4008708893
近日,国家互联网信息办公室发布《网络数据安全风险评估办法(征求意见稿)》,进一步明确了网络数据安全风险评估的主体责任、实施流程、结果运用等核心要求,推动形成“评估发现风险、报告呈现风险、整改化解风险”的治理闭环。
网络数据安全风险评估办法(征求意见稿)
部分条例节选
第四条 各有关主管部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,定期组织开展本行业、本领域风险评估,可以根据工作需要对本行业、本领域的重要数据处理者开展风险评估情况进行检查,并于每年1月底前向国家网信部门报送年度风险评估及检查计划。
省级网信部门统筹省级有关部门制定本行政区域年度风险评估及检查计划,按照前款要求报送国家网信部门。
第六条 处理重要数据的网络数据处理者(以下简称重要数据处理者)应当每年度对其网络数据处理活动开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应及时对发生变化及其影响的部分开展风险评估。鼓励处理一般数据的网络数据处理者(以下简称一般数据处理者)至少每3年开展一次风险评估。
第十条 评估机构开展风险评估应当遵守法律法规,公正客观地作出风险判断,并对所出具的风险评估报告真实性、有效性、完整性负责,不得再委托其他机构开展风险评估。
第十七条 有关部门在组织风险评估工作中发现存在可能危害国家安全、公共利益的网络数据处理活动,应当责令网络数据处理者进行整改;对整改不到位、拒不整改的网络数据处理者,可以采取要求其停止处理重要数据等措施。
第二十条 省级以上网信部门和有关部门发现网络数据处理者未按规定开展风险评估的,应当依据《中华人民共和国数据安全法》等法律法规予以处置处罚。发现评估机构违反本办法开展风险评估的,省级以上网信部门和有关部门应当责令其进行整改;情节严重的,可以限制或者禁止其开展风险评估活动,追究相关人员责任,并予公布;构成犯罪的,依法追究刑事责任。
紧扣评估核心要求 提供全流程技术支撑
《办法》明确要求网络数据处理者需按规定开展风险评估,其中重要数据处理者应每年开展评估,一般数据处理者至少每3年开展一次,且评估工作需遵循《数据安全技术 数据安全风险评估方法》(GB/T 45577)等国家标准。
天锐股份精准对接网络数据安全风险评估的核心需求,构建了覆盖“风险识别-风险分析-风险处置-持续监控”的全流程技术支撑体系。
在风险识别环节,天锐蓝盾DLP依托先进的敏感内容识别与行为分析技术,能够精准定位文档、邮件、数据库中的敏感数据(如身份证号、商业合同关键条款等),同时持续监测用户操作行为,及时发现非工作时间大量下载敏感数据等异常行为,为风险评估提供精准的数据源支撑。这与《办法》要求评估需覆盖“数据处理活动各阶段安全风险”的核心导向高度契合,帮助数据处理者全面掌握数据安全风险底数。
聚焦数据分级分类 筑牢全链条安全防护
《办法》与此前出台的《数据安全法》《网络安全法》等法律法规一脉相承,强调数据分类分级管理是风险评估与安全防护的基础。天锐股份以“识别-分类-保护”全流程管理为核心,构建了适配不同数据等级的差异化防护体系,助力数据处理者落实分级防护责任。
针对重要数据的严格保护要求,天锐蓝盾系列产品采用先进的加密算法,实现静态数据存储加密与动态数据传输加密的全场景覆盖,即使数据发生泄露,攻击者无解密密钥也无法获取有效信息;同时,通过精细化的权限管控与操作审计,确保重要数据的处理、流转全程可追溯,从源头降低风险评估中发现的高等级风险。对于一般数据,其产品可通过灵活定制的安全策略,平衡安全防护与数据利用效率,满足《办法》“促进网络数据依法合理有效利用”的核心目标。
此外,天锐股份深度对接网络安全等级保护制度,将等级保护2.0要求融入产品体系,帮助企业在开展风险评估的同时,同步推进等级保护合规建设。通过优化终端管控、网络准入等措施,构建主动防御体系,实现“合规建设与风险评估协同推进”,切实解决企业“合规成本高、防护效果差”的双重困境。
