網路安全法里的數據安全生命周期

1. 貴州省大數據安全保障條例

第一章總 則第一條為了保障大數據安全和個人信息安全，明確大數據安全責任，促進大數據發展應用，根據《中華人民共和國網路安全法》和有關法律、法規的規定，結合本省實際，制定本條例。第二條本省行政區域內大數據安全保障及相關活動，應當遵守本條例。

涉及國家秘密的大數據安全保障，還應當遵守《中華人民共和國保守國家秘密法》等法律、法規的規定。第三條本條例所稱大數據安全保障，是指採取預防、管理、處置等策略和措施，防範大數據被攻擊、侵入、干擾、破壞、竊取、篡改、刪除和非法使用以及意外事故，保障大數據的真實性、完整性、有效性、保密性、可控性並處於安全狀態的活動。

本條例所稱大數據是指以容量大、類型多、存取速度快、應用價值高為主要特徵的數據集合，是對數量巨大、來源分散、格式多樣的數據進行採集、存儲和關聯分析，發現新知識、創造新價值、提升新能力的新一代信息技術和服務業態。

本條例所稱大數據安全責任人，是指在大數據全生命周期過程中對大數據安全產生或者可能產生影響的單位和個人，包括大數據所有人、持有人、管理人、使用人以及其他從事大數據採集、存儲、清洗、開發、應用、交易、服務等的單位和個人。第四條大數據安全保障工作堅持總體國家安全觀，樹立正確的網路安全觀，按照政府主導、責任人主體，統籌規劃、突出重點，預防為主、綜合治理，包容審慎、支持創新，安全與發展、監管與利用並重的原則，維護大數據總體和動態安全。第五條大數據安全保障工作應當圍繞國家大數據戰略和省大數據戰略行動實施，建立健全大數據安全管理制度，建設大數據安全地方標准體系、大數據安全測評體系、大數據安全保障體系等，採取大數據安全攻防演練等安全保障措施，推動大數據安全技術、制度、管理創新和發展。第六條省人民政府負責全省大數據安全保障工作，市、州和縣級人民政府負責本行政區域內大數據安全保障工作。

開發區、新區管理機構根據設立開發區、新區的人民政府的授權，負責本轄區大數據安全保障的具體工作。第七條縣級以上有關部門按照下列規定，履行大數據安全保障職責：

（一）網信部門負責統籌協調、檢查指導和相關監督管理等工作；

（二）公安機關負責安全保護和管理、風險評估、監測預警、應急處置和違法行為查處等監督管理工作；

（三）大數據發展管理部門負責與大數據安全相關的數據管理、產業發展、技術應用等工作；

（四）通信管理部門負責電信網、公共互聯網運行安全監督管理等工作；

（五）保密行政管理部門負責保密監督管理等工作；

（六）密碼管理部門負責密碼監督管理等工作；

（七）其他部門按照有關法律、法規的規定和各自職責做好大數據安全保障工作。第八條省人民政府應當根據大數據發展應用總體規劃，編制大數據安全保障規劃；網信、公安、大數據發展管理等部門應當根據大數據安全保障規劃，編制本部門、本行業大數據安全保障專項規劃。第九條縣級以上人民政府應當建立大數據安全保障工作領導協調機制和責任機制，協調和指導本行政區域內大數據安全保障有關事項。

公安機關應當按照網路安全等級保護要求，會同有關部門制定大數據風險測評、應急防範等安全制度，加強對大數據安全技術、設備和服務提供商的風險評估和安全管理。第十條任何單位和個人都有維護大數據安全的義務，不得從事危害大數據安全的活動，不得利用大數據從事危害國家安全以及損害國家利益、社會公共利益和他人合法權益的活動。

