2021年，《中華人民共和國(guó)數(shù)據(jù)安全法》和《中華人民共和國(guó)個(gè)人信息保護(hù)法》等政策法規(guī)相繼落地實(shí)施，給各政企單位日常業(yè)務(wù)開(kāi)展、運(yùn)營(yíng)、數(shù)據(jù)合規(guī)等提出了新的要求?！稊?shù)據(jù)安全法》明確要求建立全流程數(shù)據(jù)安全管理制度，建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度、統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)制定重要數(shù)據(jù)目錄，建立風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制、定期開(kāi)展合規(guī)性檢查、風(fēng)險(xiǎn)審查、發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞風(fēng)險(xiǎn)時(shí)立即采取補(bǔ)救措施等，讓數(shù)據(jù)安全活動(dòng)真正跨入有法可依的新時(shí)代。

　　數(shù)據(jù)安全合規(guī)性檢查是對(duì)于單位整體及重要業(yè)務(wù)系統(tǒng)等對(duì)象，以合規(guī)為依據(jù)從數(shù)據(jù)安全管理制度、數(shù)據(jù)運(yùn)營(yíng)安全、研發(fā)環(huán)節(jié)安全、數(shù)據(jù)全生命周期安全和個(gè)人信息等多個(gè)方面開(kāi)展數(shù)據(jù)安全檢查。

　　通過(guò)數(shù)據(jù)安全合規(guī)性檢查發(fā)現(xiàn)數(shù)據(jù)安全方面存在的問(wèn)題，分析評(píng)估得出整體數(shù)據(jù)安全情況，為后續(xù)數(shù)據(jù)安全整改與治理提供支撐。能夠更有針對(duì)性建設(shè)全方位的數(shù)據(jù)安全體系，保障數(shù)據(jù)安全機(jī)密性、完整性、可用性，在合規(guī)性的基礎(chǔ)上，確保業(yè)務(wù)在安全的環(huán)境下穩(wěn)定運(yùn)行，避免因數(shù)據(jù)泄露影響單位運(yùn)行和社會(huì)穩(wěn)定。

　　數(shù)據(jù)安全合規(guī)性檢查，4166am金沙依據(jù)組織業(yè)務(wù)所在行業(yè)、所屬地域等，分析相關(guān)數(shù)據(jù)安全法律法規(guī)、政策文件、標(biāo)準(zhǔn)規(guī)范等，建立所應(yīng)遵守的“數(shù)據(jù)安全合規(guī)清單”和解決方法。數(shù)據(jù)安全合規(guī)性檢查可以分為前期現(xiàn)狀調(diào)研、確定檢查內(nèi)容、開(kāi)展管理檢查和技術(shù)檢查以及總結(jié)提升四個(gè)階段進(jìn)行。

　　在進(jìn)行數(shù)據(jù)安全合規(guī)性檢查之前，需要進(jìn)行充分的現(xiàn)狀調(diào)研，梳理企業(yè)的基本信息、數(shù)據(jù)情況、整體制度和安全防護(hù)情況。

　　現(xiàn)狀不明確，會(huì)導(dǎo)致數(shù)據(jù)安全合規(guī)性檢查工作沒(méi)有頭緒，無(wú)法開(kāi)展。所以在數(shù)據(jù)安全合規(guī)性檢查工作開(kāi)始前，應(yīng)提前至少2周，進(jìn)行現(xiàn)狀調(diào)研，討論出檢查的范圍，明確檢查對(duì)象，并發(fā)給相關(guān)責(zé)任人，摸清現(xiàn)狀。

　　了解企業(yè)的主要業(yè)務(wù)范圍、業(yè)務(wù)規(guī)模，分析企業(yè)對(duì)于國(guó)家、社會(huì)、人民生命財(cái)產(chǎn)的重要性。了解是否建立數(shù)據(jù)安全管理制度和組織機(jī)構(gòu)。

　　了解企業(yè)數(shù)據(jù)的類(lèi)別、重要程度、規(guī)模、分布位置、流動(dòng)路徑、責(zé)任人，承載數(shù)據(jù)的系統(tǒng)情況及其網(wǎng)絡(luò)拓?fù)洹⑦\(yùn)營(yíng)維護(hù)等情況。

