2025年1月1日，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（以下簡(jiǎn)稱《條例》）正式施行?！稐l例》是《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》下首個(gè)國務(wù)院正式發(fā)布的管理?xiàng)l例，屬于效力僅次于法律的行政法規(guī)，其重要性不言而喻。

數(shù)據(jù)保護(hù)關(guān)鍵要求

《條例》細(xì)化了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，對(duì)“行政法規(guī)”可以補(bǔ)充規(guī)定或另行規(guī)定的事項(xiàng)進(jìn)行補(bǔ)充性或創(chuàng)新性規(guī)定。在數(shù)據(jù)保護(hù)方面，《條例》強(qiáng)調(diào)了分類分級(jí)保護(hù)，要求企業(yè)采取必要的安全措施，制定應(yīng)急預(yù)案，監(jiān)測(cè)風(fēng)險(xiǎn)并及時(shí)處置。

遵循行業(yè)標(biāo)準(zhǔn)，前沿技術(shù)助力數(shù)據(jù)保護(hù)合規(guī)

隨著數(shù)據(jù)在企業(yè)發(fā)展中發(fā)揮越來越重要的作用，許多企業(yè)已經(jīng)認(rèn)識(shí)到了這些數(shù)據(jù)保護(hù)工作的重要性，在企業(yè)采用的NIST等標(biāo)準(zhǔn)框架中，有許多方面和《條例》的要求相契合。Commvault連續(xù)13次被評(píng)為Gartner企業(yè)級(jí)備份和恢復(fù)軟件解決方案魔力象限領(lǐng)導(dǎo)者，Commvault平臺(tái)遵循NIST框架，實(shí)現(xiàn)了從識(shí)別到恢復(fù)的全流程數(shù)據(jù)保護(hù)，為企業(yè)提供全面的數(shù)據(jù)保護(hù)支持。

分類分級(jí)保護(hù)

《條例》第五條明確，國家根據(jù)網(wǎng)絡(luò)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度對(duì)網(wǎng)絡(luò)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。第三十三條明確，重要數(shù)據(jù)的處理者應(yīng)當(dāng)每年度對(duì)其網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)開展風(fēng)險(xiǎn)評(píng)估，并向省級(jí)以上有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。

對(duì)較易涉及重要數(shù)據(jù)的行業(yè)，例如金融、醫(yī)療等敏感行業(yè)，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)按照國家有關(guān)規(guī)定識(shí)別、申報(bào)重要數(shù)據(jù)，履行網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)責(zé)任，并注意網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)評(píng)估的定期開展，以及風(fēng)險(xiǎn)評(píng)估報(bào)告的報(bào)送。

即使對(duì)于極熟悉業(yè)務(wù)的員工來說，敏感和關(guān)鍵數(shù)據(jù)的分類及評(píng)估也是一個(gè)龐雜的工作。NIST框架識(shí)別部分提出，企業(yè)應(yīng)當(dāng)理解自己所面臨的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)，讓企業(yè)得以確定自身風(fēng)險(xiǎn)管理策略和任務(wù)的優(yōu)先級(jí)。Commvault推出Risk Analysis風(fēng)險(xiǎn)分析功能，幫助客戶實(shí)現(xiàn)數(shù)據(jù)的自動(dòng)識(shí)別和分類，大幅簡(jiǎn)化分類分級(jí)保護(hù)的工作量，幫助企業(yè)及時(shí)發(fā)現(xiàn)和識(shí)別數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。

加強(qiáng)保護(hù)措施

在數(shù)據(jù)保護(hù)措施方面，《條例》強(qiáng)調(diào)應(yīng)當(dāng)采取必要措施。《條例》第九條明確，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)，建立健全網(wǎng)絡(luò)數(shù)據(jù)安全管理制度，采取加密、備份、訪問控制、安全認(rèn)證等技術(shù)措施和其他必要措施，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)免遭篡改、破壞、泄露。