對危害大數據安全或者利用大數據從事違法犯罪活動的行為，任何單位和個人都有權勸阻、制止、投訴、舉報。收到投訴舉報的部門應當依法及時查處，保護舉報人的合法權益；不屬於本部門職責的，應當及時移送有權處理的部門。第十一條鼓勵開展大數據安全知識宣傳普及、教育培訓，增強全社會大數據安全意識，提高大數據安全風險防範能力。第十二條鼓勵、支持成立大數據安全聯盟、行業協會等社會組織，開展行業自律、交流合作和安全技術研究等大數據安全工作。第二章安全責任第十三條實行大數據安全責任制，保障大數據全生命周期安全。

大數據安全責任，按照誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責以及誰採集誰負責的原則確定。

大數據基於復制、流通、交換等同時存在的多個安全責任人，分別承擔各自安全責任。

2. 網路安全法就網路數據安全制定了哪些重要制度

《網路安全法》出台的重大意義，主要表現在以下幾個方面：
一是構建我國首部網路空間管轄基本法。
作為國家實施網路空間管轄的第一部法律，《網路安全法》屬於國家基本法律，是網路安全法制體系的重要基礎。這部基本法規范了網路空間多元主體的責任義務，以法律的形式催生一個維護國家主權、安全和發展利益的「命運共同體」。具體包括，規定網路信息安全法的總體目標和基本原則；規范網路社會中不同主體所享有的權利義務及其地位；建立網站身份認證制度，實施後台實名；建立網路信息保密制度，保護網路主體的隱私權；建立行政機關對網路信息安全的監管程序和制度，規定對網路信息安全犯罪的懲治和打擊；以及規定具體的訴訟救濟程序等等。
此次《網路安全法》的出台從根本上填補了我國綜合性網路信息安全基本大法、核心的網路信息安全法和專門法律的三大空白。該法的推出走進了治理能力和治理體系現代化的總目標，走進了《國家安全法》的大格局，走進了網路強國的快車道，走進了大數據的新天地，走進了為人民謀福祉的總布局。
三是服務於國家網路安全戰略和網路強國建設。
現如今，網路空間逐步成為世界主要國家展開競爭和戰略博弈的新領域。我國作為一個擁有大量網民並正在持續發展中的國家，不斷感受到來自現存霸主美國的戰略壓力。這決定了網路空間成為我國國家利益的新邊疆；確立網路空間行為准則和模式成為我國的當務之急。現代國家必然是法治國家，國家行為的規制由法律來決定。而即將出台的《網路安全法》中明確提出了有關國家網路空間安全戰略和重要領域安全規劃等問題的法律要求。這有助於實現推進中國在國家網路安全領域明晰戰略意圖，確立清晰目標，釐清行為准則，不僅能夠提升我國保障自身網路安全的能力，還有助於推進與其他國家和行為體就網路安全問題展開有效的戰略博弈。
四是在網路空間領域貫徹落實依法治國精神。
十八屆四中全會通過了《中共中央關於全面推進依法治國若乾重大問題的決定》，為我國的國家治理體系和治理能力現代化指明了方向，也為網路空間治理提供了指南。依法治國，正蹄疾步穩地落到實處，融入到國家行政、社會治理與公民生活中的點點滴滴。與已經相對成熟的領域和行業相比，互聯網領域可以稱得上是蠻荒之地，因為互聯網的飛速發展才短短二十年左右，許多監管、治理手段都是後知後覺地根據問題進行後期的補充。但此次《網路安全法》破除重重障礙，撥雲見日，高舉依法治國大旗，開啟依法治網的嶄新局面，成為依法治國頂層設計下一項共建共享的路徑實踐。依法治網成為我國網路空間治理的主線和引領，以法治謀求網治的長治久安。《網路安全法》還考慮到網路的開放性和互聯性，加強法治工作的國際合作協調，讓人類共同面臨的網路犯罪無處遁形，通過科學有效、詳細的法律進行懲罰和約束，達到正本清源的目的。
五是成為網路參與者普遍遵守的法律准則和依據。
網路不是法外之地，《網路安全法》為各方參與互聯網上的行為提供非常重要的准則，所有參與者都要按照《網路安全法》的要求來規范自己的行為，同樣所有網路行為主體所進行的活動，包括國家管理、公民個人參與、機構在網上的參與、電子商務等都要遵守本法的要求。《網路安全法》對網路產品和服務提供者的安全義務有了明確的規定，將現行的安全認證和安全檢測制度上升成為了法律，強化了安全審查制度。通過這些規定，使得所有網路行為都有法可依，有法必依，任何為個人利益觸碰法律底線的行為都將受到法律的制裁。
六是助力網路空間治理，護航「互聯網+」。
目前，中國已經成為名符其實的網路大國。截至2016年6月，中國網民規模達7.10億。但現實的網路環境十分堪憂，網路詐騙層出不窮、網路入侵比比皆是、個人隱私肆意泄露。根據中國互聯網協會發布的《中國網民權益保護調查報告
（2015）》，63.4%的網民通話記錄、網上購物記錄等信息遭泄露；78.2%的網民個人身份信息曾遭泄露，因個人信息泄露、垃圾信息、詐騙信息等導致的總體損失約805億元。但此前其他關於網路信息安全的規定，大多分散在眾多行政法規、規章和司法解釋中，因此無法形成具有針對性、適用性和前瞻性的法律體系。《網路安全法》的出台將成為新的起點和轉折點，公民個人信息保護進入正軌，網路暴力、網路謠言、網路欺詐等「毒瘤」生存的空間將被大大擠壓，而「四有」中國好網民從道德自覺走向法律規范，用法律武器維護自己的合法權益。國家網路空間的治理能力在法律的框架下將得到大幅度提升，營造出良好和諧的互聯網環境，更為「互聯網+」的長遠發展保駕護航。市場經濟本質是信用經濟，其精髓在於開放的市場+完善的法律，從這種意義上講，「互聯網+」必須帶上「安全」才能飛向長遠。
法律依據：
《網路安全法》第二十一條：國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
（四）採取數據分類、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務。
《網路安全法》第三十一條：國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網路安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。

