点击 "合规社" > 点击右上角“···” > 设为星标⭐知识星球 热点问答
合规社知识星球社区聚集了许多关于数据安全和个人信息保护的讨论。我们将在公众号上定期整理这些社区问答,涵盖难点问题、实践案例和专家见解。
很多星友都反馈收获很多,”感觉很久没有遇到这么酣畅淋漓的干货分享”、“星球内部分享会的形式非常好”、“内容非常棒、互动老师也很专业”、"很难得这么多数据安全圈的人聚在一起,忍不住多讨论一会”。
问题1
问题1:数据全生命周期的风险评估依据
“如果以风险的维度去识别评估数据生命周期活动有什么风险,那应该有个前提,就是要数据生命周期各个阶段的数据安全指导标准(比如要求怎么加密存储数据,是否允许解密数据,脱敏到什么程度才没有风险)在没有标准的前提下,可以依据什么去评估风险,国标《数据安全风险评估方法》(征求意见稿)貌似描述特别笼统。”
问题的意思“如果以风险评估角度评估数据的全部处理活动,每个处理活动应该有一些具体的技术指导要求,而国标《数据数据安全风险评估方法》规定特别笼统,怎么理解比较合适?”
上述问题拆解成几个小问题进行探讨:
1.“标准”以提要求为主,内容不会很细致
国标大部分情况“提要求、建立基准线”为主,针对每个要求的解决方案,不适合在标准进行体现和约束。
涉及数据安全的技术要求,建议可以同步参考数据安全其他标准,协同查看。比如《GB/T 37988 信息安全技术 数据安全能力成熟度模型》、《数据安全技术政务数据处理安全要求》征求意见稿等文件,具体可以参考《107项数据安全标准清单(不完全统计)》。
2. 关于加解密问题
加密和解密数据是两个独立的活动。
(1)加密是对数据进行加密,实务工作中更多是指对个人信息和敏感信息进行加密。这里需要区分数据的状态(三种:静态数据、动态数据-内存、传输中数据-网络流动),目标是对哪种状态数据加密,所采取的方法也不一样。
关于哪些数据需要加密,不同行业要求不同,从《个人信息保护法》和《GB/T 35273 个人信息安全规范》要求中:敏感数据的加密是明确要求,对个人信息的加密没有找到正式的条文进行要求,如下图:
图1:《个人信息保护法》关于加密的条文
图2:《个人信息安全规范》关于加密的条文
(2)解密和加密不太一样,需要使用加密数据时才需要解密。
比如业务应用、数据加工分析或对外提供、共享等环节,解密是为了把数据流动起来、用起来。对数据内容的加解密,通常使用对称加密(加密和解密密钥一致),此类会话密钥经常一次一用。对密钥交换、数字签名、证书等,通常采用非对称加密(公钥加密和私钥解密,密钥不一样),公钥需要对外公开,私钥需要严格保护好,私钥丢失意味着数据就失去了保密性,等同于泄漏了。(进一步参考《数据安全的底座,图说密码技术应用》。
问题2
问题2:数据分类分级的意义
国家层面和行业实践层面都提出要做数据分类分级,但分级结果价值没有说出来,真的解决了哪些数据安全风险?
✅探讨要点:
-END-
「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等。
550+次内容更新
1100份+干货文件不限下载
定期举办高质量闭门安全合规实务交流会
330+律师、法务合规、数据保护、安全人员共同选择
⬇️⬇️⬇️
![【热点问答01】风险评估的依据、数据分类分级价值?]( "【热点问答01】风险评估的依据、数据分类分级价值?")
330+律师、法务合规、数据保护、安全人员共同选择
⬇️⬇️⬇️
原文始发于微信公众号(合规社):【热点问答01】风险评估的依据、数据分类分级价值?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论