数据出境安全评估的实践3.0
7月7日,国家市场监督管理总局、国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),其目的在于规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。《办法》总结构图如图1所示。
图1 数据出境安全评估办法
《办法》提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。《办法》规定了应当申报数据出境安全评估的情形,安全评估适用范围如图2所示。
图2 安全评估适用范围
《办法》提出了数据出境安全评估的具体要求,包含风险自评估和安全评估,评估流程如图3所示。
图3 安全评估流程
《办法》规定了干系人的责任、义务、权力与处罚措施。如图4所示。
图4 干系人责任、义务、权力与处罚措施
二、数据出境如何合法合规
《数据出境安全评估办法》立法依据充分,是《网络安全法》、《数据安全法》、《个人信息保护法》的延伸,与“五法”相互呼应。“五法”是当前国家数据安全和个人信息保护的顶层设计布局,标志着我国数据安全进入有法可依、依法建设的新阶段。历程回顾如图5所示。
图5 历程回顾
法律作为顶层设计,管控着数据安全的全局。对于数据安全管理方面,国家市场监督管理总局、国家互联网信息办公室发布了关于开展数据安全管理认证工作的公告,数据出境安全管理包含于数据安全管理。数据安全管理认证的认证依据是国家市场监督管理总局、国家标准化管理委员会于2022年4月15日发布的数据安全重要文件(GB/T 41479-2022 信息安全技术 网络数据处理安全要求),此依据文件计划于2022年11月1日开始实施。从数据安全认证管理的角度,进一步推动数据出境安全评估落地工作。
对于数据出境安全管理的合规体系建设,可从以下几个方面考虑:
(1) 组织性质及其环境;
(2) 治理、方针,与角色、职责和权限;
(3) 风险的应对措施及合规目标与实施数据处理安全总体要求;
(4) 数据安全的资源管理;
(5) 数据处理安全技术层面;
(6) 数据处理安全管理及控制;
(7) 绩效评价及改进。
三、数据出境安全评估
数据出境安全评估与监管,以及国家数据安全认证与评估体系建设,均需要一款数据安全的评估系统/工具。
数据安全评估系统/工具的核心功能是数据监测发现及数据安全规章制度的符合性评估,要求支持GB/T 22239-2019、《中华人民共和国网络安全法》《个人信息保护法》《数据安全法》等法律法规的要求。信息检测功能方面,需要实现包括终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件存储的数据以及网络传输数据中数据的检查。
目前业界已有多款数据安全评估系统/工具,但其数据识别能力、数据检查及评估水平参差不齐,需制定相应的安全技术及检测标准对其进行规范,以进一步提升数据安全评估系统产品的技术水平。而对于企业来说,也需要寻找相关的认证来证明产品的能力满足相应需求,例如能满足数据安全评估中数据出境安全评估,提高市场竞争力。
四、中邦数据安全评估系统ZBCS-DSA介绍
中邦经千锤百炼,融合市场多重需求,已成功研制自主知识产权的数据安全评估系统ZBCS-DSA。中邦数据安全评估系统满足《数据出境安全评估办法》相关要求,通过4步骤完成数据出境安全评估,如图6所示。
图6数据安全评估4步骤
中邦数据安全评估系统ZBCS-DSA的工作方式。
(1)ZBCS-DSA平台
向检测组件下发技术检测规则并接收、展示其事件信息,建立从事前准备、事中检查、事后呈现一体化数据安全评估工作流
(2)存储检测组件
接入目标数据库/服务器进行检测,产生事件上报至ZBCS-DSA平台
(3)流量检测组件
获取核心交换机镜像流量进行检测,产生事件上报至ZBCS-DSA平台
(4)终端检测组件
在被检查终端上安装C端软件,对本地文档进行检测,产生事件最终通过S端上报至ZBCS-DSA平台
如图7所示。
图7中邦数据安全评估系统ZBCS-DSA工作方式
五、数据出境安全治理的探索
数据出境安全治理方面,中邦也进行了相应研究和研发工作。目前中邦推出的数据安全软件产品系列,可覆盖出境数据的全生命周期。如图8所示。
图8 中邦数据安全产品体系
结合数据安全评估工具ZBCS-DSA,在技术方案方面,中邦设计出了完善的数据出境安全技术防护方案,可覆盖数据出境安全评估办法相关要求,如图9所示。
图9 数据出境安全防护方案
在数据出境安全治理方面,中邦认为还有很多重要工作需要与业界同仁共同推进,如相关行业标准的制定等。
中邦希望与业界同仁携起手来,共同探索数据跨境安全评估、数据安全评估、数据安全治理的新天地。