　　了解企業(yè)的數(shù)據(jù)安全管理機(jī)制建設(shè)情況，初步掌握企業(yè)已部署的數(shù)據(jù)安全防護(hù)措施。

　　數(shù)據(jù)安全合規(guī)性檢查可以按內(nèi)容分為管理檢查項(xiàng)和技術(shù)檢查項(xiàng)，也可以按照檢查方式分為人工檢查和工具檢查項(xiàng)。也可以根據(jù)數(shù)據(jù)級(jí)別分為數(shù)據(jù)安全通用防護(hù)和數(shù)據(jù)安全分級(jí)防護(hù)，為不同的數(shù)據(jù)對(duì)象確定不同的檢查內(nèi)容。

　　一定要分清楚哪些是單位通用的，哪些業(yè)務(wù)系統(tǒng)只是一般數(shù)據(jù)，哪些系統(tǒng)有存儲(chǔ)敏感數(shù)據(jù)、重要數(shù)據(jù)和個(gè)人信息。通過(guò)確定不同的對(duì)象的檢查內(nèi)容和檢查項(xiàng)，有助于數(shù)據(jù)安全合規(guī)性檢查的順利開(kāi)展和減少工作量。

　　目前，可以參考《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》、金融行業(yè)標(biāo)準(zhǔn)《金融數(shù)據(jù)安全-數(shù)據(jù)安全評(píng)估規(guī)范》《電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估要點(diǎn)》和《工業(yè)數(shù)據(jù)安全評(píng)估指南》等文件，結(jié)合單位實(shí)際情況，確定合理的數(shù)據(jù)安全合規(guī)性檢查內(nèi)容和檢查項(xiàng)。

　　數(shù)據(jù)安全合規(guī)性檢查內(nèi)容結(jié)合各主管部門(mén)發(fā)布的評(píng)估指南和單位實(shí)際情況分為通用檢查項(xiàng)和數(shù)據(jù)生命周期檢查項(xiàng)。通用檢查項(xiàng)主體內(nèi)容為管理性檢查，主要由人工進(jìn)行，對(duì)各項(xiàng)管理制度進(jìn)行檢查。數(shù)據(jù)生命周期檢查項(xiàng)主體內(nèi)容為技術(shù)檢查項(xiàng)，由人工核查加工具檢查共同完成。

　　在確定好檢查內(nèi)容后，應(yīng)迅速成立檢查小組，按既定的檢查計(jì)劃，針對(duì)不同的檢查項(xiàng)進(jìn)行數(shù)據(jù)安全合規(guī)性檢查。

　　對(duì)于管理制度和臺(tái)賬文檔清單可以人工進(jìn)行檢查，但針對(duì)數(shù)據(jù)生命周期中的數(shù)據(jù)資產(chǎn)清單、敏感數(shù)據(jù)識(shí)別、異常行為監(jiān)測(cè)、敏感數(shù)據(jù)泄露、非法越權(quán)訪問(wèn)、數(shù)據(jù)跨境傳輸、數(shù)據(jù)非法外聯(lián)等人工難以檢查的內(nèi)容則應(yīng)該采用專(zhuān)用工具，通過(guò)流量掃描技術(shù)、敏感數(shù)據(jù)識(shí)別技術(shù)、API接口脆弱性分析技術(shù)和終端安全檢查技術(shù)進(jìn)行檢查，減少人工檢查工作量的同時(shí)也可以量化檢查。

　　對(duì)于大部分?jǐn)?shù)據(jù)生命周期技術(shù)檢查項(xiàng)，可以使用開(kāi)源工具進(jìn)行掃描、收集和分析數(shù)據(jù)安全情況，例如Goby進(jìn)行漏洞和web安全掃描、弱口令工具進(jìn)行弱口令檢測(cè)、Wireshark進(jìn)行流量抓包再人工分析數(shù)據(jù)是否加密等，但目前各種分散的開(kāi)源工具都存在無(wú)法將檢測(cè)情況與檢查內(nèi)容相關(guān)聯(lián)的問(wèn)題。

　　針對(duì)數(shù)據(jù)安全合規(guī)性檢查無(wú)法關(guān)聯(lián)的問(wèn)題，福建中信網(wǎng)安信息科技有限公司率先推出了數(shù)據(jù)安全合規(guī)性檢查工具箱和評(píng)估系統(tǒng)產(chǎn)品，能夠提供數(shù)據(jù)安全合規(guī)性檢查管理和自動(dòng)檢測(cè)關(guān)聯(lián)的能力。通過(guò)U盤(pán)檢查終端安全情況，通過(guò)工具箱設(shè)備檢測(cè)流量，分析業(yè)務(wù)系統(tǒng)各環(huán)節(jié)的數(shù)據(jù)安全問(wèn)題，通過(guò)便攜式筆記本進(jìn)行人工檢查登記，綜合進(jìn)行數(shù)據(jù)安全合規(guī)性檢查評(píng)估。

