多地积极开展网络数据安全检查，数据安全监管迈向新阶段

▶ 数据是新时代的“石油”，是未来世界发展的基石

信息化将信息技术和信息系统代入了各行各业，走进了千家万户，提高了个人和组织的工作效率，通过电子化、自动化和智能化手段来提升组织生产力和社会能力。而数字化时代到来将会大大提高数据的资本属性，数据不再仅仅是信息的表达，更是新时代的“货币”。随着大数据、物联网、人工智能以及云计算等技术不断发展，数字经济站上世界经济发展的主舞台，并步入高速增长的轨道。数据成为数字经济的核心生产要素，正成为科技创新的突破口。

▶ 数据流通的必然性，使得网络安全无法满足未来的信息安全需求

广电计量在数据安全检查工作中，通过与与客户现场交流中了解到，目前大家对数据安全的认知还停留在网络安全层面，认为数据安全不过是网络安全的补充，网络安全的市场饱和才会引出数据安全。

国家数据局成立预示着数据流通利用势在必行，对稳定政策预期具有重要意义，我国的数字化、信息化发展将就此进入新阶段。未来，随着数据基础制度不断完善，数据资源整合共享和开发利用水平持续提升，推动数据资源变成数据生产要素进一步提速。

在不考虑合规的前提下，网络数据如果不流通，网络安全就等于数据安全。网络安全重点是边界防护，内外网的边界、政务网与互联网的边界、安全域之间的边界，数据不出边界，数据的安全性是由网络安全决定的，但数据一旦跨过边界，从A流通到B、从B流通到C，从A委托给D等等各种场景，网络安全层面的防护就不能满足数据安全的需求。

目前常见的网络攻击有8大种类，只要不是关键信息系统基础设施或不涉及到数据泄漏、数据破坏，那么这个安全事件往往可以挽救，而数据泄漏、数据破坏短时间内无法弥补，对国家、企业和社会带来的影响是长久的。

近年来，各地政府更加注重数据安全工作，广泛开展数据安全检查，致力于持续提升区域网络与数据安全管理水平，为数字经济高质量发展筑牢坚实的网络安全屏障。部分地区监管工作如下：

1. 上海市网信办

为推动建立上海网络数据安全风险评估机制，发现数据安全隐患，防范数据安全风险，保障数据有效保护、合法利用、有序流通，提升全市数据安全防护能力和水平，助力城市数字化安全转型，市委网信办执法监督处对costco开展数据安全检查。

2. 浙江省网信办

为深入贯彻落实党的二十大精神，落实《数据安全法》《个人信息保护法》等法律法规，结合第19届亚运会和第4届亚残运会网络安全工作，全面提升重大活动期间个人信息保护水平，预防和杜绝数据安全事件发生，省委网信办、省教育厅、省建设厅、省卫生健康委决定在全省范围内开展数据安全和个人信息保护专项行动。

3. 鄂尔多斯市委网信办开展网络安全和网络数据安全专项检查

为深入贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规，及时防范化解全市重要网站、信息系统、工控系统的网络安全风险和数据安全风险，推动网络安全和数据安全工作责任落实，近期，鄂尔多斯市委网信办组建联合检查组先后深入市教体局、市人社局、市自然资源局、市政务服务局、能源企业等单位开展网络安全和网络数据安全专项检查。

检查项目：“浙江省委网信办（本级）网络数据合规检查和技术管理”项目

服务内容：针对浙江省内单位进行数据安全检查，主要包括系统安全性（包括数据处理系统的安全性）检查、数据存储情况以及备份和恢复（包括数据存储以及数据备份和恢复的策略和方案）检查、用户访问权限控制检查、数据加密方案检查、安全审计和监测机制检查、物理安全检查（包括云使用环境）。

检查对象：四个行业，教育行业、互联网行业、建筑行业、医疗行业。检查过程将配合卫健委、教育厅、网信办、住建厅等部门开展相关的检查，共计超过40家企业与组织机构；

检查结果：总检查报告1份（数据分析）；行业检查报告4份（数据分析）；企业检查报告40份；

检查工具：数据资产安全检测与分类分级工具、数据API流量监测工具

评估项目：“浙江省传媒学院数据安全风险评估”项目

服务内容：基于《网络安全标准实践指南—网络数据安全风险评估实施指引》，开展浙江省传媒大学数据安全评估服务，开展数据安全管理体系，包括安全制度、安全策略、安全目标、组织架构、数据备份、数据安全应急响应等管理内容的测评；技术方面，绘制数据资产地图、敏感数据发现，检测数据库安全配置、扫描数据库漏洞、检测API数据流动检测，检查数据库审计记录、数据安全及备份措施的落实；根据现状情况，测评数据从采集到销毁全生命周期的风险状况，并给出风险处置建议，形成数据风险评估报告。

测评对象：人像平台及下游应用系统；

测评结果：《数据安全风险评估报告》、《数据安全风险处置建议》

测评工具：数据安全风险发现与评估工具、数据资产安全检测与分类分级工具、网络安全渗透工具

评估项目：“温州医科大学数据安全风险评估”项目

服务内容：基于《网络安全标准实践指南—网络数据安全风险评估实施指引》，开展温州医科大学数据安全评估服务，开展数据安全管理体系，包括安全制度、安全策略、安全目标、组织架构、数据备份、数据安全应急响应等管理内容的测评；技术方面，绘制数据资产地图、敏感数据发现，检测数据库安全配置、扫描数据库漏洞、检测API数据流动检测，检查数据库审计记录、数据安全及备份措施的落实；根据现状情况，测评数据从采集到销毁全生命周期的风险状况，并给出风险处置建议，形成数据风险评估报告。

测评对象：人像平台及下游应用系统；

测评结果：《数据安全风险评估报告》、《数据安全风险处置建议》

测评工具：数据安全风险发现与评估工具、数据资产安全检测与分类分级工具、网络安全渗透工具

上海公安学院数据安全防御体系和数据共享体系建设

服务内容：上海公安学院联合上海市公安局数据处和公安部第三研究所一起申请了《xxx课题》，其中数据安全服务分为三年，第一年完成数据安全防御体系和数据共享体系初稿；第二年开展数据安全风险评估；第三年完善数据安全防御体系和数据共享体系。

评估项目：“浙江联通数据安全成熟度模型评估”（DSMM）

服务内容：依据GB/T 37988《数据安全能力成熟度模型》，为客户开展组织建设、制度流程、技术工具、人员能力和数据全生命周期的差距分析，并协助客户获得DSMM认证2级。

测评对象：浙江联通数据中台系统

测评结果：获得DSMM认证证书

培训项目：浙江省传媒大学数据安全培训

服务内容：依据《数据安全法》、《个人信息保护法》开展数据安全与个人信息保护的培训工作，讲解相关法条与标准关系，技术实现方法和方式，协助学员深刻了解数据安全与个人信息的基本概念和目标。

测评对象：浙江省传媒大学信息化部及相关业务部门

文：任鹏飞

编辑：冯正璋