近日,自然资源部印发了《自然资源领域数据安全管理办法》自然资发〔2024〕57号,(以下简称为《办法》),旨在规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。
《办法》由7大章节37项要求组成,要求自然资源部、国家林业和草原局及地方行业监管部门将数据安全纳入党委(党组)国家安全责任制,按照“谁管业务,谁管数据,谁管数据安全”的原则,落实本行业本地区本领域数据安全指导监管责任。
1、政策法规依据
《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》
2、《办法》适用范围
在中华人民共和国境内开展的,或在境外履行自然资源部门职责过程中开展的自然资源领域非涉密数据处理活动及其安全监管,应当遵守相关法律法规和本办法的要求。
3、自然资源领域数据范围
《办法》明确,自然资源领域数据是指在开展自然资源活动中收集和产生的数据,主要包括地理信息数据、自然资源调查监测数据、国土空间规划数据、自然资源管理数据,针对下列数据的处理者是指开展自然资源领域数据处理活动的自然资源行业各类单位。
· 地理信息数据
基础地理信息、遥感影像等
· 自然资源调查监测数据
土地、矿产、森林、草原、水、湿地、海域海岛等
· 国土空间规划数据
总体规划、详细规划、专项规划等
· 自然资源管理数据
用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等
4、政策法规依据
在国家数据安全工作协调机制统筹协调下,自然资源部承担自然资源行业、领域数据安全监管职责,负责督促指导各省、自治区、直辖市自然资源主管部门、海洋主管部门(以下统称地方行业监管部门)开展数据安全监管。国家林业和草原局具体承担森林草原、湿地荒漠等数据安全监管职责,参照本办法制定具体制度。
地方行业监管部门分别负责对本地区自然资源领域数据处理活动和安全保护进行监督管理。自然资源部、国家林业和草原局及地方行业监管部门统称为行业监管部门。
行业监管部门将数据安全纳入党委(党组)国家安全责任制,按照“谁管业务,谁管数据,谁管数据安全”原则,落实本行业本地区本领域数据安全指导监管责任。
自然资源部、国家林业和草原局推进自然资源领域数据开发利用和数据安全标准体系建设,组织开展相关标准制修订及推广应用。
天融信依照《办法》要求设计面向自然资源领域数据安全凯发官网入口首页的解决方案,以数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理三大能力,助力《办法》落地。
加强自然资源领域数据分类分级管理
第二章 数据分类分级管理
第八条 自然资源部组织制定自然资源领域数据分类分级、重要数据和核心数据识别认定、数据安全保护等标准规范,指导开展数据分类分级管理工作,编制行业重要数据和核心数据目录并实施动态管理。
第九条 根据行业特点和业务应用,自然资源领域数据分类类别包括但不限于地理信息、自然资源调查监测、国土空间规划、自然资源管理等。
通过对自然资源领域数据重要性、精度、规模、安全风险,以及数据价值、可用性、可共享性、可开放性等进行综合分析,判断数据遭到篡改、破坏、泄露或者非法获取、非法利用后的影响对象、影响程度、影响范围进行分级,分为一般数据、重要数据、核心数据。
天融信数据分类分级管理能力
依托天融信专业的服务团队及数据分类分级工具可精准识别自然资源领域数据资产,高效实现数据的分类分级并形成该领域重要数据和核心数据目录,为充分保障自然资源领域数据资产的合规性、安全性和可用性打下良好基础。
天融信累计承接了众多行业数据安全治理服务项目,形成了10余套行业化分类分级知识库。天融信服务团队通过前期基础调研对业务系统进行详尽资产梳理,制定分类分级指南、分类分级策略,利用分类分级系统实现对数据的自动打标处理和分类分级,打造自然资源领域数据资产态势。
天融信数据安全分类分级系统以自动扫描为主、人工手动配置为辅,可以实现自动化的数据分类分级管理,具备对静态数据、动态数据进行资源探测、数据发现、分类分级、数据资产可视化的能力,是数据分类分级及实施数据动态管理的专业得力助手。凭借在数据分类分级领域的技术创新与深厚积淀,天融信被列入gartner“数据分类分级领域”代表供应商。
护航自然资源领域数据全生命周期安全管理
第三章 数据全生命周期安全管理
第十二条 数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