3. 網路安全法第38條明確要求關鍵信息基礎設施運營者應至少多久進行一次等級保護

關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估，並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

《中華人民共和國網路安全法》第三十八條關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估，並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

第三十九條國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施：

（一）對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估；

（二）定期組織關鍵信息基礎設施的運營者進行網路安全應急演練，提高應對網路安全事件的水平和協同配合能力；

（三）促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享；

（四）對網路安全事件的應急處置與網路功能的恢復等，提供技術支持和協助。

4. 數據安全治理邊界是什麼

數據安全治理是一個屬於綱領戰略性的概念，一般和數據安全管理放在一起做參照，以便於增進理解。但這兩個概念有所不同，在實際上，數據安全治理是在數據安全領域採取的戰略、組織、政策框架的集合。數據安全管理則主要側重於戰術執行層面。

本篇我們來聊聊數據安全治理相關的東西。

二、數據安全治理簡介
數據安全治理是企業為達成數據安全目標而採取的戰略、組織、政策的總和。

數據安全治理的需求來自於企業的戰略、所面臨的法律法規或監管層面的合規要求、業務面臨的風險等，目的是讓企業在市場中保持競爭優勢、法律合規以及數據的安全。

對於數據安全的目標，一般是保障數據的安全收集、安全使用、安全傳輸、安全存儲、安全披露、安全流轉與跟蹤，防止敏感數據泄露，並滿足合規要求。

同時，數據安全治理確定了邊界、改進方向，以及朝著目標方向前進所進行的戰略決策、組織架構設計、政策制定、監督等活動。

數據安全治理大致分為如下幾個子領域：

● 確定數據安全戰略。
● 數據安全組織的設計，確定權責邊界、監督與問責機制。
● 制定數據安全政策文件體系（含政策總綱、管理規定、標准規范、流程等）。

數據安全治理三要素：

● 戰略：數據安全的長期目標，可以長期指引大家工作的方向。具體包括差別防護、工作重心、生命周期保護等。
● 組織：主要是從業者技能職責認定、責任歸屬等。
● 政策：政策總綱確定整體的數據安全治理原則，並在管理層達成共識，這個政策總綱可以在組織內部自行制定，也可以選擇引入業界成熟的標准或框架。

