Datasecurityresearchreport 2022-10 数说安全研究院有限公司 数据安全市场研究报告 关键经营数据分析——现金流健康度继续下降 •目录 数据安全背景与政策 数据安全市场发展概况 重点行业数据安全市场需求分析 数据安全市场供给分析 总结 河南数说安全研究院有限公司 关键经营数据分析——现金流健康度继续下降 数据安全背景与政策 1 •数据安全新旧定义 2 •等级保护标准下的数据安全要求 3 •数字经济上升为国家重要发展战略 4 •《数据安全法》颁布,数据安全新时代到来 5 •数据安全法律体系及标准体系逐步完善 河南数说安全研究院有限公司 关键经营数据分析——现金流健康度继续下降 •数据安全的新旧定义 在网络架构相对简单的早期,数据一般只在服务器、网络和办公电脑之间流存,因此数据安全通常被定义为数据库安全和内部数据防泄漏,通过如设置数据库权限、复杂密码等方式保护好数据库,通过规范员工行为、文档加密等方式防止内部数据泄漏。 随着互联网的快速发展,信息化程度的不断提升和数据时代的到来,数据的流存节点和区域变得繁杂,流动量呈现指数级增长,使用方式也不断多样化,原有的保护方式已无满足当下的安全需求,数据安全作为独立的安全体系被重新定义。 《中华人民共和国数据安全法》的第三条中,给出了新的数据安全定义:数据,是指任何以电子或者其他方式对信息的记录。 数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 数据安全和网络安全的边界: 狭义的网络安全(NetworkSecurity)是以网络为中心安全体系,使用防火墙、网络访问控制、分布式拒绝服务攻击等防护手段,强调节点和区域的保护形式。随着云、网、端的不断延伸,网络安全(NetworkSecurity)的概念逐步拓展至网络空间安全 (CyberspaceSecurity),也就是广义的网络安全,泛指一切处于通信网络覆盖下的安 销毁采集 全体系。 新的数据安全(dataSecurity),是指以数据为中心的安全体系,以数据的采集、传输、存储、处理(使用)、交换(共享)、销毁等覆盖全生命周期的安全为目标,侧 重于从数据产生到销毁的全生命周期的保护,保护方式类似于伴随数据全生命周期的安 交换数据生命周期传输 保人员,强调数据的所有权、管辖权、隐私权等。 处理存储 河南数说安全研究院有限公司 关键经营数据分析——现金流健康度继续下降 •等级保护标准下的数据安全要求 过去,我国数据安全建设包含在网络安全的建设之中,以满足等级保护规范要求为主要标准,围绕数据库保护、数据防泄漏、数据脱敏等展开。 以大多数企业需要满足的等级保护2.0中的第三级安全要求为例,对其中与数据安全相关性较高的标准进行梳理,“边界防护、访问控制、安全审计、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护、审查与检查、密码管理、安全事件处置”等构成了在等级保护标准体系下的数据安全要求,也因此形成了围绕数据库保护和数据防泄漏为中心的“数据库防火墙、数据库审计、数据防泄漏,数据脱敏,容灾备份”等主要产品,及相应的管理制度、审查办法和安全运维。 等级保护2.0通用安全要求 要求类型 一级标题 次级标题 通用安全要求 安全通信网络 通信传输 安全区域边界 边界防护、访问控制、安全审计 安全计算环境 访问控制、安全审计、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护 安全管理中心 系统管理、审计管理、安全管理、集中管控 安全管理制度 安全策略、管理制度 安全管理机构 审查和检查 安全运维管理 介质管理、网络和系统安全管理、密码管理、备份与恢复管理、安全事件处置、紧急预案管理、外包运维管理 等级保护2.0扩展安全要求 要求类型 对象 次级标题 项目 扩展安全要求 云计算 安全区域边界 访问控制、安全审计 安全计算环境 访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护 安全管理中心 集中管控 移动互联网 安全区域边界 边界防护、访问控制 物联网 安全计算环境 网关节点设备安全、抗数据重放、数据融合处理 工业控制系统 安全通信网络 通信传输 安全区域边界 访问控制、无线使用控制 安全计算环境 控制设备安全 河南数说安全研究院有限公司 关键经营数据分析——现金流健康度继续下降 •数字经济上升为国家重要发展战略 近年来,政策规划不断加强对数字经济和数据要素的指导及要求,数据要素和数字经济的重要性不断提升。 2021年12月国务院印发《“十四五”数字经济发展规划》,指出数字经济成为继农业经济、工业经济之后的主要经济形态,是重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量,要求到2025年,数字经济迈向全面扩展期,数字经济核心产业增加值占GDP比重达到10%。数据作为数字经济时代下的基础性资源和战略性资源,是决定国家经济发展水平和竞争力的核心驱动力。 发展数字经济正式上升为国家重要发展战略,数据安全则成为保障数字经济健康发展的重要基石。 发展数字经济的战略规划文件 时间 文件名称 数据关键内容 数据安全关键内容 2020年4月9 日 《关于构建更加完善的要素市场化配置体制机制的意见》 将数据列为生产要素并强调要加快数据要素市场的培育。 加强数据资源整合和安全保护:制定数据隐私保护制度和安全审查制度,推动完善适用于大数据环境下的数据分类分级安全保护制度。 2021年11月30日 《“十四五”大数据产业发展规划》 加快培育数据要素市场,完善数据要素产权性质、建立数据资源产权相关基础制度和标准规范、培育数据交易平台和市场主体。 筑牢数据安全保障防线:加强数据安全管理,加大对重要数据、跨境数据安全的保护力度,提升数据安全风险防范和处置能力,做大做强数据安全产业,加强数据安全产品研发应用。 