近日,国家网信办发布《网络数据安全管理条例(征求意见稿)》(下称“征求意见稿”),并向社会公开征求意见,从而加强数据安全防护能力建设。
对此,三六零(601360)(601360.SH,下称“360”)数据安全专家童磊表示,征求意见稿是在《网络安全法》、《数据安全法》、《个人信息保护法》基础上相对更明确的条例指引,相当于法律之下配套的实践指南。同时,征求意见稿更具有针对性,比如明确指出互联网平台的活跃用户、用户数量,并提出数据安全事故响应时间,以及委托第三方对数据安全情况做审计等。总体而言,该征求意见稿对互联网平台的数据安全提出了更高且更明确的要求。
互联网平台或面临更强数据安全监管
互联网平台或将面临更严格的数据安全监管。征求意见稿第五十三条规定,大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。
对此,童磊表示,原来互联网平台对自己的数据安全一般是自查,且没有强制性要求,有了这项规定后,对数据安全审查将有法可依。
同时,规定对数据安全情况进行年度审计,或将推动我国建立以数据安全能力成熟度为导向的安全服务机制,即推动网络安全从产品交付向服务交付转变,优化网络安全产业结构,改变我国长期以来单纯以合规为导向的建设模式,防止网络安全企业追求销售硬件“盒子”,导致大量同质化、低水平重复竞争的现象。
“原来安全产业只是卖产品、卖盒子,现在安全企业可以做交付服务,比如做等保之外的数据安全能力成熟度测评。”童磊认为,这对安全行业无疑将是一大利好。
如何对数据安全成熟度进行评估?DSMM(数据安全能力成熟度模型)正是一套成熟的方法论。据悉,大数据协同安全技术国家工程实验室通过DSMM测评,能够帮助客户准确找到数据安全管理和技术方面的差距,助力客户提升数据安全能力和数据安全防护水平。
此外,大数据协同安全技术国家工程实验室与贵州大数据安全工程研究中心共同开拓了数据安全产业生态,目前,以 DSMM 为抓手,通过数据安全能力成熟度评估,贵州大数据安全工程研究中心先后在十余个领域、50 多家机构开展了落地试点,涵盖了政府、银行、互联网金融、证券、电力、煤炭及税务等行业,在数据安全领域积累了丰富的实践经验。
360助力互联网平台构建数据安全新能力
之所以对互联网平台进行更严格的数据安全监管,原因在于数据安全的重要性日益凸显。IBM Security《2021年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来424万美元的损失,为17年来之最。
显然,数字化程度越高,安全的挑战就越大,而在数据成为新的生产要素的同时,也成为新的攻击对象,未来,一个单位的大数据如果被攻击,将会直接导致业务系统停摆,数据安全的重要性不言而喻。
因此,面对数据安全监管,互联网企业要在自己业务所在行业进行定位和分析,在遵从国家法律之外,还需要遵从行业主管部门相关要求。
而对于如何遵从足够多的监管要求,以及规避相应复杂的业务场景,360安全专家认为,只有通过咨询专家或提供相关安全服务的公司,把行业和场景设计出来进行相关的安全控制,才能做好后续安全方案的实施。
目前,针对互联网企业数据安全痛点,安全企业已经有了成熟的解决方案。360政企安全集团发布的360大数据安全能力框架,带来了面向不同场景的整体数据安全保护方案,能够帮助中小互联网平台构建数据安全新能力,推动数字化高质量发展。
据介绍,360大数据安全能力框架是一个覆盖监管侧、企业侧和城市侧的整体框架,实现监管单位常态化监管、企业防护能力提升、城市数据安全管控相统一。
业内认为,360大数据安全能力框架为数字化时代不同场景的数据安全治理带来了全新思路,也将为护航数字化时代安全带来新的力量。