作为我国网络数据安全领域的重要部门规章,《办法》明确了数据安全风险评估的分级实施要求,并在部门规章层面将(以下简称 “密评”)与重要数据安全评估作出关联要求,为各行业开展数据安全合规工作提供了清晰的制度指引。
《办法》针对不同数据处理主体设定了差异化的评估周期,同时对密码技术应用的安全性评估提出明确要求,核心内容可归纳为两方面:
重要数据处理者:应当每年度对其网络数据处理活动开展1次风险评估,若数据安全状态发生重大变化,还需及时开展专项评估;
这一规定推动数据安全风险评估向常态化、周期化管理方向发展,进一步压实数据处理者的安全主体责任。
《办法》第二十三条明确规定:涉及重要数据加密等技术措施的,应当按照国家密码相关法律、行政法规要求开展商用密码应用安全性评估。
解读:这是我国在部门规章层面,对密评与数据安全风险评估作出的直接关联要求。意味着重要数据处理者在开展年度数据安全风险评估时,若采用加密技术保护重要数据,需同步开展密评工作,验证密码技术应用的合规性、正确性与有效性,密码技术防护成为数据安全合规体系中的重要组成部分。
随着《办法》实施日期临近,涉及重要数据处理的政务、金融、能源、交通、医疗、互联网等行业主体,需同步对接数据安全风险评估与密评的双重合规要求,不少企业用户在落地过程中可能面临以下挑战:
部分企业难以精准判定自身数据是否属于重要数据范畴,也不易明确数据加密场景下密评的覆盖范围、执行标准与实施流程,容易出现评估缺项、标准适配不足等情况。
现有业务系统往往存在密码算法迭代不及时、密钥管理不规范、国密技术适配度不足等问题,改造过程中需要兼顾合规要求与业务连续性,对技术能力与项目实施经验要求较高。
数据安全风险评估与密评对应不同的监管规范与实施体系,企业若分别对接不同机构开展工作,可能出现重复测评、流程衔接不畅、整改周期拉长等问题,相应提升合规成本与管理复杂度。
作为首批全国性电子认证服务机构,天威诚信深耕行业多年,具备国家密码管理部门认可的相关商用密码服务资质,推出覆盖咨询规划、改造建设、评估配合、运维保障全环节的商用密码应用安全性评估服务方案,可协助企业同步对接数据安全风险评估与密评相关要求,推进密码防护能力建设。
方案严格依据《密码法》《商用密码管理条例》及GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等标准设计,从六大维度对系统密码应用情况开展系统性核查与适配建设:
天威诚信提供从前期咨询到后期运维的连贯服务,协助企业处理密评合规各环节工作。
《网络数据安全风险评估办法》的正式实施,进一步完善了我国数据安全监管体系,也凸显了商用密码在数据安全保护中的基础性支撑作用。对于重要数据处理者而言,提前布局密码能力建设、同步落实密评相关要求,既是履行合规义务的必要动作,也是强化数据安全防护能力的重要抓手。
天威诚信将持续深耕商用密码技术与服务领域,以成熟的密评服务方案,助力各行业企业衔接新规要求,以商用密码技术为支撑,强化数据全生命周期的安全防护能力。返回搜狐,查看更多
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
