2025年1月1日,《网络数据安全管理条例》(以下简称《条例》)正式施行。《条例》是《网络安全法》、《数据安全法》和《个人信息保护法》下首个国务院正式发布的管理条例,属于效力仅次于法律的行政法规,其重要性不言而喻。
数据保护关键要求
《条例》细化了《网络安全法》、《数据安全法》和《个人信息保护法》,对“行政法规”可以补充规定或另行规定的事项进行补充性或创新性规定。在数据保护方面,《条例》强调了分类分级保护,要求企业采取必要的安全措施,制定应急预案,监测风险并及时处置。
遵循行业标准,前沿技术助力数据保护合规
随着数据在企业发展中发挥越来越重要的作用,许多企业已经认识到了这些数据保护工作的重要性,在企业采用的NIST等标准框架中,有许多方面和《条例》的要求相契合。Commvault连续13次被评为Gartner企业级备份和恢复软件解决方案魔力象限领导者,Commvault平台遵循NIST框架,实现了从识别到恢复的全流程数据保护,为企业提供全面的数据保护支持。
分类分级保护
《条例》第五条明确,国家根据网络数据在经济社会发展中的重要程度对网络数据实行分类分级保护。第三十三条明确,重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告。
对较易涉及重要数据的行业,例如金融、医疗等敏感行业,网络数据处理者应当按照国家有关规定识别、申报重要数据,履行网络数据安全保护责任,并注意网络数据处理活动风险评估的定期开展,以及风险评估报告的报送。
即使对于极熟悉业务的员工来说,敏感和关键数据的分类及评估也是一个庞杂的工作。NIST框架识别部分提出,企业应当理解自己所面临的数据保护风险,让企业得以确定自身风险管理策略和任务的优先级。Commvault推出Risk Analysis风险分析功能,帮助客户实现数据的自动识别和分类,大幅简化分类分级保护的工作量,帮助企业及时发现和识别数据保护风险。
加强保护措施
在数据保护措施方面,《条例》强调应当采取必要措施。《条例》第九条明确,网络数据处理者应当在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露。
随着数字化转型的发展,数据保护的关键性已经成为行业共识。例如,制造业企业在数字化转型的过程中,会采取数据保护措施确保自身的核心研发数据不丢失和泄露。《条例》将采取数据保护措施纳入行政法规,要求企业进一步重视数据保护措施的实施。NIST框架在保护部分提出,企业需要采取保护措施以防止意外事件的发生,包括身份管理、身份验证、访问控制,人员培训,数据、平台和技术基础设施保护等等。Commvault采取CIS/STIG加固,帮助客户加强了数据保护平台及其访问控制,并采用Air Gap数据隔离和存储不可变等技术措施,有效实现数据防篡改。Commvault还不断拥抱前沿技术,为客户带来简单、高效、安心的数据保护体验。目前,Commvault拥有超过1400项专利。
制定应急预案
在数据保护管理体系方面,《条例》强调了制定应急预案等制度流程。《条例》第十一条明确,网络数据处理者应当建立健全网络数据安全事件应急预案。第三十条明确,重要数据的处理者明确的网络数据安全管理机构应当制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案。
随着数据保护挑战的演变,意外事件不可避免,企业的考虑角度已经从意外事件“是否会发生”、“何时会发生”转向“有多严重”。NIST框架在响应部分包括事件的管理、分析、报告以及沟通。Commvault为客户提供与网络安全管理平台集成的安全事件自动告警和处理,帮助客户及早发现异常,并实现IT运维和安全运维团队之间的良好协作。
风险监测和及时处置
《条例》第三十条明确,重要数据的处理者明确的网络数据安全管理机构应当定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件。
企业如何确保自身能够及时处置网络数据安全风险和事件?应急演练已经成为常用方法。但对于采用混合基础架构的大型企业,全面的应急演练涉及各种位置和工作负载,往往会受到环境和成本等多重限制。Commvault平台支持跨本地和多云的数据恢复,并采用洁净室恢复技术,帮助企业进行定期恢复测试,确保恢复计划的可用性,助力企业在混合环境中实现快速恢复。
此外,一家企业想要实现成功恢复,完善的备份数据必不可少。在日常的监控和检测方面,Commvault通过基于AI驱动的自动蜜罐部署和文件异常零日威胁监测等技术实现统一的安全风险监控,其Threat Scan威胁扫描技术可以对备份数据进行定期的威胁识别和及时告警,并与主流的SOAR安全事件处理平台集成,及时发现、处理和定期更新。
数据保护合规落地五步走
随着《条例》的施行,企业也迎来了提升自身数据保护能力的契机。企业应当推进自身数据保护的分级优化与落实,加快数据保护管理体系的总体建设。对此,Commvault参考NIST 和全球客户最佳实践,提出数据保护合规的分阶段落地建议:
1. 安全评估和咨询:专业服务团队参考全球最佳实践落地数据保护合规咨询评估,协助客户调研数据保护现状和风险评估,理解数据保护合规差距,进行数据分级分类,并制定数据保护合规制度和规范。
2. 方案设计:结合全球领先的数据保护技术,参考《条例》要求和NIST CSF 2.0框架设计分步骤落地计划和方案。
3. 基本数据保护方案落地:根据设计要求测试和选择符合方案要求的产品和技术,覆盖数据分级保护策略、数据防篡改、数据加密和数据保护监控和告警。
4. 高级数据安全方案落地:加强数据保护方案,如Air Gap数据隔离保护、备份数据的威胁扫描和隔离、基于洁净室的恢复验证。
5. 定期检验和技术更新:定期的保护检测、风险评估、保护培训和保护技术更新。
如今,数据是企业运营和社会发展的重要驱动力,数据保护也受到了越来越多的关注。随着2025年1月《网络数据安全管理条例》正式施行,网信部门会加强监管力度,统筹协调网络数据安全和相关监督管理工作,以确保企业满足《条例》的监管要求。增强数据保护和数据安全能力是企业在数字化时代保持竞争力的应时之举,企业应当不断提升自身数据保护治理,答好这道数字化时代的“必答题”。