數據安全管理三要素：

● 項目管理：圍繞戰略展開，通過項目建設支撐安全戰略。包括防禦基礎設施建設、運維基礎設施建設、支撐系統建設、流程/工具建設、業務數據安全改進項目等；
● 運營管理：圍繞組織展開，通過運營管理支撐組織職責、管理問責與績效考核。包括高層支持、管理者當責、跨部門協作配合、員工支持、數據分析與績效可視等；
● 風險管理：圍繞政策展開，通過風險管理支撐業務內外合規與風險可控。包括合規管理、安全開發生命周期管理、風險管理、業務連續性管理、應急預案預事件管理等。

三、數據治理的范圍
● 數據治理標的：角色和組織、數據線路、政策和標准、架構、合規、問題管理、項目和服務、數據資產評估、交流；
● 數據架構、分析和設計：企業數據建模、價值鏈分析、相關數據架構、邏輯建模、物理建模、建模標准、模型管理；
● 資料庫管理：資料庫設計、資料庫執行、支持和恢復、績效和優化、歸檔和清除、技術管理；
● 數據安全管理：數據隱私標准、保密分類、密碼實務、用戶或小組和觀點管理、用戶身份驗證、數據安全審計；
● 數據質量管理：質量要求規范、質量側寫和分析、數據質量提升、數據認證和審計；
● 參考和主數據管理：數據整合架構、參考數據管理、用戶數據整合、產品數據整合、維度管理；
● 數據倉庫和企業情報管理：數據倉庫/企業情報架構、數據倉庫/集市執行、企業情報執行、企業情報培訓和支持、監測和優化；
● 文件、記錄和內容管理：電子文件管理、物理記錄和文檔管理、信息內容管理；
● 元數據管理：用戶和需求、架構和標准、抓取和整合、知識庫管理、詢問和報告、分配和發送；

四、安全項目管理
項目管理主要包括為支撐數據安全戰略而發起的各種建設性項目，如安全防禦基礎設施、安全運維基礎設施、支撐系統、流程、工具，以及重大的安全改進項目。

為了保障安全架構能力在各業務線的落地，安全團隊最好能夠提供統一的數據安全管理系統，或者將數據安全管理功能融入數據管理平台或中台。

數據安全管理系統功能參考：

● 提供數據分級分類信息、數據對應的CMDB、數據安全負責人、業務線安全介面人等信息的登記。
● 數據的許可權申請，含許可權明細、有效期等。
● 數據流轉的審批或登記。
● 數據生命周期狀態的跟蹤，直至數據銷毀。
● 內外部合規要求與改進指引。
● 使用數據的業務登記。
● 設計數據安全檢查表（Checklist），使用數據的業務，對照合規要求與改進指引，執行自檢並保存檢查結果，可以用於對業務進行設計合規性的度量。
● 風險數據（基於安全的掃描或檢測方法，可視化展示各業務的風險）。
● 改進計劃與改進進度的展示與跟蹤。

數據安全管理系統可以視為數據安全的儀表盤，讓大家直觀地感受到當前的數據安全風險現狀及改進趨勢，系統提供的數據可直接作為向上匯報的數據來源。

五、安全運營管理
安全運營管理，即日常運營活動的管理，包括了5個層面。

1、高層支持

數據安全治理是一個需要高層支持的工作。要獲得高層的支持，一般需要通過匯報來進行，那麼，應該匯報什麼內容，以及希望獲得什麼樣的支持呢？通常來說，需要包括以下點：

● 法律法規、監管、合同的要求。其中，以法律法規的強制性要求最為權威。比如《網路安全法》明確規定了網路產品、服務提供者有修復漏洞或安全缺陷的義務。
● 違法的處罰，比如違反《網路安全法》要求拒不修復漏洞，最高可罰款50萬元，導致嚴重個人信息泄露事件的最高可罰100萬元等。
● 風險現狀的總結與分析，含風險等級以及對公司的影響。
● 業界的實踐經驗參考，主要包括本行業內的頭部企業是怎麼做的。
● 下一步計劃、對公司的意義，以及希望得到的支持，比如建議由高層發起，啟動業務改進項目，這一行動在達成合規的同時，將贏得市場的競爭優勢地位。

