當前位置: CompoTech China > 業界資訊 >
2025年1月1日,《網絡數據安全管理條例》(以下簡稱《條例》)正式施行。《條例》是《網絡安全法》、《數據安全法》和《個人信息保護法》下首個國務院正式發布的管理條例,屬于效力僅次于法律的行政法規,其重要性不言而喻。
數據保護關鍵要求
《條例》細化了《網絡安全法》、《數據安全法》和《個人信息保護法》,對“行政法規”可以補充規定或另行規定的事項進行補充性或創新性規定。在數據保護方面,《條例》強調了分類分級保護,要求企業采取必要的安全措施,制定應急預案,監測風險并及時處置。
遵循行業標準,前沿技術助力數據保護合規
隨著數據在企業發展中發揮越來越重要的作用,許多企業已經認識到了這些數據保護工作的重要性,在企業采用的NIST等標準框架中,有許多方面和《條例》的要求相契合。Commvault連續13次被評為Gartner企業級備份和恢復軟件解決方案魔力象限領導者,Commvault平臺遵循NIST框架,實現了從識別到恢復的全流程數據保護,為企業提供全面的數據保護支持。
分類分級保護
《條例》第五條明確,國家根據網絡數據在經濟社會發展中的重要程度對網絡數據實行分類分級保護。第三十三條明確,重要數據的處理者應當每年度對其網絡數據處理活動開展風險評估,并向省級以上有關主管部門報送風險評估報告。
對較易涉及重要數據的行業,例如金融、醫療等敏感行業,網絡數據處理者應當按照國家有關規定識別、申報重要數據,履行網絡數據安全保護責任,并注意網絡數據處理活動風險評估的定期開展,以及風險評估報告的報送。
即使對于極熟悉業務的員工來說,敏感和關鍵數據的分類及評估也是一個龐雜的工作。NIST框架識別部分提出,企業應當理解自己所面臨的數據保護風險,讓企業得以確定自身風險管理策略和任務的優先級。Commvault推出Risk Analysis風險分析功能,幫助客戶實現數據的自動識別和分類,大幅簡化分類分級保護的工作量,幫助企業及時發現和識別數據保護風險。
加強保護措施
在數據保護措施方面,《條例》強調應當采取必要措施。《條例》第九條明確,網絡數據處理者應當在網絡安全等級保護的基礎上,加強網絡數據安全防護,建立健全網絡數據安全管理制度,采取加密、備份、訪問控制、安全認證等技術措施和其他必要措施,保護網絡數據免遭篡改、破壞、泄露。
隨著數字化轉型的發展,數據保護的關鍵性已經成為行業共識。例如,制造業企業在數字化轉型的過程中,會采取數據保護措施確保自身的核心研發數據不丟失和泄露。《條例》將采取數據保護措施納入行政法規,要求企業進一步重視數據保護措施的實施。NIST框架在保護部分提出,企業需要采取保護措施以防止意外事件的發生,包括身份管理、身份驗證、訪問控制,人員培訓,數據、平臺和技術基礎設施保護等等。Commvault采取CIS/STIG加固,幫助客戶加強了數據保護平臺及其訪問控制,并采用Air Gap數據隔離和存儲不可變等技術措施,有效實現數據防篡改。Commvault還不斷擁抱前沿技術,為客戶帶來簡單、高效、安心的數據保護體驗。目前,Commvault擁有超過1400項專利。
制定應急預案
在數據保護管理體系方面,《條例》強調了制定應急預案等制度流程。《條例》第十一條明確,網絡數據處理者應當建立健全網絡數據安全事件應急預案。第三十條明確,重要數據的處理者明確的網絡數據安全管理機構應當制定實施網絡數據安全管理制度、操作規程和網絡數據安全事件應急預案。
隨著數據保護挑戰的演變,意外事件不可避免,企業的考慮角度已經從意外事件“是否會發生”、“何時會發生”轉向“有多嚴重”。NIST框架在響應部分包括事件的管理、分析、報告以及溝通。Commvault為客戶提供與網絡安全管理平臺集成的安全事件自動告警和處理,幫助客戶及早發現異常,并實現IT運維和安全運維團隊之間的良好協作。
風險監測和及時處置
《條例》第三十條明確,重要數據的處理者明確的網絡數據安全管理機構應當定期組織開展網絡數據安全風險監測、風險評估、應急演練、宣傳教育培訓等活動,及時處置網絡數據安全風險和事件。
企業如何確保自身能夠及時處置網絡數據安全風險和事件?應急演練已經成為常用方法。但對于采用混合基礎架構的大型企業,全面的應急演練涉及各種位置和工作負載,往往會受到環境和成本等多重限制。Commvault平臺支持跨本地和多云的數據恢復,并采用潔凈室恢復技術,幫助企業進行定期恢復測試,確保恢復計劃的可用性,助力企業在混合環境中實現快速恢復。
此外,一家企業想要實現成功恢復,完善的備份數據必不可少。在日常的監控和檢測方面,Commvault通過基于AI驅動的自動蜜罐部署和文件異常零日威脅監測等技術實現統一的安全風險監控,其Threat Scan威脅掃描技術可以對備份數據進行定期的威脅識別和及時告警,并與主流的SOAR安全事件處理平臺集成,及時發現、處理和定期更新。
數據保護合規落地五步走
隨著《條例》的施行,企業也迎來了提升自身數據保護能力的契機。企業應當推進自身數據保護的分級優化與落實,加快數據保護管理體系的總體建設。對此,Commvault參考NIST 和全球客戶最佳實踐,提出數據保護合規的分階段落地建議:
1. 安全評估和咨詢:專業服務團隊參考全球最佳實踐落地數據保護合規咨詢評估,協助客戶調研數據保護現狀和風險評估,理解數據保護合規差距,進行數據分級分類,并制定數據保護合規制度和規范。
2. 方案設計:結合全球領先的數據保護技術,參考《條例》要求和NIST CSF 2.0框架設計分步驟落地計劃和方案。
3. 基本數據保護方案落地:根據設計要求測試和選擇符合方案要求的產品和技術,覆蓋數據分級保護策略、數據防篡改、數據加密和數據保護監控和告警。
4. 高級數據安全方案落地:加強數據保護方案,如Air Gap數據隔離保護、備份數據的威脅掃描和隔離、基于潔凈室的恢復驗證。
5. 定期檢驗和技術更新:定期的保護檢測、風險評估、保護培訓和保護技術更新。
如今,數據是企業運營和社會發展的重要驅動力,數據保護也受到了越來越多的關注。隨著2025年1月《網絡數據安全管理條例》正式施行,網信部門會加強監管力度,統籌協調網絡數據安全和相關監督管理工作,以確保企業滿足《條例》的監管要求。增強數據保護和數據安全能力是企業在數字化時代保持競爭力的應時之舉,企業應當不斷提升自身數據保護治理,答好這道數字化時代的“必答題”。
本月熱點 HOME
