2021年9月7日至10日,我有幸参加了市委网信办组织开展的2021年韶关市网络安全专题培训班,培训主要涵盖了深入学习习近平总书记有关网络强国的重要思想,网络安全法等法律法规以及网络安全态势、发展和应对等内容。此次培训内容充实,既有理论又有实践,对丰富自身网络安全知识、指导开展网络安全工作颇有裨益,现将本次培训的学习心得,汇报如下:
大数据技术的快速发展不断催生新的产业形态,正成为经济社会发展的新动能。与之相伴的是,数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。习近平总书记强调,“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。
一是深刻领会习近平总书记总体国家安全观。坚持总体国家安全观,是习近平新时代中国特色社会主义思想的重要内容。党的十九大报告强调,统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则。习近平同志围绕总体国家安全观发表的一系列重要论述,立意高远,内涵丰富,思想深邃,把我们党对国家安全的认识提升到了新的高度和境界,是指导新时代国家安全工作的强大思想武器,对于新时代坚持总体国家安全观,坚定不移走中国特色国家安全道路,完善国家安全体制机制,加强国家安全能力建设,有效维护国家安全,实现“两个一百年”奋斗目标、实现中华民族伟大复兴的中国梦,具有十分重要的意义。
二是把握数据安全基本内涵。大数据技术促使数据应用场景和参与主体日益多样化,数据安全的外延不断扩展。对国家而言,大数据是国家基础性战略资源。经济全球化推动世界各国经济贸易与技术交流不断扩大,大量数据日益频繁地在全球范围跨境流动。跨境数据流动引发的安全风险不仅影响商业利益获取,也影响国家安全和国家竞争力。加强数据安全治理已经成为维护国家安全的战略需要。对企业而言,大数据是重要的商业资源和生产要素,数据安全治理能力已成为企业的重要竞争力。对个人而言,大数据收集处理技术和开放共享的要求,弱化了用户对个人信息的自决权力,多源数据汇聚降低了用户隐私被恶意滥用的门槛,数据安全治理成为加强个人数据保护的基本要求。
三是健全数据安全法律法规。加强数据安全治理,提升数据安全防护水平,需要健全规范数据流通共享和数据权利义务的相关法律法规。依据数据主权原则,明确政府部门监管职责,积极参与跨境数据流动规则制定,健全重点领域数据安全保障制度。理清数据产权体系,完善数据资源分级分类治理的准则,确立覆盖数据全生命周期的安全保护机制,结合不同类型数据属性和安全防护要求,明确数据资源提供方、使用方、监管方等各方主体的数据安全法律责任。坚持技术发展与信息保护平衡的原则,界定个人信息合法使用的范围,明确个人的数据权利及权利救济途径,通过技术标准和安全保障措施健全个人数据泄露风险防控制度。完善打击大数据犯罪相关立法,明确数据窃取、滥用与误用的刑事责任,加大对危害数据安全行为的惩戒力度。
四是加强数据安全协同治理。面对数据安全领域的诸多挑战,政府、企业、行业组织需要有效配合,发挥各自优势,建立适应大数据时代要求的协同治理模式。在政府层面,强化数据安全治理的顶层设计,确立数据安全防护能力标准,实现数据安全风险总体可控;加强数据安全执法,推动建立数据安全治理国际合作机制,严惩重点领域数据违法犯罪行为。对于企业而言,要加强与监管部门沟通协作,完善内部数据安全合规管理,建立标准化、覆盖数据全生命周期的数据安全管理机制;加快数据保护前沿技术研发,以技术赋能数据安全管理。行业组织应立足数据安全与数据应用协同发展,引导企业参与国家大数据安全规则制定,建立行业自律规范,不断优化数据的行业安全标准体系;开展行业数据安全治理水平评估,定期向社会公布企业保护个人数据安全的举措与成果;积极宣传数据安全法律法规,提升公众数据安全意识,为数据安全治理营造良好环境。
审计机关在推进科技强审的目标中应深刻把握信息化发展大势,积极应对网络安全挑战,充分发挥审计在维护网络安全中的作用,要从以下四个方面着手,切实筑牢审计网络安全防线。
一是要落实网络安全责任。审计机关要认真梳理网络安全责任矩阵,建立健全管理统一、职责明确、界面清晰的网络安全责任体系;同时突出网络安全专职岗位责任审核和管控,将网络安全工作纳入重要议事日程,及时研究解决网络安全工作重大事项,层层指导压紧责任、环环紧扣落实责任。
二是要加强网络安全教育。一方面要开展审计机关网络安全宣传,以专题讲座、集中宣讲、知识问答、网络新媒体转发、视频学习等多形式,全面深入开展网络安全教育宣传活动,引导审计干部树立正确的网络安全观,切实提高审计干部网络安全防范意识。另一方面要开展网络安全应急演练,强化审计人员理论与实践的融合,切实增强审计干部网络安全防护技能。
三是要做好网络关键风险防控。一方面审计机关要与公安、网络安全和信息化部门加强联系和沟通,制定网络安全应急预案,保障审计终端、审计专网运行环境安全,一旦出现网络突发事件,立即启动应急预案,按事故的类别、性质和级次,采取相应的应急措施及时妥善处理。另一方面审计机关应做好自身关键信息基础设施安全保护,强化审计大数据安全管控,确保重要数据备份安全,定期开展软硬件漏洞检查、审计数据泄露隐患检查,严防网络安全事件发生。
四是要做好网络安全建设和绩效审计工作。审计机关要充分发挥监督职能,征求网络安全和信息化部门意见,对重点单位开展网络安全审计。调查被审计单位网络安全组织领导、网络安全规划、网络安全责任制落实等相关制度执行情况;重点关注网络安全等级保护制度执行情况、重要数据和敏感信息保护建设情况,把网络安全建设和绩效工作纳入审计范围,对违反规定者予以问责、追责,促进网络安全工作责任制的落实。(韶关市审计局 黄腾飞)
