数据库系统管理与应用 课件 知识点6.1 数据安全管理相关法律法规及安全标准认知

数据安全管理相关法律法规及标准数据库系统管理与应用

习标学目相关法律法规01相关标准和规范02数据安全管理规范实例03相关法律法规011相关法律法规为保障网络安全，规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，国家先后出台了《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《网络安全审查办法》等法律法规，对网络行为、数据处理活动等进行规范，共同构成我国信息安全的法律框架。《中华人民共和国网络安全法》《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定，由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。1相关法律法规《中华人民共和国网络安全法》《中华人民共和国网络安全法》有以下几个方面值得特别关注：一是确定网络空间主权原则、网络安全与信息化发展并重原则、网络空间安全共同治理原则，二是提出制定网络安全战略，明确网络空间治理目标，提高了我国网络安全政策的透明度；三是明确了网信部门与其他相关网络监管部门的职责分工，完善了网络安全监管体制；四是强化了网络运行安全，重点保护关键信息基础设施；五是完善了网络安全义务和责任，加大了违法惩处力度；六是将监测预警与应急处置措施制度化、法制化。1相关法律法规《中华人民共和国数据安全法》《中华人民共和国数据安全法》于2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过，并于2021年9月1日起正式实施。《中华人民共和国数据安全法》作为我国第一部专门规定“数据”安全的法律，明确了对“数据”的规制原则。

一是明确将数据安全上升到国家安全范畴，明确“维护数据安全，应当坚持总体国家安全观”，并将“维护国家主权、安全和发展利益”写入本法的立法目的条款中。

二是建立重要数据和数据分级分类管理制度，“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。1相关法律法规《中华人民共和国数据安全法》三是完善数据出境风险管理。

四是明确规定数据安全保护义务，建立健全全流程数据安全管理制度，组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构，进一步落实数据安全保护责任主体。

对出现缺陷、漏洞等风险，要采取补救措施：发生数据安全事件，应当立即采取处置措施，并按规定上报。并要求企业定期开展风险评估并上报风评报告。针对数据服务商或交易机构，要求其提供并说明数据来源证据，要审核相关人员身份并留存记录。数据服务经营者应当取得行政许可的，服务提供者应当依法取得许可。《数据安全法》还明确要求企业依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据，未经批准，不得提供。1相关法律法规《网络安全审查办法》《网络安全审查办法》于2021年11月16日经国家互联网信息办公室2021年第20次室务会议审议通过，自2022年2月15日起施行。《网络安全审查办法》将网络平台运营者开展数据处理活动影响或可能影响国家安全等情形纳入网络安全审查，审查的重点《网络安全审查办法》第十条明确规定，对网络平台运营者赴国外上市审查时，重点评估企业上市可能带来的核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险等因素。相关标准和规范022相关标准和规范1.信息系统风险评估为了指导数据处理活动，相关部门制定了100余项技术标准和规范，主要涉及数据技术、安全技术、安全管理和重点领域等，下面列出一些涉及数据安全的技术标准和规范：

1.1《信息安全技术信息安全风险评估方法》GB/T20984-20221.2《信息安全技术信息安全风险评估实施指南》GB/T31509-20152.3《信息安全技术信息安全风险处理实施指南》GB/T33132-20162相关标准和规范2.信息系统安全工程

2.1《信息安全技术信息系统安全通用技术要求》GB/T20271-20062.2《信息安全技术系统安全I程能力成熟度模型》GB/T20261-20203.信息系统风险管理3.1《信息安全技术信息安全风险管理指南》GB/Z24364-20093.2《信息安全技术信息安全治理》GB/T32923-20162相关标准和规范4.信息安全管理体系4.1《信息安全技术信息安全管理体系要求》GB/T22080-20164.2《信息安全技术信息安全管理实用规则》GB/T19716-20054.3《信息安全技术信息安全控制措施审核员指南》GB/Z32916-20164.4《信息安全技术信息安全管理体系审核和认证机构要求》GB/T25067-20204.5《信息安全技术信息安全控制实践指南》GB/T22081-2016.4.6《信息安全技术信息系统安全管理评估要求》GB/T28453-20124.7《信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型》GB/T19715.1-20054.8《信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全》GB/T19715.2-20052相关标准和规范5.信息系统等级保护测评5.1《计算机信息系统安全等级保护划分准则》GB/T17859-19995.2《信息安全技术网络安全等级保护基本要求》GB/T22239-20195.3《信息安全技术信息系统安全等级保护实施指南》GB/T25058-20195.4《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-20195.5《信息安全技术网络安全等级保护测评要求》GB/T28448-20195.6《信息安全技术网络安全等级保护测评过程指南》GB/T28449-20185.7《信息安全技术网络安全等级保护定级指南》GB/T22240-20185.8《信息安全技术网络安全等级保护测试评估技术指南》GB/T36627-20185.9《信息安全技术网络安全等级保护测评机构能力要求和评估规范》GB/T36959-20182相关标准和规范6.安全保障评估6.1《信息安全技术信息系统安全保障评估框架第1部分：简介和一般模型》GB/T20274.120066.2《信息安全技术信息系统安全保障评估框架第2部分：技术保障》GB/T20274.220086.3《信息安全技术信息系统安全保障评估框架第3部分：管理保障》GB/T20274.320086.4《信息安全技术信息系统安全保障评估框架第4部分：工程保障》GB/T20274.420087.应急响应7.1《信息安全技术信息安全应急响应计划规范》GB/T24363-20097.2《信息安全技术信息安全事件管理指南》GB/Z20985-20077.3《信息安全技术信息安全事件分类分级指南》GB/Z20986-20072相关标准和规范8.数据安全8.1《信息安全技术大数据服务安全能力要求》GB/T35274-20178.2《信息安全技术数据安全能力成熟度模型》GB/T37988-20198.3《信息安全技术大数据安全管理指南》GB/T37973-20198.4《数据管理能力成熟度评估模型》GB/T36073-20189.业务连续性/灾难恢复9.1《公共安全业务连续性管理体系要求》GB/T30146-20139.2《信息安全技术信息系统灾难恢复规范》GB/T20988-20079.3《信息安全技术灾难恢复服务能力评估准则》GB/T37046-20189.4《信息安全技术灾难恢复服务要求》GB/T36957-2018数据库安全管理规范实例033数据库安全管理规范实例数据库安全管理规范实例1.目的2.适用范围3.数据库管理员职责（配置管理、账户管理、运行监控、数据备份管理、日志管理、应急处理）4.数据库安全员职责（日常检查、安全策略设置、账户授权、检查分析违