(三)利用互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。
(四)在数据全生命周期的各环节,重要数据和核心数据处理者应当综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护,并按照法律法规和国家有关规定要求使用商用密码进行保护。
第十四条 数据处理者应当依据法律法规规定的方式和期限存储数据,可以从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面,加强数据存储安全管控,保障存储数据的完整性、保密性、真实性和可用性。
第二十三条 数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志,并采用商用密码技术保护日志的完整性。
天融信数据全生命周期安全管理能力
《办法》要求,自然资源行业数据处理者应根据数据的不同级别,采取相应的数据全生命周期安全管理措施。数据全生命周期安全管理能力建设不是单一的数据安全产品能力建设,而是应该建立一套完善的数据安全体系。
通过建立起符合自然资源行业数据全生命周期安全的保障体系,实现管理与技术的融合。从安全管理出发,明确管理组织和制度,为数据全生命周期的安全防护技术落地提供依据。通过数据安全服务与技术防护,满足自然资源行业的法律法规与数据安全要求,最终建立合规、有效的数据安全防护体系。
助推自然资源领域数据安全监测预警与应急管理
第四章 数据安全监测预警与应急管理
第二十四条 自然资源部按照国家相关标准和流程,组织建立自然资源领域数据安全风险监测机制,建立自然资源领域数据安全风险监测预警体系,划分数据安全风险和事件等级,组织建设数据安全监测预警技术手段,形成监测、溯源、预警、处置等能力,与相关部门加强信息共享。国家林业和草原局组织建立林草数据安全风险监测预警机制,划分林草数据安全风险和事件等级,组织建设林草数据监测预警技术手段。
第二十五条 自然资源部组织指导开展自然资源领域数据安全风险评估等工作。国家林业和草原局组织指导开展林草数据安全风险评估等工作。
第二十六条 自然资源部组织建立自然资源领域数据安全风险信息通报机制,统一汇集、分析、研判、通报数据安全风险信息。国家林业和草原局组织建立林草数据安全风险信息通报机制。
第二十七条 自然资源部组织制定自然资源领域数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。国家林业和草原局组织建立林草数据安全事件应急预案,组织协调重要数据和核心数据安全事件应急处置工作。
天融信数据安全监测预警与应急管理能力
在数据安全监测与应急管理方面,天融信能够从数据安全风险监测、数据安全风险评估、数据安全风险通报、数据安全应急预案四个维度帮助自然资源行业客户构建和完善数据安全能力。
1、在数据安全风险监测维度,天融信基于各类探针组成基础能力,结合威胁情报、ai智能分析引擎等技术,帮助客户进行海量安全数据深度分析,提供全面的安全保障能力,实时监测数据泄露、违规操作等风险行为,排查数据安全隐患。通过天融信数据安全管理平台,实现对关键业务场景的监测和数据流转监控,对数据安全风险进行监测告警,将数据安全风险降到最低。
2、在数据安全风险评估维度,提供覆盖风险识别、风险分析、风险评价三个阶段的数据安全风险评估服务,分析数据资源本身存在的脆弱性以及面临的安全威胁,有针对性地提出抵御数据安全威胁的防护对策和措施。
3、在数据安全风险通报维度,天融信采用“人 平台”的方式帮助自然资源行业客户建立数据安全运营机制,利用天融信数据安全管理平台,以数据全生命周期为视角,分析研判数据安全风险信息,及时通报并发布预警,多维度展示数据安全态势,构建自然资源数据安全指挥决策中心。
4、在数据安全应急预案维度,依托数据安全体系建设能力,天融信能够结合自然资源行业客户现状,协助客户完善数据安全应急响应预案,定义数据安全事件级别,明确数据安全事件处置流程,提升应急响应工作质效。
近年来,“数据安全”连续多年被写入政府工作报告,国家数据局成立、多省数据局密集揭牌,数据安全产业迎来加速期。作为网络安全行业领军企业,天融信将持续发挥自身在数据安全领域的优势和综合实力,积极投身于自然资源领域数据安全能力建设,不断创新推出高质量的产品、服务与综合凯发官网入口首页的解决方案,为提升我国自然资源领域的数据安全防护水平添砖加瓦。