自然资源部发布数据安全管理办法,要求加密保护各环节数据!
自然资源领域数据安全对于国家安全、经济发展和社会稳定具有重要意义。数据资产,作为经济社会数字化转型进程中的新兴资产类型,正日益成为推动数字中国建设和加快数字经济发展的重要战略资源。自然资源数据是构成数字国土空间的基础要素,是数字中国建设各领域最丰富、最复杂、最具时空特征的数字资产,保障自然资源数字资产安全是推进数字中国建设的重要举措。
2024年3月22日,自然资源部印发了《自然资源领域数据安全管理办法》(简称为“《管理办法》”),标志着自然资源领域数据安全管理尤其是重要数据管理制度逐项落地。
链接:自然资源领域数据安全管理办法(全文及解读)
《管理办法》的出台是积极响应落实《数据安全法》要求,是数据安全监管的垂直化趋势进一步显现。《数据安全法》第六条要求,“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。”《数据安全法》第二十一条进一步要求各部门制定重要数据目录,加强对重要数据的保护;且各部门应当按照数据分类分级保护制度,确定本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。《管理办法》主要针对的是履行自然资源部门职责过程中开展的自然资源领域非涉密数据处理活动及其安全监管,进一步细化了自然资源领域的数据安全要求,为相关数据处理活动提供了明确的指导和规范。
《管理办法》全文共七章三十七条。总体来说,《管理办法》明确了适用范围,确保政策的有效实施,还清晰划分了自然资源领域行业监管部门在数据安全监督方面的责任,确保了监督管理的科学性和严谨性。同时,从数据分类分级管理、数据全生命周期安全管理以及数据安全监测预警与应急管理等方面,对数据处理者提出了具体而明确的管理与技术要求,以确保数据安全工作的规范性和有效性。
《管理办法》明确要求使用商用密码技术保护自然资源领域数据安全。
《管理办法》五次提到密码相关要求。
一是将《密码法》与《数据安全法》《网络安全法》《个人信息保护法》一道作为制定的法律依据;
二是在互联网等信息网络开展数据处理活动时,要落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求;
三是在数据全生命周期的各环节,应当综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护,并按照法律法规和国家有关规定要求使用商用密码进行保护;
四是数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施;
五是数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志,并采用商用密码技术保护日志的完整性。
在《管理办法》中,密码技术被赋予了保护自然资源领域数据安全的重要使命,五次提及的密码相关要求,从法律依据的明确,到数据处理活动的规范,再到数据全生命周期的安全保护,进一步印证了密码技术保护自然资源数据安全的重要凸显。