　　通過(guò)數(shù)據(jù)安全合規(guī)性檢查工具箱和評(píng)估系統(tǒng)能夠有效減少人工檢查工作量，提高技術(shù)檢查能力，并使檢查標(biāo)準(zhǔn)化，使主動(dòng)數(shù)據(jù)安全監(jiān)測(cè)和常態(tài)化數(shù)據(jù)安全合規(guī)性檢查變得可能。

　　在數(shù)據(jù)安全合規(guī)性檢查后，應(yīng)基于對(duì)國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)、技術(shù)的研究，基于企業(yè)安全現(xiàn)狀，梳理出數(shù)據(jù)安全的管理需要遵循安全政策，建立科學(xué)的數(shù)據(jù)安全保護(hù)制度，解決公司實(shí)際存在的安全問(wèn)題，增強(qiáng)抗擊數(shù)據(jù)安全威脅的能力。結(jié)合業(yè)務(wù)發(fā)展規(guī)劃、數(shù)據(jù)安全現(xiàn)狀和數(shù)據(jù)安全合規(guī)性檢查情況，編制數(shù)據(jù)安全能力提升規(guī)劃，為數(shù)字化轉(zhuǎn)型和業(yè)務(wù)發(fā)展、數(shù)據(jù)安全建設(shè)提供決策依據(jù)。

　　在檢查過(guò)程中，領(lǐng)導(dǎo)層一定要重視，從全公司層面下發(fā)檢查和自查任務(wù)，確認(rèn)數(shù)據(jù)安全領(lǐng)導(dǎo)小組，確認(rèn)統(tǒng)一協(xié)調(diào)的人員和業(yè)務(wù)系統(tǒng)負(fù)責(zé)人員等數(shù)據(jù)安全相關(guān)人員，討論和明確任務(wù)與責(zé)任。不然容易出現(xiàn)責(zé)任推脫和人員不理解、不配合的情況。

　　前期調(diào)研非常重要，如果現(xiàn)狀不清楚，系統(tǒng)和數(shù)據(jù)的沒(méi)有進(jìn)行劃分和定義，就不知道先做哪些，怎么做。前期調(diào)研不充分、毫無(wú)頭緒是難以有效進(jìn)行檢查的。

　　檢查過(guò)程中會(huì)經(jīng)常發(fā)現(xiàn)制度無(wú)法落實(shí)到位的情況，制度往往只停留在管理人員上，與實(shí)際業(yè)務(wù)與環(huán)境脫鉤。一定要落實(shí)責(zé)任，各系統(tǒng)各部門(mén)人員要做好宣貫和執(zhí)行。可以乘著數(shù)據(jù)安全合規(guī)性檢查的機(jī)會(huì)，發(fā)現(xiàn)制度落實(shí)情況進(jìn)行查缺補(bǔ)漏，針對(duì)無(wú)法執(zhí)行的問(wèn)題進(jìn)行調(diào)研，收集反饋并對(duì)制度進(jìn)行調(diào)整。

　　檢查一定要統(tǒng)一標(biāo)準(zhǔn)，針對(duì)檢查過(guò)程中發(fā)現(xiàn)的問(wèn)題，要回頭檢查，把握好標(biāo)準(zhǔn)和尺度。確認(rèn)其他系統(tǒng)是不是也存在一樣的問(wèn)題，認(rèn)定標(biāo)準(zhǔn)是否一致。不然同一個(gè)問(wèn)題，不同認(rèn)定標(biāo)準(zhǔn)，容易引起非議。

　　檢查如果全靠人工，工作量和工作難度都很大。選擇合適檢查工具，能夠事半功倍。通過(guò)數(shù)據(jù)安全合規(guī)性檢查評(píng)估系統(tǒng)可以做檢查流程管理，自動(dòng)生成報(bào)告，能夠減少很多檢查流程上的問(wèn)題。通過(guò)檢查工具箱可以對(duì)許多技術(shù)檢查項(xiàng)進(jìn)行自動(dòng)檢查評(píng)估和關(guān)聯(lián)。

