今日,工業和信息化部辦公廳發布關于加強互聯網數據中心客戶數據安全保護的通知,在與客戶、第三方服務商等簽署的合同協議中,根據合作模式、內容等,明確各方數據安全保護責任義務。建立健全客戶數據安全管理制度,明確數據安全負責人和管理部門,強化客戶數據安全管理保障措施。
《通知》主要規定了以下內容:
1
在與客戶、第三方服務商等簽署的合同協議中,根據合作模式、內容等,明確各方數據安全保護責任義務。建立健全客戶數據安全管理制度,明確數據安全負責人和管理部門,強化客戶數據安全管理保障措施。
2
建立客戶管理機制,按照客戶類別和數據保護需求,提供差異化安全保護措施供客戶選用。結合數據處理流程,明確數據訪問、操作、銷毀等重點環節的安全策略和流程機制,并做好數據隔離等保護措施。
3
在實施可能影響客戶數據安全的高危操作和對外提供客戶數據前,應告知客戶并取得授權。根據業務實際情況,通過冗余設計等,提高業務連續性和穩定性。建立客戶數據安全事件應急預案,定期開展應急演練。
4
因IDC業務經營者原因引發客戶數據安全事件時,立即啟動應急處置措施,及時告知客戶,并按有關要求向電信主管部門報告。
通常,互聯網數據中心(Internet Data Center,以下簡稱“IDC”)會采取一定的網絡安全技術措施,保證托管數據等的安全性。但是,這些技術有時并不充分,不能達到《網絡安全法》、《數據安全管理辦法》、《網絡安全等級保護條例》及其相關配套規則的要求。數據安全技術措施是保證IDC服務安全性的重要保障,如果這一點未能充分做到,將不利于保障網絡安全,以及數據的完整性、可用性及保密性。因此,在有關部門的敦促下,為保障互聯網數據中心客戶數據安全,相關主體單位可以采取的措施有:
在數據存儲過程中
可以對數據進行分級分類、差異化安全存儲,并對數據質量進行監控;對存儲數據的設備及基礎設施重點做好安全防護,包括落實數據存儲的操作終端安全管控措施及接入鑒權機制等;以及,建立完備的數據容災備份和恢復機制,提供基本的完整校驗機制,保障數據的可用性和完整性等。
在數據傳輸過程中
可以根據業務流程、職責界面等合理劃分安全域,在安全邊界上配置相應的訪問控制策略及部署安全措施,對傳輸通道進行相應的加密措施,保證傳輸過程中的安全保密;強化傳輸接口安全管控,限制違規設備接入;采用密鑰加密時,對密鑰進行嚴格管理確保密鑰安全;對傳輸過程實施數據完整性校驗措施,保證所傳輸數據完整性和可用性。
在數據交換過程中
加強數據交換接口安全管控,落實加密傳輸、訪問控制、MAC地址或IP地址綁定等手段;根據需求,限制數據批量導出權限的授權;以及做好共享操作流程、操作賬號分配等日志記錄里對數據共享場景進行分析等。
在數據銷毀過程中
建立對超期保存等情況下的數據銷毀機制;對數據銷毀進行日志記錄以支持安全審計;落實安全銷毀措施,采用可靠技術手段保證已經銷毀的數據不可還原并進行效果驗證;針對邏輯銷毀操作,需要為不同數據的存儲方式制定相應的邏輯銷毀方法等。
IDC產業在數據安全、數據合規建設的道路上剛剛起步,未來發展仍然任重而道遠,但是,相信這些合規工作的努力必將會促進企業行為合規水平的提高、促進IDC產業鏈的良性循環,并能促使我國在國家層面上抓住新基建發展的機遇,在網絡空間戰略上搶占先機。
敏捷科技將一如既往、時刻關注各行業領域主體單位的數據安全需求變化,始終秉承著企業級的可靠性和穩定性品質,提供專業穩定、合法合規的數據安全產品與方案,為數字化轉型和數字經濟高質量發展提供堅實保障。
18120179909
關注敏捷小助手,了解更多