隨著數(shù)字化轉(zhuǎn)型的發(fā)展，數(shù)據(jù)保護(hù)的關(guān)鍵性已經(jīng)成為行業(yè)共識(shí)。例如，制造業(yè)企業(yè)在數(shù)字化轉(zhuǎn)型的過程中，會(huì)采取數(shù)據(jù)保護(hù)措施確保自身的核心研發(fā)數(shù)據(jù)不丟失和泄露?！稐l例》將采取數(shù)據(jù)保護(hù)措施納入行政法規(guī)，要求企業(yè)進(jìn)一步重視數(shù)據(jù)保護(hù)措施的實(shí)施。NIST框架在保護(hù)部分提出，企業(yè)需要采取保護(hù)措施以防止意外事件的發(fā)生，包括身份管理、身份驗(yàn)證、訪問控制，人員培訓(xùn)，數(shù)據(jù)、平臺(tái)和技術(shù)基礎(chǔ)設(shè)施保護(hù)等等。Commvault采取CIS/STIG加固，幫助客戶加強(qiáng)了數(shù)據(jù)保護(hù)平臺(tái)及其訪問控制，并采用Air Gap數(shù)據(jù)隔離和存儲(chǔ)不可變等技術(shù)措施，有效實(shí)現(xiàn)數(shù)據(jù)防篡改。Commvault還不斷擁抱前沿技術(shù)，為客戶帶來簡(jiǎn)單、高效、安心的數(shù)據(jù)保護(hù)體驗(yàn)。目前，Commvault擁有超過1400項(xiàng)專利。

制定應(yīng)急預(yù)案

在數(shù)據(jù)保護(hù)管理體系方面，《條例》強(qiáng)調(diào)了制定應(yīng)急預(yù)案等制度流程?！稐l例》第十一條明確，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)急預(yù)案。第三十條明確，重要數(shù)據(jù)的處理者明確的網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)構(gòu)應(yīng)當(dāng)制定實(shí)施網(wǎng)絡(luò)數(shù)據(jù)安全管理制度、操作規(guī)程和網(wǎng)絡(luò)數(shù)據(jù)安全事件應(yīng)急預(yù)案。

隨著數(shù)據(jù)保護(hù)挑戰(zhàn)的演變，意外事件不可避免，企業(yè)的考慮角度已經(jīng)從意外事件“是否會(huì)發(fā)生”、“何時(shí)會(huì)發(fā)生”轉(zhuǎn)向“有多嚴(yán)重”。NIST框架在響應(yīng)部分包括事件的管理、分析、報(bào)告以及溝通。Commvault為客戶提供與網(wǎng)絡(luò)安全管理平臺(tái)集成的安全事件自動(dòng)告警和處理，幫助客戶及早發(fā)現(xiàn)異常，并實(shí)現(xiàn)IT運(yùn)維和安全運(yùn)維團(tuán)隊(duì)之間的良好協(xié)作。

風(fēng)險(xiǎn)監(jiān)測(cè)和及時(shí)處置

《條例》第三十條明確，重要數(shù)據(jù)的處理者明確的網(wǎng)絡(luò)數(shù)據(jù)安全管理機(jī)構(gòu)應(yīng)當(dāng)定期組織開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練、宣傳教育培訓(xùn)等活動(dòng)，及時(shí)處置網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)和事件。

企業(yè)如何確保自身能夠及時(shí)處置網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)和事件？應(yīng)急演練已經(jīng)成為常用方法。但對(duì)于采用混合基礎(chǔ)架構(gòu)的大型企業(yè)，全面的應(yīng)急演練涉及各種位置和工作負(fù)載，往往會(huì)受到環(huán)境和成本等多重限制。Commvault平臺(tái)支持跨本地和多云的數(shù)據(jù)恢復(fù)，并采用潔凈室恢復(fù)技術(shù)，幫助企業(yè)進(jìn)行定期恢復(fù)測(cè)試，確?；謴?fù)計(jì)劃的可用性，助力企業(yè)在混合環(huán)境中實(shí)現(xiàn)快速恢復(fù)。

