为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
今天分享上海市知识产权保护中心试点工作经验,供大家学习参考。
以政策为导向,基于业务需求,不断探索数据全生命周期的管理实践经验
上海市知识产权保护中心积极参与本次网络数据安全风险评估试点工作,本次试点工作是一次学习和实践相结合的过程,作为数据系统的管理者和使用者,需要很多安全知识和理念来学习和充实自己。
要想开展网络数据安全风险评估工作,首先,相关政策法规要读懂、吃透,就有相当大的难度,想依靠单位自己的能力来完成本次评估工作基本是不可能的,就算勉强进行也很难达到预期目标。为此,我们委托专业第三方机构开展合作,由专业的单位给我们提供专业的服务。其次,对自己单位实际情况的了解是非常重要的,要知道自己需要什么样的帮助,在展开评估工作之前做好充分的准备工作,我们按要求制定了多达25项制度,其中有部分是针对评估工作的需要制定的,这部分制度所对应的评估内容就是我们单位所缺少和遗漏的内容,在数据保护中没有实施;其他是现有制度按照评估工作要求进行修订。根据试点实施情况,我们总结了三方面工作经验。
评估中需要提供大量的实施证明材料,需要各个部门协助提供,牵涉到人事部门、数据生成和使用部门、维保单位、数据合作单位等,包括各类的过程性文档的收集和整理,制度的制定签发文件的保存,各种系统、数据、功能修改的申请审批流程文件。证明操作合规的佐证材料都要在平时工作时进行点滴的收集,在评估过程中再收集这些材料就会造成资料收集不全的情况,我们在工作中应不断完善平时被忽略的过程性步骤及材料,“程序正义”在这一项评估中显得尤为重要,结果是一个顺其自然的产物。
评估过程中很多问题就是缺少佐证材料,包括操作记录、申请记录、审批记录、各类操作的审计记录、授权记录等,这是一项非常繁琐的工作。在日常工作中解决问题是第一目标,把问题解决才是王道,其他一切辅助性的工作都会被视为多余的动作,只会妨碍工作的效率;同时还会找各种借口来为自己不做相关的辅助工作进行辩解,这已经成为了工作的固定模式和方法。要勇于面对这种不注重细节的“固定模式和方法”,挑战自己的惰性,改变才会有突破,不破不立,从粗犷的以目的为导向的工作方式向注重细节的工作方式改变,也是提高我们网络数据安全工作质量的途径。
评估主体(保护中心内部各部门)、评估单位、维保单位、政务云运营商就已经是4个主体,在评估过程中,维保单位就是系统的开发商,所有系统的代码问题需要他们负责;而系统的网络、主机、安全防护、备份等是由政务云运营商负责;评估单位提出的问题或是发现的漏洞需要提供大量的证明材料来进行说明,遇到没法提供证明材料的需要协调运维商提供材料或是添加功能后再提供证明材料。在评估过程,后期整改过程中都需要与各单位各部门合作解决问题。通过评估,找出了问题发现了漏洞,就是为了更好的解决,问题该由哪个单位或部门解决、如何解决、什么时候能解决,一环扣一环,协调持续推进解决问题的重要性就凸显出来。在评估中,做好问题的分解、分辨责任主体、加强沟通协调、制定工作计划、结果复查,将每一步工作都做扎实、动作做到位,大部分的问题和漏洞都能得到有效的解决。
通过本次网络数据安全风险评估试点工作,中心由业务开展初期的注重系统防护转变为注重数据安全,针对评估发现的问题,不但加固了现有系统的数据安全,而且也积累了数据安全的制度架构、执行模式、工作流程的合理性,问题补救的及时性等一系列经验,进一步补齐了短板。例如,制定了数据删除相关制度,再如,在个人信息安全保护方面,正在研究梳理个人信息处理全流程情况,探索制定一套切实可行的全面覆盖个人信息收集、使用、保护、加工等规则的隐私政策,完善后适时在系统中推出。后续将在实践中不断完善、提高数据安全保护能力,并争取为今后市知识产权局其他信息系统的数据安全工作积累宝贵经验。
来源:网信上海