2025年1月1日，《網(wǎng)絡數(shù)據(jù)安全管理條例》（以下簡稱《條例》）正式施行?！稐l例》是《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》下首個國務院正式發(fā)布的管理條例，屬于效力僅次于法律的行政法規(guī)，其重要性不言而喻。

數(shù)據(jù)保護關鍵要求

《條例》細化了《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》，對“行政法規(guī)”可以補充規(guī)定或另行規(guī)定的事項進行補充性或創(chuàng)新性規(guī)定。在數(shù)據(jù)保護方面，《條例》強調(diào)了分類分級保護，要求企業(yè)采取必要的安全措施，制定應急預案，監(jiān)測風險并及時處置。

遵循行業(yè)標準，前沿技術助力數(shù)據(jù)保護合規(guī)

隨著數(shù)據(jù)在企業(yè)發(fā)展中發(fā)揮越來越重要的作用，許多企業(yè)已經(jīng)認識到了這些數(shù)據(jù)保護工作的重要性，在企業(yè)采用的NIST等標準框架中，有許多方面和《條例》的要求相契合。Commvault連續(xù)13次被評為Gartner企業(yè)級備份和恢復軟件解決方案魔力象限領導者，Commvault平臺遵循NIST框架，實現(xiàn)了從識別到恢復的全流程數(shù)據(jù)保護，為企業(yè)提供全面的數(shù)據(jù)保護支持。

分類分級保護

《條例》第五條明確，國家根據(jù)網(wǎng)絡數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度對網(wǎng)絡數(shù)據(jù)實行分類分級保護。第三十三條明確，重要數(shù)據(jù)的處理者應當每年度對其網(wǎng)絡數(shù)據(jù)處理活動開展風險評估，并向省級以上有關主管部門報送風險評估報告。

對較易涉及重要數(shù)據(jù)的行業(yè)，例如金融、醫(yī)療等敏感行業(yè)，網(wǎng)絡數(shù)據(jù)處理者應當按照國家有關規(guī)定識別、申報重要數(shù)據(jù)，履行網(wǎng)絡數(shù)據(jù)安全保護責任，并注意網(wǎng)絡數(shù)據(jù)處理活動風險評估的定期開展，以及風險評估報告的報送。

即使對于極熟悉業(yè)務的員工來說，敏感和關鍵數(shù)據(jù)的分類及評估也是一個龐雜的工作。NIST框架識別部分提出，企業(yè)應當理解自己所面臨的數(shù)據(jù)保護風險，讓企業(yè)得以確定自身風險管理策略和任務的優(yōu)先級。Commvault推出Risk Analysis風險分析功能，幫助客戶實現(xiàn)數(shù)據(jù)的自動識別和分類，大幅簡化分類分級保護的工作量，幫助企業(yè)及時發(fā)現(xiàn)和識別數(shù)據(jù)保護風險。

加強保護措施

在數(shù)據(jù)保護措施方面，《條例》強調(diào)應當采取必要措施?！稐l例》第九條明確，網(wǎng)絡數(shù)據(jù)處理者應當在網(wǎng)絡安全等級保護的基礎上，加強網(wǎng)絡數(shù)據(jù)安全防護，建立健全網(wǎng)絡數(shù)據(jù)安全管理制度，采取加密、備份、訪問控制、安全認證等技術措施和其他必要措施，保護網(wǎng)絡數(shù)據(jù)免遭篡改、破壞、泄露。

隨著數(shù)字化轉(zhuǎn)型的發(fā)展，數(shù)據(jù)保護的關鍵性已經(jīng)成為行業(yè)共識。例如，制造業(yè)企業(yè)在數(shù)字化轉(zhuǎn)型的過程中，會采取數(shù)據(jù)保護措施確保自身的核心研發(fā)數(shù)據(jù)不丟失和泄露?！稐l例》將采取數(shù)據(jù)保護措施納入行政法規(guī)，要求企業(yè)進一步重視數(shù)據(jù)保護措施的實施。NIST框架在保護部分提出，企業(yè)需要采取保護措施以防止意外事件的發(fā)生，包括身份管理、身份驗證、訪問控制，人員培訓，數(shù)據(jù)、平臺和技術基礎設施保護等等。Commvault采取CIS/STIG加固，幫助客戶加強了數(shù)據(jù)保護平臺及其訪問控制，并采用Air Gap數(shù)據(jù)隔離和存儲不可變等技術措施，有效實現(xiàn)數(shù)據(jù)防篡改。Commvault還不斷擁抱前沿技術，為客戶帶來簡單、高效、安心的數(shù)據(jù)保護體驗。目前，Commvault擁有超過1400項專利。

制定應急預案

在數(shù)據(jù)保護管理體系方面，《條例》強調(diào)了制定應急預案等制度流程。《條例》第十一條明確，網(wǎng)絡數(shù)據(jù)處理者應當建立健全網(wǎng)絡數(shù)據(jù)安全事件應急預案。第三十條明確，重要數(shù)據(jù)的處理者明確的網(wǎng)絡數(shù)據(jù)安全管理機構應當制定實施網(wǎng)絡數(shù)據(jù)安全管理制度、操作規(guī)程和網(wǎng)絡數(shù)據(jù)安全事件應急預案。

