从标准化视角解读《数据安全法(草案)》

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,时代新威等级保护小组,从标准化视角解读,数据安全法(草案),监管体系,01,一、监管体系,2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法，这是我国首部网络安全领域的法律，于2017年6月1日正式施行。,2019年10月26日，第十三届全国人民代表大会常务委员会第十四次会议通过中华人民共和国密码法，于2020年1月1日起施行。,2020年6月28日，在第十三届全国人大常务委员会第二十次会议审议中华人民共和国数据安全法（草案）， 7月3日，数据安全法（草案）在中国人大网公开征求意见。,因此，我国在网络安全和信息化建设领域的法律保障不断完善，初步形成三足鼎立之势。三者都是国家安全法的下位法，密码法构建的是专控管理体系，网络安全法和数据安全法都构建了“一个顶点、多维配合”的监管体系，但是数据安全法强调其与国家安全法一样，由中央国家安全领导机构间接管理。,术语定义,02,二、术语定义,数据安全法（草案）提出了数据、信息、数据安全、数据安全事件等概念，我们对照国家标准对相关的术语定义进行对比解读。,1、数据和信息,数据安全法（草案）第三条，本法所称数据，是指任何以电子或者非电子形式对信息的记录。,对比GB/T 19000-2016（ISO 9000:2015）质量管理体系 基础和术语：,3.6.1客体object；entity；item,可感知或可想象到的任何事物。,3.8.1数据 data,关于客体(3.6.1)的事实。,3.8.2信息information,有意义的数据（3.8.1）。,可见，数据安全法与国家标准GB/T 19000中关于数据和信息的定义在逻辑先后上存在较大差别，鉴于该国家标准等同采用国际标准ISO 9000，这也体现了我国在数据和信息的概念理解上与国际标准之间的差异。,2、数据安全和信息安全,数据安全法（草案）第三条，数据安全，是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。,对比GB/T 37988-2019 数据安全能力成熟度模型：,3.1 数据安全data security,通过管理和技术措施，确保数据有效保护和合规使用的状态。,GB/T 29246-2017(ISO/IEC 27000)信息安全管理体系 概述和词汇：,2.33 信息安全information security,对信息的保密性（2.12）、完整性（2.40）和可用性（2.9）的保持。,注1：另外，也可包括诸如真实性（2.8）、可核查性、抗抵赖（2.54）和可靠性（2.62）等其他特性。,可见，数据安全法和国家标准GB/T 37988中关于数据安全的定义是一致的，而与信息安全强调的保密性、完整性和可用性，也即CIA特性有明显区别，相比网络安全法第十条，“维护网络数据的完整性、保密性和可用性”，数据安全法体现了我国关于数据安全的最新认识和理论成果。,3、数据安全事件、网络安全事件和信息安全事件,数据安全法（草案）第二十一条提出了数据安全事件的概念，网络安全法第十条提出网络安全事件概念，而现有国家标准和国际标准中并没有数据安全事件和网络安全事件的明确定义，国家网络安全事件应急预案（中央网信办20174号）给出了网络安全事件的定义，有两个国家标准给出了信息安全事件的定义。,国家网络安全事件应急预案（中央网信办20174号）：,网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。,GB/Z 20986-2007 信息安全事件分类分级指南：,2.2 信息安全事件 information security incident,由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。,GB/T 20985.1-2017（ISO/IEC 27035-1：2016）信息安全事件管理 第1部分：事件管理原理：,3.3 信息安全事态information security event,表明一次可能的信息安全违规或某些控制失效的发生。,3.4 信息安全事件information security incident,与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态（3.3）。,关于网络安全概念的演进，我们大致有以下的时间线：,可见，今后随着我国网络安全和信息化建设的发展，以及网络安全法、数据安全法等的全面实施，无论是数据安全事件，还是网络安全事件，都需要在相关国家标准制定过程中进一步完善，给予明确的定义和说明。,安全制度实施,03,三、安全制度实施,1、标准体系建设,数据安全法（草案）第十五条，国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责，组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、研究机构、高等学校、相关行业组织等参与标准制定。