2021年12月12日 《“十四五”数字经济发展规划》 优化升级数字基础设施,充分发挥数据要素作用,大力推进产业数字化转型,加快推动数字产业化,提升数字化公共服务水平,完善数字经济治理体系。 提升数据安全保障水平:依法依规加强政务数据安全保护,做好网络安全审查,云计算服务安全评估,增强重点行业数据安全保障能力,进一步强化个人信息保护,规范身份信息、隐私信息、生物特征信息的采集、传输和使用,加强对收集使用个人信息的安全监管能力。 河南数说安全研究院有限公司 关键经营数据分析——现金流健康度继续下降 •《数据安全法》颁布,数据安全新时代到来 2021年6月10日《数据安全法》颁布,并于2021年9月1日正式施行,作为数据领域的纲领性和基础性法律,以准确定义数据、数据处理、数据安全为出发点,提出解决数据全生命周期中的数据安全问题,达到数据开发利用、产业发展和数据安全相互促进的目标,重新改写了数据安全的定义,标志着数据安全新时代的到来。 随着数据的价值被不断认知,数据的应用场景不断拓宽,数据的安全问题也不断放大,数据攻击、数据泄露、个人信息滥用等数据安全问题日益加剧,给社会各领域数字化转型的持续深化带来了严重威胁(2020年全球数据泄漏达到360亿条,创历史新高,其中个人隐私信息泄露事件更是超出过去15年总和,数据诈骗、大数据杀熟和个人生物特征信息滥用等多类危害国家政府安全和个人合法权益的事件层出不穷),为保障国家数字经济健康有序的发展和个人及组织的合法权益,提高数据安全风险防控能力,《数据安全法》、《网络安全法》和《个人信息保护法》三部上位法相继颁布。 全国人民代表大会通过颁布 河南数说安全研究院有限公司 2017年6月施行 鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展;明确网络运营者和关基设施运营者应做好数据分类、重要数据备份、加密和重要数据境内留存等措施,防止数据泄露或者被窃取、篡改; 明确相关法律责任及处罚措施。 2021年9月施行 明确数据的定义和边界,促进以数据为关键的数字经济发展;明确建立健全数据分类分级制度,安全审查制度,风险评估、检测预警等机制,促进数据安全监测评估、认证的发展,建立数据交易管理制度等,加强数据出境的监管; 明确数据处理者和关基设施运营者的应建立全流程数据安全管理制度,做好数据安全保护、监测、应急处置和风险评估等措施。 进一步明确数据安全相关的责任,细化相应处罚措施。 2021年11月施行 构建完整的个人信息保护框架,采取分级保护制度; 进一步细化、完善个人信息处理活动中个人的权利,及处理者的原则、要求和权利、义务; 明确个人信息跨境提供规则; 明确相关法律责任及处罚措施。 关键经营数据分析——现金流健康度继续下降 •数据安全法律体系逐步完善,上位政策加速出台 伴随数据安全及相关上位法的相继颁布,数据安全上位政策也在加速出台,数据安全法律体系正在加速建立。 明确数据收集应制定并公开收集使用规则,提出收集动作和规则制定的相关要求。明确数据处理使用时,应参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。 明确国家主管部门和网络运营者应对数据安全进行监督管理。 明确了网络安全数据安全标准体系框架; 明确需要建立基础共性标准、关键技术标准、安全管理标准和重点领域标准。 规定数据处理者向境外提供重要数据和个人信息,应进行安全评估,并明确相关要求。 给出了网络数据分类分级的原则、框架和方法,可用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考。 《数据安全管理办法(征求意见)》2019年5月28日 《网络数据安全标准体系建 设指南(征求意见稿)》 2020年4月10日 《数据出境安全评估办 法(征求意见稿)》 2021年10月29日 《网络安全标准实践指南— ——网络数据分类分级指引》 2021年12月31日 2019年6月13日 《个人信息出境安全评估 办法(征求意见稿)》 2021年9月1日 《关键信息基础设施安全保护条例》 2021年11月14日 《网络数据安全管理条例(征求意见稿)》 规定网络运营者向境外提供个人信息,应进行安全评估,并明确相关要求。 明确运营者应履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度,发生关键信息基础设施重要数据泄露、较大规模个人信息泄露、特别重大网络安全事件或者发现特别重大网络安全威胁时,及时向国家网信部门、国务院公安部门报告。 明确建立数据分类分级保护制度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。明确对数据处理者的一般规定,和涉及个人信息、重要数据及数据跨境时的要求;明确互联网平台运营者的义务;明确国家部门的监督管理责任和内容; 明确法律责任和处罚制度。 河南数说安全研究院有限公司 关键经营数据分析——现金流健康度继续下降 •数据安全标准体系加速建立,行业和地方规范标准密集落地 安全发展、标准先行,标准化工作是保障网络数据安全的重要基础,近年来各行业、地方的数据安全标准规范密集落地,加紧制定,数据安全逐步迈入有法可依,有据可查的强监管时代。 《基础电信企业数据分类分级方法》 《电信运营商大数据安全管控分类分级技术要求》 《基础电信企业重要数据识别指南》 《电信网和互联网数据安全通用要求》 《电信和互联网行业数据安全标准体系建设指南》 《电信网数据泄露防护系统(DLP)技术要求》 《电信大数据平台数据脱敏实施方法》 《电信网和互联网数据安全评估规范》 《电信网和互联网数据安全评估实施技术要求》 《电信运营维护管理数据的管理技术要求》 《电信网和互联网数据安全风险评估实施方法》 …… 电信行业 《金融数据安全分级指南》 《个人金融信息保护技术规范》 《金融