隨著數(shù)據(jù)保護挑戰(zhàn)的演變，意外事件不可避免，企業(yè)的考慮角度已經(jīng)從意外事件“是否會發(fā)生”、“何時會發(fā)生”轉(zhuǎn)向“有多嚴重”。NIST框架在響應部分包括事件的管理、分析、報告以及溝通。Commvault為客戶提供與網(wǎng)絡安全管理平臺集成的安全事件自動告警和處理，幫助客戶及早發(fā)現(xiàn)異常，并實現(xiàn)IT運維和安全運維團隊之間的良好協(xié)作。

風險監(jiān)測和及時處置

《條例》第三十條明確，重要數(shù)據(jù)的處理者明確的網(wǎng)絡數(shù)據(jù)安全管理機構應當定期組織開展網(wǎng)絡數(shù)據(jù)安全風險監(jiān)測、風險評估、應急演練、宣傳教育培訓等活動，及時處置網(wǎng)絡數(shù)據(jù)安全風險和事件。

企業(yè)如何確保自身能夠及時處置網(wǎng)絡數(shù)據(jù)安全風險和事件？應急演練已經(jīng)成為常用方法。但對于采用混合基礎架構的大型企業(yè)，全面的應急演練涉及各種位置和工作負載，往往會受到環(huán)境和成本等多重限制。Commvault平臺支持跨本地和多云的數(shù)據(jù)恢復，并采用潔凈室恢復技術，幫助企業(yè)進行定期恢復測試，確保恢復計劃的可用性，助力企業(yè)在混合環(huán)境中實現(xiàn)快速恢復。

此外，一家企業(yè)想要實現(xiàn)成功恢復，完善的備份數(shù)據(jù)必不可少。在日常的監(jiān)控和檢測方面，Commvault通過基于AI驅(qū)動的自動蜜罐部署和文件異常零日威脅監(jiān)測等技術實現(xiàn)統(tǒng)一的安全風險監(jiān)控，其Threat Scan威脅掃描技術可以對備份數(shù)據(jù)進行定期的威脅識別和及時告警，并與主流的SOAR安全事件處理平臺集成，及時發(fā)現(xiàn)、處理和定期更新。

數(shù)據(jù)保護合規(guī)落地五步走

隨著《條例》的施行，企業(yè)也迎來了提升自身數(shù)據(jù)保護能力的契機。企業(yè)應當推進自身數(shù)據(jù)保護的分級優(yōu)化與落實，加快數(shù)據(jù)保護管理體系的總體建設。對此，Commvault參考NIST 和全球客戶最佳實踐，提出數(shù)據(jù)保護合規(guī)的分階段落地建議：

1. 安全評估和咨詢：專業(yè)服務團隊參考全球最佳實踐落地數(shù)據(jù)保護合規(guī)咨詢評估，協(xié)助客戶調(diào)研數(shù)據(jù)保護現(xiàn)狀和風險評估，理解數(shù)據(jù)保護合規(guī)差距，進行數(shù)據(jù)分級分類，并制定數(shù)據(jù)保護合規(guī)制度和規(guī)范。

2. 方案設計：結(jié)合全球領先的數(shù)據(jù)保護技術，參考《條例》要求和NIST CSF 2.0框架設計分步驟落地計劃和方案。

3. 基本數(shù)據(jù)保護方案落地：根據(jù)設計要求測試和選擇符合方案要求的產(chǎn)品和技術，覆蓋數(shù)據(jù)分級保護策略、數(shù)據(jù)防篡改、數(shù)據(jù)加密和數(shù)據(jù)保護監(jiān)控和告警。

4. 高級數(shù)據(jù)安全方案落地：加強數(shù)據(jù)保護方案，如Air Gap數(shù)據(jù)隔離保護、備份數(shù)據(jù)的威脅掃描和隔離、基于潔凈室的恢復驗證。

5. 定期檢驗和技術更新：定期的保護檢測、風險評估、保護培訓和保護技術更新。

如今，數(shù)據(jù)是企業(yè)運營和社會發(fā)展的重要驅(qū)動力，數(shù)據(jù)保護也受到了越來越多的關注。隨著2025年1月《網(wǎng)絡數(shù)據(jù)安全管理條例》正式施行，網(wǎng)信部門會加強監(jiān)管力度，統(tǒng)籌協(xié)調(diào)網(wǎng)絡數(shù)據(jù)安全和相關監(jiān)督管理工作，以確保企業(yè)滿足《條例》的監(jiān)管要求。增強數(shù)據(jù)保護和數(shù)據(jù)安全能力是企業(yè)在數(shù)字化時代保持競爭力的應時之舉，企業(yè)應當不斷提升自身數(shù)據(jù)保護治理，答好這道數(shù)字化時代的“必答題”。