亚欧色一区w666天堂,色情一区二区三区免费看,少妇特黄A片一区二区三区,亚洲人成网站999久久久综合,国产av熟女一区二区三区

點贊

評論

【行業動態】【轉發】《數據安全法》的前世今生，對災備有何影響？

2023-10-27 07:01:50

145

<dd id='33hYh'></dd>

一、沒有數據安全就沒有國家安全

數據作為重要的生產要素，被國家列為基礎性戰略資源，回顧該法的誕生歷程，可以看出“數據安全”是與“國家安全”直接聯系的：

2015年-《國家安全法》第 25 條提出：“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”

2017 年-《網絡安全法》將數據安全納入網絡安全范疇

2018 年-《數據安全法》、《個人信息保護法》納入人大常委會立法規劃

2019 年-國家互聯網信息辦公室相繼發布《數據安全管理辦法（征求意見稿）》、《個人信息出境安全評估辦法（征求意見稿）》等多部《網絡安全法》體系的下位配套文件

2020 年-《數據安全法（草案）》正式向社會公開征求意見

2021年9月1日-《中華人民共和國數據安全法》正式生效

數據安全問題橫跨數據與安全兩大領域，作為數據安全領域的基礎性法律和國家安全法律制度體系的重要組成部分，該法第 1 條明確立法宗旨之一為“維護國家主權、安全和發展利益”，這與《國家安全法》第 25 條國家網絡與信息安全保障“主權、安全和發展利益”的宗旨相呼應。

所以，《數據安全法》的“前世”，是與國家安全息息相關的。

二、定位：數據安全領域的基礎性法律

從立法定位上看，立法說明中將《數據安全法》定位為“數據安全領域的基礎性法律”。

這里要明確“基礎法”這一概念，作為基礎法，更多的不是提供解決問題的措施，而是為問題的解決提供指導思路，后續數據安全領域的具體的法律法規都要按照基礎法的思路進行制定。

已經公布的法律條文中，對災備行業有哪些指引呢？

逐條分析，《數據安全法》給災備行業的指引可總結為如下幾點：

1.建立數據分級分類保護與安全應急處置機制（第 21、23 條）

第二十一條 國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。

關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。

各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

第二十三條 國家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發布與公眾有關的警示信息。

2.重視重要數據保護并落實數據安全保護義務（第 27、29、30 條）

第二十七條 開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。

第二十九條 開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。

第三十條 重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。

風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

3.保障政務數據安全，嚴格規范數據處理者活動（第 39、42、45 條）

第三十九條 國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。

第四十二條 國家制定政務數據開放目錄，構建統一規范、互聯互通、安全可控的政務數據開放平臺，推動政務數據開放利用。

第四十五條 開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

違反國家核心數據管理制度，危害國家主權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。

三、災備行業如何技術性解題？

題目和出題思路已經給出，下一步就是如何解答了。

1.數據分級分類保護與安全應急處置機制將加速災備市場發展

第 21 條中要求對生產數據進行分級分類，數據生產者不能僅是通過單一備份的方式將數據進行本地備份，而是要采用多層次、多策略的數據保護方法進行規劃設計。例如 3-2-1 備份策略，即數據至少有 3 個副本，其中 2 個副本存儲在本地的不同介質上，另外 1 個副本存儲在異地設備上。

對不同重要級別的數據按需進行數據級、應用級、業務級的保護，特別要加強對重要數據的處理，要加強關鍵系統、數據庫的本地容災、異地災備、云災備的建設，在數據不丟的基礎上，做到業務不停。

涉及到業務連續性的具體災備場景，可以分為常規運維操作保障、本地故障場合應用恢復、災難場合的業務恢復三種，相對應的業務連續性策略則有連續操作（Continuous Operations）、高可用性（High Availability）、災難恢復（Disaster Recovery）三個方面。

2.落實重要數據安全保護義務，完善災備制度建設

法條中多處強調要對“重要數據”進行保護，第 45 條作為《數據安全法》中為數不多的創設性法律責任條款，對開展數據處理活動者提出具體規定以及違法義務的行政處罰，最高罰款可達 1000 萬。

責任越大，對數據處理者的專業災備技能要求也越高。企業或機構在選擇安全方案時，不僅要關注數據安全保護技術是否合適，還要考慮方案是否易擴展、便于管理、操作靈活，是否會影響到后續系統遷移或升級等問題。

因此，除了技術上的安全建設，還要完善相應的災備制度建設。對于數據處理者來說，需要建立完善的風險應對機制，比如對數據進行實時風險監測、定期開展容災備份演練等。另外組織要注重專業災備人才的培養，比如可以開展數據安全培訓、專業工程師認證等活動。

3.重點保障政務數據統一規范、互聯互通、安全可控

該法第五章對政務數據安全進行單獨規定，再次與國家安全相呼應。對于政務數據的安全建設，要求更高，需要構建統一規范、互聯互通、安全可控的政務數據開放平臺。

由于傳統 IT 系統架構復雜、異構程度高，給不同政務平臺間的數據傳輸造成阻礙，導致“數據孤島”的問題產生。為了打通數據孤島，可以通過數據庫語義級數據復制技術，通過實時高效數據傳輸和多線程抓取日志并行加速，在不同數據平臺間構建信息高速公路，滿足“統一規范、互聯互通”的要求。另外，安全可控也是出于國產化替代的角度，將基礎軟件、數據庫、操作系統、芯片等替換成國產自主研發，保證核心技術不受制于人，推動政務數據的安全流動、開放利用。

總結