2、管理者當責

安全運營團隊需要通過適當的方式，將此類問題暴露出來並同步到業務管理層。可以採用的方式有風險數據統計與分析、各業務線的改進得分排名等。

必要時，也需要針對領導不當責、不嚴格要求團隊或團隊負責的業務綜合安全風險長期居高不下的情況，向更高級別的管理層提出，供管理問責參考。

3、跨部門協作配合

良好協作的前提是構建信任，作為安全運營，需要幫助業務真正地解決問題，建立信任，比如主動解決業務的求助、主動輸出培訓、主動輸出案例與解決方案分享、及時提供技術支持等。

在進行總結匯報時，也要注意分享利益，提及合作團隊為克服什麼樣的困難而做出的努力，感謝合作團隊的付出。在申請項目獎項時，主動納入各協作團隊的同事。

4、員工支持

在企業內部推行數據安全時，不是發幾個通知就能完成的，也離不開持續的宣傳、教育、培訓、推廣等活動，逐步將數據安全的理念深入人心，將數據安全的最佳實踐在內部達成共識。

5、數據分析與績效可視

安全運營的一項重要工作，就是對風險度量數據進行分析總結，用於匯報、溝通，發現需要重點關注的問題，以及展示團隊取得的成果，讓高層滿意。度量數據按照團隊進行聚合，比如針對選取的風險指標，給各業務線進行打分和排名，以及輸出改進的變化趨勢，用於評價各團隊的績效。

六、合規風險管理
數據安全合規與風險管理，其目的是為了支撐數據安全治理中的政策總綱與框架，將政策總綱與框架中的原則和精神在日常的產品開發與業務活動過程中落地。

合規與風險管理可以概括為：定政策、融流程、降風險

● 定政策：是指合規管理，包括建立並完善內部政策，使之符合法律法規的要求並作為內部風險改進的依據，以及合規認證與測評，促進合規政策體系改進、業務改進。

● 融流程：是指將安全活動在流程中落地，如果將安全要素融入產品開發與發布相關流程，可保障產品全生命周期的安全性。如果將安全相關要求融入業務流程，可保障業務活動的安全合規。

● 降風險：是指風險管理，就是以內部政策為依據，在流程中以及日常活動中，評估、識別、檢測各業務的數據所面臨的風險，根據嚴重程度對其定級，確定風險處置的優先順序，並採取風險控制措施降低風險，防止風險演變為事故，以及對風險進行度量，提升整體數據安全能力。

七、SDL核心工作
這一部分主要是為了支撐融流程。

1、安全培訓
產品是由人來設計、開發、測試、實施的，參與人員的安全能力和安全意識，不可避免地影響所交付產品的安全性。所以安全團隊的日常運營工作還包括持續的宣傳、培訓、推廣等活動。

2、安全評估
評估就是主動識別產品可能的缺陷、漏洞、不合規等風險，評估的形式包括但不限於：

● 方案架構設計的評估，可通過同行評審、自檢等方式完成。
● 代碼漏洞的主動發現，可通過代碼審計工具來完成。
● 安全測試，可通過掃描、測試用例、滲透測試等方式完成。
● 合規性評估，如隱私保護措施是否符合所有適用法律法規的要求。

八、風險管理
這一部分主要是為了支撐降風險。對於風險管理，可以使用安全架構的5A方法論，來審視產品的架構安全性。

7.1、風險評估
以涉及敏感數據的業務為評估對象，來評估其安全性。如果是普通業務，相應的控制措施可以適當放寬

5. 中華人民共和國網路安全法保存期限

1.《中華人民共和國網路安全法》

2017年6月1日起施行的《中華人民共和國網路安全法》第二十一條規定，「採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月。」依據此條款，包含個人信息的相關網路日誌至少需要保存六個月。

