中文

从标准化视角解读《数据安全法(草案)》

文章发布日期:2020-08-13

本文从时代新威自身业务出发,结合《网络安全法》、《密码法》,以及有关国家标准,对《数据安全法(草案)》有关方面作简要解读。


一、监管体系


  • 2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,这是我国首部网络安全领域的法律,于2017年6月1日正式施行。
  • 2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议通过《中华人民共和国密码法》,于2020年1月1日起施行。
  • 2020年6月28日,在第十三届全国人大常务委员会第二十次会议审议《中华人民共和国数据安全法(草案)》, 7月3日,《数据安全法(草案)》在中国人大网公开征求意见。


因此,我国在网络安全和信息化建设领域的法律保障不断完善,初步形成三足鼎立之势。三者都是《国家安全法》的下位法,《密码法》构建的是专控管理体系,《网络安全法》和《数据安全法》都构建了“一个顶点、多维配合”的监管体系,但是《数据安全法》强调其与《国家安全法》一样,由中央国家安全领导机构间接管理。

《密码法》第四条,坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
第五条,国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
《网络安全法》第八条,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。

《数据安全法(草案)》第六条,中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。

第七条,各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。工业、电信、自然资源、卫生健康、教育、国防科技工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。

二、术语定义


《数据安全法(草案)》提出了数据、信息、数据安全、数据安全事件等概念,我们对照国家标准对相关的术语定义进行对比解读。

1、数据和信息
《数据安全法(草案)》第三条,本法所称数据,是指任何以电子或者非电子形式对信息的记录。
对比GB/T 19000-2016(ISO 9000:2015)《质量管理体系 基础和术语》:
3.6.1客体object;entity;item
可感知或可想象到的任何事物。
3.8.1数据 data
关于客体(3.6.1)的事实。
3.8.2信息information
有意义的数据(3.8.1)。
可见,《数据安全法》与国家标准GB/T 19000中关于数据和信息的定义在逻辑先后上存在较大差别,鉴于该国家标准等同采用国际标准ISO 9000,这也体现了我国在数据和信息的概念理解上与国际标准之间的差异。

2、数据安全和信息安全
《数据安全法(草案)》第三条,数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。
对比GB/T 37988-2019 《数据安全能力成熟度模型》:
3.1 数据安全 data security
通过管理和技术措施,确保数据有效保护和合规使用的状态。
GB/T 29246-2017(ISO/IEC 27000)《信息安全管理体系 概述和词汇》:
2.33 信息安全 information security
对信息的保密性(2.12)、完整性(2.40)和可用性(2.9)的保持。
注1:另外,也可包括诸如真实性(2.8)、可核查性、抗抵赖(2.54)和可靠性(2.62)等其他特性。
可见,《数据安全法》和国家标准GB/T 37988中关于数据安全的定义是一致的,而与信息安全强调的保密性、完整性和可用性,也即CIA特性有明显区别,相比《网络安全法》第十条,“维护网络数据的完整性、保密性和可用性”,《数据安全法》体现了我国关于数据安全的最新认识和理论成果。

3、数据安全事件、网络安全事件和信息安全事件
《数据安全法(草案)》第二十一条提出了数据安全事件的概念,《网络安全法》第十条提出网络安全事件概念,而现有国家标准和国际标准中并没有数据安全事件和网络安全事件的明确定义,《国家网络安全事件应急预案》(中央网信办〔2017〕4号)给出了网络安全事件的定义,有两个国家标准给出了信息安全事件的定义。
《国家网络安全事件应急预案》(中央网信办〔2017〕4号):
网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
GB/Z 20986-2007 《信息安全事件分类分级指南》:
2.2 信息安全事件 information security incident
由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。
GB/T 20985.1-2017(ISO/IEC 27035-1:2016)《信息安全事件管理 第1部分:事件管理原理》:
3.3 信息安全事态 information security event
表明一次可能的信息安全违规或某些控制失效的发生。
3.4 信息安全事件 information security incident
与可能危害组织资产或损害其运行相关的、单个或多个被识别的信息安全事态(3.3)。
关于网络安全概念的演进,我们大致有以下的时间线:
可见,今后随着我国网络安全和信息化建设的发展,以及《网络安全法》、《数据安全法》等的全面实施,无论是数据安全事件,还是网络安全事件,都需要在相关国家标准制定过程中进一步完善,给予明确的定义和说明。

三、安全制度实施


1、标准体系建设

《数据安全法(草案)》第十五条,国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、研究机构、高等学校、相关行业组织等参与标准制定。
《网络安全法》第十五条,国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
《密码法》第二十二条,国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条,国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部