近日,國家網信辦釋出《網路資料安全管理條例(徵求意見稿)》(下稱“徵求意見稿”),並向社會公開徵求意見,從而加強資料安全防護能力建設。
對此,三六零(601360。SH,下稱“360”)資料安全專家童磊表示,徵求意見稿是在《網路安全法》、《資料安全法》、《個人資訊保護法》基礎上相對更明確的條例指引,相當於法律之下配套的實踐指南。同時,徵求意見稿更具有針對性,比如明確指出網際網路平臺的活躍使用者、使用者數量,並提出資料安全事故響應時間,以及委託第三方對資料安全情況做審計等。總體而言,該徵求意見稿對網際網路平臺的資料安全提出了更高且更明確的要求。
網際網路平臺或面臨更強資料安全監管
網際網路平臺或將面臨更嚴格的資料安全監管。徵求意見稿第五十三條規定,大型網際網路平臺運營者應當透過委託第三方審計方式,每年對平臺數據安全情況、平臺規則和自身承諾的執行情況、個人資訊保護情況、資料開發利用情況等進行年度審計,並披露審計結果。
對此,童磊表示,原來網際網路平臺對自己的資料安全一般是自查,且沒有強制性要求,有了這項規定後,對資料安全審查將有法可依。
同時,規定對資料安全情況進行年度審計,或將推動我國建立以資料安全能力成熟度為導向的安全服務機制,即推動網路安全從產品交付向服務交付轉變,最佳化網路安全產業結構,改變我國長期以來單純以合規為導向的建設模式,防止網路安全企業追求銷售硬體“盒子”,導致大量同質化、低水平重複競爭的現象。
“原來安全產業只是賣產品、賣盒子,現在安全企業可以做交付服務,比如做等保之外的資料安全能力成熟度測評。”童磊認為,這對安全行業無疑將是一大利好。
如何對資料安全成熟度進行評估?DSMM(資料安全能力成熟度模型)正是一套成熟的方法論。據悉,大資料協同安全技術國家工程實驗室透過DSMM測評,能夠幫助客戶準確找到資料安全管理和技術方面的差距,助力客戶提升資料安全能力和資料安全防護水平。
此外,大資料協同安全技術國家工程實驗室與貴州大資料安全工程研究中心共同開拓了資料安全產業生態,目前,以 DSMM 為抓手,透過資料安全能力成熟度評估,貴州大資料安全工程研究中心先後在十餘個領域、50 多家機構開展了落地試點,涵蓋了政府、銀行、網際網路金融、證券、電力、煤炭及稅務等行業,在資料安全領域積累了豐富的實踐經驗。
360助力網際網路平臺構建資料安全新能力
之所以對網際網路平臺進行更嚴格的資料安全監管,原因在於資料安全的重要性日益凸顯。IBM Security《2021年資料洩露成本報告》指出,每次資料洩露事件平均為公司帶來424萬美元的損失,為17年來之最。
顯然,數字化程度越高,安全的挑戰就越大,而在資料成為新的生產要素的同時,也成為新的攻擊物件,未來,一個單位的大資料如果被攻擊,將會直接導致業務系統停擺,資料安全的重要性不言而喻。
因此,面對資料安全監管,網際網路企業要在自己業務所在行業進行定位和分析,在遵從國家法律之外,還需要遵從行業主管部門相關要求。
而對於如何遵從足夠多的監管要求,以及規避相應複雜的業務場景,360安全專家認為,只有透過諮詢專家或提供相關安全服務的公司,把行業和場景設計出來進行相關的安全控制,才能做好後續安全方案的實施。
目前,針對網際網路企業資料安全痛點,安全企業已經有了成熟的解決方案。360政企安全集團釋出的360大資料安全能力框架,帶來了面向不同場景的整體資料安全保護方案,能夠幫助中小網際網路平臺構建資料安全新能力,推動數字化高質量發展。
據介紹,360大資料安全能力框架是一個覆蓋監管側、企業側和城市側的整體框架,實現監管單位常態化監管、企業防護能力提升、城市資料安全管控相統一。
業內認為,360大資料安全能力框架為數字化時代不同場景的資料安全治理帶來了全新思路,也將為護航數字化時代安全帶來新的力量。