2.《中華人民共和國電子商務法》

2019年1月1日起施行的《中華人民共和國電子商務法》第三十一條規定，「商品和服務信息、交易信息保存時間自交易完成之日起不少於三年。」依據此條款，對於電子商務平台經營者來說，包含個人信息的交易信息保存期限應該不少於三年。

3.《徵信業管理條例》

2013年3月15日起施行的《徵信業管理條例》第十六條規定，「徵信機構對個人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應當予以刪除。」依據此條款，對於個人不良信息保存期限超過5年的應予以刪除。《中華人民共和國網路安全法》是為了保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定的法律。

該法由全國人民代表大會常務委員會於2016年11月7日表決通過，自2017年6月1日起施行2017年6月1日起《中華人民共和國網路安全法》（下文簡稱《網路安全法》）正式實施，從宏觀的層面來講，這意味著網路安全同國土安全、經濟安全等一樣成為國家安全的一個重要組成部分；從微觀層面來講，意味著網路運營者（指網路的所有者、管理者和網路服務提供者）必須擔負起履行網路安全的責任。

《網路安全法》是我國第一部全面規范網路空間安全管理方面問題的基礎性法律，並對「網路（Cyber）」進行了重新定義，是指「由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統」，其涵義外延更大。既然作為基本法，與之前看到的各部門規章有著本質區別，它明確提出不履行相應的責任與義務，都將會受到法律的處罰。處罰也從不同角度進行了細化和明確，特別是會對主管人員或直接負責人員進行處罰，構成犯罪的會依法追究刑事責任。

6. 數據安全的哪些案例，可以看

大數據安全威脅滲透在數據生產、流通和消費等大數據產業的各個環節，包括數據源、大數據加工平台和大數據分析服務等環節的各類主體都是威脅源。」上海社科院信息所主任惠志斌向記者分析稱，大數據安全事件風險成因復雜交織，既有外部攻擊，也有內部泄密，既有技術漏洞，也有管理缺陷，既有新技術新模式觸發的新風險，也有傳統安全問題的持續觸發。

5月27日，中國互聯網協會副秘書長石現升稱，互聯網日益成為經濟社會運行基礎，網路數據安全意識、能力和保護手段正面臨新挑戰。

今年6月1日即將施行的《網路安全法》針對企業機構泄露數據的相關問題，重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任，即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。

石現升介紹，實際早在2015年國務院就發布過《促進大數據發展行動綱要》，就明確要「健全大數據安全保障體系」、「強化安全支撐，提升基礎設施關鍵設備安全可靠水平」。

「目前，很多企業和機構還並不知道該如何提升自己的數據安全管理能力，也不知道依據什麼標准作為衡量。」一位業內人士分析稱，問題的症結在於國內數據安全管理尚處起步階段，很多企業機構都沒有設立數據安全評估體系，或者沒有完整的評估參考標准。

「大數據安全能力成熟度模型」已提國標申請

數博會期間，記者從「大數據安全產業實踐高峰論壇」上了解到，為解決此問題，全國信息安全標准化技術委員會等職能部門與數據安全領域的標准化專家學者和產業代表企業協同，著手制定一套用於組織機構數據安全能力的評估標准——《大數據安全能力成熟度模型》，該標準是基於阿里巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。

圖說：阿里巴巴集團安全部總監鄭斌介紹DSMM。

作為此標准項目的牽頭起草方，阿里巴巴集團安全部總監鄭斌介紹說，該標準是阿里巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿，旨在與同行業分享阿里經驗，提升行業整體安全能力。

「互聯網用戶的信息安全從來都不是某一家公司企業的事。」鄭斌稱，《大數據安全能力成熟度模型》的制訂還由中國電子技術標准化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿里雲計算有限公司等業內權威數據安全機構、學術單位企業等共同合作提出意見。