,网络安全法第十五条，国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。,密码法第二十二条，国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。第二十三条，国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。,以上说明我国当前高度重视标准体系建设工作，在三部法律当中都强调了标准体系建设，体现了网络安全和信息化建设今后依照标准化发展的思路。数据安全法（草案）关于标准体系建设使用了“推进”一词，表达了对标准体系建设的强烈需求和紧迫愿望，密码法更是强调了与国际标准化活动的接轨，助推中国标准走向世界。,2、分级分类保护要求,数据安全法（草案）第十九条，国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。网络安全法第二十一条规定，“国家实行网络安全等级保护制度”。密码法第六条，国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。第七条，核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。,网络安全法、数据安全法（草案）都体现了依据受保护对象的重要程度、遭到破坏后的危害程度等要素，对受保护对象实施分级分类保护的思想。密码法则通过对密码产品的分类实现对受保护对象的分级保护要求。随着网络安全法的实施，网络安全等级保护制度2.0已经在国内全面推广实施，而数据分级分类保护还未制定标准细则和指导文件，需要相关国家标准给予支持。,3、安全事件处置,数据安全法（草案）第二十一条，国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。第二十七条，开展数据活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当按照规定及时告知用户并向有关主管部门报告。,网络安全法第五章从第五十三条开始至第五十八条，规定了网络安全事件应急处置工作机制的有关内容，制定了详细的应急处置措施。,数据安全法（草案）首次提出了“数据安全事件”的概念，因此，需要建立数据安全事件分类分级的相关标准或指导性文件。国家标准GB/Z 20986-2007 信息安全事件分类分级指南中，对信息安全事件的分类分级给出了具体的技术指导，可作为今后建立数据安全事件分类分级国家标准、行业标准或指导性文件的重要参考。,4、安全检测评估,数据安全法（草案）第十六条，国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。网络安全法第十七条，国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。第三十八条，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。,密码法第二十五条，国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。商用密码检测、认证机构应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。,网络安全等级保护测评是由等级保护测评机构对非涉及国家秘密的网络安全等级保护状况进行检测评估，是针对网络的安全性开展的一种专业服务检测活动，等级保护测评包括标准符合性评判活动和风险评估活动。测评工作的主要依据是网络安全等级保护基本要求（GB/T 22239-2019）、网络安全等级保护定级指南（GB/T 22240-2020）、网络安全等级保护实施指南（GB/T 25058-2019）、网络安全等级保护测评要求（GB/T 28448-2019）、网络安全等级保护测评过程指南（GB/T 28449-2018）、网络安全等级保护安全设计技术要求（GB/T 25070-2019 ）等一系列国家标准。,商用密码应用安全性评估是由商用密码测评机构对信息系统在规划、建设、运行三个阶段的密码应用情况进行检测评估，评估的内容包括密码应用安全的三个方面：合规性、正确性、有效性。测评主要依据是信息系统密码应用基本要求（GM/T 0054-2018）等行业标准，以及信息系统密码测评要求（试行）和商用密码应用安全性评估测评过程指南（试行）等指导性文件，密码应用安全性评估主要集中在密码算法、密码技术、密码产品和密码服务四个方面。,目前，数据安全检测评估、认证如何开展还不够清晰，今后需要成立专门的测评机构，依据相关国家标准或行业标准、指导性文件开展专业测评活动。对于企业来说，既要满足法律规定的合规性要求，又要尽量节省检测评估成本，需要综合考虑协调上述这些检测评估的关系。,密码法第二十七条规定，“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评”，这也应该是数据安全检测评估的遵循。,综上，数据安全是总体国家安全观的一个重要组成部分，今后随着数据安全法的实施，我们在标准体系建设方面还有很多工作要做，挑战与机遇并存，标准化建设工作任重而道远。,谢谢观看！,时代新威等级保护小组,