利于带动带动安全产业的发展。

3.这种法和网安法类似,看的是大方向,需要后续配套的,有点像把网安法中的部分内容,单独拉出来,但它们都是彼此联系的。

对于《数据安全法(草案)》你有哪些看法呢?欢迎留言评论~

此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码加入群聊吧~~

扫码入群.png往期精彩话题速览:

话题讨论 | 聊聊即将实施的《网络安全审查办法》

话题讨论 | 那些攻防演练中的“骚套路”

话题讨论 | 国内白帽子“生存”现状

# 数据安全 # 数据安全 # events # 话题讨论
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者