一位數據安全研究人員分析，企業要提升數據安全管理能力，首先就得認清自身數據保護能力水平，再對症下葯彌補缺失和短板，而該標准正是針對大多數企業普遍存在的，不了解或不清楚自身數據安全管理能力的問題。

從標准架構來看，會從組織機構數據採集、存儲、傳輸、處理、交換和銷毀六個數據生命周期，就企業組織建設、制度流程、技術工具和人員能力四個關鍵能力維度，至少30多個安全域進行全方位考核評估，最終將組織機構的數據安全能力劃分非正式執行、計劃跟蹤、充分定義、量化控制和持續優化，1級至5級的能力成熟等級，等級越高意味數據安全能力越強。

7. 網路數據安全生命周期分為

分為中個階段

數據生命周期管理是一種基於策略的方法,用於管理信息系統的數據在整個生命周期內的流動:從創建和初始存儲,到它過時被刪除。

8. 《中華人民共和國網路安全法》中,網路數據是指什麼

網路數據提供交換數據，是人們共享信息和資源

9. 數據安全法解讀是什麼

解讀1：堅持以數據開發利用和產業發展促進數據安全

當前數字經濟的蓬勃發展正成為我國在國際環境中的核心競爭力。《數據安全法》鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展，增進人民福祉。

我國堅持維護數據安全與促進數據開發利用並重，互相促進。《數據安全法》的正式實施將為我國在國際數據經濟市場中提供堅實有力的保障。

解讀2：深化數據安全體制建設

在大數據時代背景下，政務、社會、城市數字化轉型快速發展，依據本法建立數據安全管理制度，明確數據責任主體，從統一化及可落地性出發。

結合現有數據業務建設需求和建設情況，遵從整體策略方針，全面優化管理體制，為我國數字化轉型的健康發展提供法治保障，為構建智慧城市、數字政務、數字社會提供法律依據。

解讀3：數據安全監管制約

《數據安全法》明確了數據管理者和運營者的數據保護責任，指明了數據保護的工作方向，對整個信息安全產業都帶來了積極的影響，全面消除數據管理者和運營者在數據安全建設中的盲區，數據安全建設有法可依，數據安全事故造成的損失有法可懲，這對促進經濟社會信息化健康發展，保護公民、組織的合法權益具有非常大的價值。

《數據安全法》以人為本，鼓勵對違法行為的投訴舉報，對投訴、舉報人的相關信息予以保密，並充分考慮老年人、殘疾人的需求，維護每一個公民的合法利益。

解讀4：深度覆蓋的全場景數據安全評估與防護要求

《數據安全法》特別指出「關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據，實行更加嚴格的管理制度。」核心數據安全監督與管理、評估與防護建設刻不容緩。

《數據安全法》提出對數據全生命周期各環節的安全保護義務，加強風險監測與身份核驗，結合業務需求，從數據分級分類到風險評估、身份鑒權到訪問控制、行為預測到追蹤溯源、應急響應到事件處置，全面建設有效防護機制，保障數字產業蓬勃健康發展。

解讀5：加大政務數據開放共享中的安全機制

《數據安全法》針對政務數據開發利用做出了明確的指示，要求省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃，加強數據開放共享的安全保障措施，建立統一規范、互聯互通、安全可控的機制，利用數據安全運營，提升數據服務對經濟社會穩定發展的效果。

《數據安全法》的發布促進數據安全的保障力度和執法強度，對數字化轉型中的政務數據應用起到關鍵性的作用。數字經濟市場空間巨大。

解讀6：加大違法處罰力度

《數據安全法》對數據安全違法行為賦予了多項處罰說明，對違反國家核心數據管理制度，危害國家主權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款，並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。

10. 中華人民共和國網路安全法所指數據處理包括數據的

法律分析：數據處理包括數據的分類、重要數據備份和加密。

法律依據：《中華人民共和國網路安全法》 第二十一條 國家實行網路安全等級保護制度 網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：（四）採取數據分類、重要數據備份和加密等措施。