此外，一家企業(yè)想要實(shí)現(xiàn)成功恢復(fù)，完善的備份數(shù)據(jù)必不可少。在日常的監(jiān)控和檢測(cè)方面，Commvault通過基于AI驅(qū)動(dòng)的自動(dòng)蜜罐部署和文件異常零日威脅監(jiān)測(cè)等技術(shù)實(shí)現(xiàn)統(tǒng)一的安全風(fēng)險(xiǎn)監(jiān)控，其Threat Scan威脅掃描技術(shù)可以對(duì)備份數(shù)據(jù)進(jìn)行定期的威脅識(shí)別和及時(shí)告警，并與主流的SOAR安全事件處理平臺(tái)集成，及時(shí)發(fā)現(xiàn)、處理和定期更新。

數(shù)據(jù)保護(hù)合規(guī)落地五步走

隨著《條例》的施行，企業(yè)也迎來了提升自身數(shù)據(jù)保護(hù)能力的契機(jī)。企業(yè)應(yīng)當(dāng)推進(jìn)自身數(shù)據(jù)保護(hù)的分級(jí)優(yōu)化與落實(shí)，加快數(shù)據(jù)保護(hù)管理體系的總體建設(shè)。對(duì)此，Commvault參考NIST 和全球客戶最佳實(shí)踐，提出數(shù)據(jù)保護(hù)合規(guī)的分階段落地建議：

1. 安全評(píng)估和咨詢：專業(yè)服務(wù)團(tuán)隊(duì)參考全球最佳實(shí)踐落地?cái)?shù)據(jù)保護(hù)合規(guī)咨詢?cè)u(píng)估，協(xié)助客戶調(diào)研數(shù)據(jù)保護(hù)現(xiàn)狀和風(fēng)險(xiǎn)評(píng)估，理解數(shù)據(jù)保護(hù)合規(guī)差距，進(jìn)行數(shù)據(jù)分級(jí)分類，并制定數(shù)據(jù)保護(hù)合規(guī)制度和規(guī)范。

2. 方案設(shè)計(jì)：結(jié)合全球領(lǐng)先的數(shù)據(jù)保護(hù)技術(shù)，參考《條例》要求和NIST CSF 2.0框架設(shè)計(jì)分步驟落地計(jì)劃和方案。

3. 基本數(shù)據(jù)保護(hù)方案落地：根據(jù)設(shè)計(jì)要求測(cè)試和選擇符合方案要求的產(chǎn)品和技術(shù)，覆蓋數(shù)據(jù)分級(jí)保護(hù)策略、數(shù)據(jù)防篡改、數(shù)據(jù)加密和數(shù)據(jù)保護(hù)監(jiān)控和告警。

4. 高級(jí)數(shù)據(jù)安全方案落地：加強(qiáng)數(shù)據(jù)保護(hù)方案，如Air Gap數(shù)據(jù)隔離保護(hù)、備份數(shù)據(jù)的威脅掃描和隔離、基于潔凈室的恢復(fù)驗(yàn)證。

5. 定期檢驗(yàn)和技術(shù)更新：定期的保護(hù)檢測(cè)、風(fēng)險(xiǎn)評(píng)估、保護(hù)培訓(xùn)和保護(hù)技術(shù)更新。

如今，數(shù)據(jù)是企業(yè)運(yùn)營(yíng)和社會(huì)發(fā)展的重要驅(qū)動(dòng)力，數(shù)據(jù)保護(hù)也受到了越來越多的關(guān)注。隨著2025年1月《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》正式施行，網(wǎng)信部門會(huì)加強(qiáng)監(jiān)管力度，統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)督管理工作，以確保企業(yè)滿足《條例》的監(jiān)管要求。增強(qiáng)數(shù)據(jù)保護(hù)和數(shù)據(jù)安全能力是企業(yè)在數(shù)字化時(shí)代保持競(jìng)爭(zhēng)力的應(yīng)時(shí)之舉，企業(yè)應(yīng)當(dāng)不斷提升自身數(shù)據(jù)保護(hù)治理，答好這道數(shù)字化時(shí)代的“必答題”。