　　通過(guò)數(shù)據(jù)安全合規(guī)性檢查，會(huì)發(fā)現(xiàn)很多突出問(wèn)題是共性的，大家可以針對(duì)這些問(wèn)題進(jìn)行重點(diǎn)檢查和改進(jìn)?？纱笾職w納為管理制度問(wèn)題、研發(fā)安全問(wèn)題、運(yùn)維安全問(wèn)題、個(gè)人信息保護(hù)和數(shù)據(jù)生命周期安全防護(hù)等四大類(lèi)問(wèn)題。

　　制度不完善是最突出的問(wèn)題。數(shù)據(jù)安全法與個(gè)人信息保護(hù)法發(fā)布實(shí)施接近一年，但是大部分單位都沒(méi)有及時(shí)根據(jù)新的法律法規(guī)制定或者修改自己的相關(guān)安全管理制度，應(yīng)及時(shí)由單位落實(shí)數(shù)據(jù)安全管理責(zé)任，根據(jù)數(shù)據(jù)安全法和個(gè)人信息保護(hù)法，調(diào)整完善數(shù)據(jù)安全管理制度。

　　檢查過(guò)程，關(guān)于管理制度，應(yīng)該詢問(wèn)管理人員是否熟悉相關(guān)制度，數(shù)據(jù)安全管理部門(mén)是否明確數(shù)據(jù)安全管理制度，落實(shí)制度制定和執(zhí)行情況以及相關(guān)臺(tái)賬。

　　研發(fā)安全問(wèn)題總是容易被忽視。在研發(fā)環(huán)境中，可能存在著大量的真實(shí)數(shù)據(jù)，在對(duì)這些數(shù)據(jù)進(jìn)行開(kāi)發(fā)利用的過(guò)程當(dāng)中，往往缺少數(shù)據(jù)安全管理能力，對(duì)數(shù)據(jù)沒(méi)有脫敏加密，沒(méi)有防泄漏的手段，代碼或真實(shí)數(shù)據(jù)違規(guī)上傳互聯(lián)網(wǎng)甚至是開(kāi)發(fā)公司違規(guī)設(shè)計(jì)后門(mén)和接口。對(duì)研發(fā)團(tuán)隊(duì)、研發(fā)管理制度、代碼審查、外包人員管理、代碼管理和數(shù)據(jù)防泄漏等方面應(yīng)重點(diǎn)檢查。

　　在運(yùn)維過(guò)程中，往往也存在許多數(shù)據(jù)安全問(wèn)題。運(yùn)維人員接觸的數(shù)據(jù)是否是敏感數(shù)據(jù)，是否涉及到個(gè)人信息，權(quán)限是否做了細(xì)粒度的風(fēng)格管控，是否有數(shù)據(jù)防泄漏措施保證運(yùn)維環(huán)節(jié)的安全，是否有堡壘機(jī)對(duì)運(yùn)維過(guò)程做管控，是否有數(shù)據(jù)庫(kù)堡壘機(jī)能對(duì)數(shù)據(jù)庫(kù)運(yùn)維操作進(jìn)行審計(jì)和阻斷，這些都需要制度和安全措施共同配合來(lái)提升運(yùn)維安全。

　　業(yè)務(wù)系統(tǒng)中經(jīng)常存儲(chǔ)著敏感數(shù)據(jù)和個(gè)人信息，這些數(shù)據(jù)在收集、傳輸、存儲(chǔ)、處理、共享和銷(xiāo)毀等環(huán)節(jié)，各項(xiàng)數(shù)據(jù)安全措施往往是缺失的，例如采集數(shù)據(jù)不規(guī)范，數(shù)據(jù)傳輸未加密，存儲(chǔ)未加密脫敏，處理數(shù)據(jù)不合規(guī)，共享數(shù)據(jù)不規(guī)范，應(yīng)銷(xiāo)毀數(shù)據(jù)沒(méi)有進(jìn)行回收銷(xiāo)毀等問(wèn)題，都亟待解決。

　　針對(duì)行業(yè)特定的數(shù)據(jù)安全重點(diǎn)問(wèn)題，使用人工加自動(dòng)化工具方式開(kāi)展數(shù)據(jù)安全合規(guī)性檢查，能夠有效發(fā)現(xiàn)數(shù)據(jù)安全問(wèn)題，并通過(guò)對(duì)相關(guān)的問(wèn)題進(jìn)行專(zhuān)業(yè)分析，為數(shù)據(jù)安全整體提升起著至關(guān)重要的作用。（作者：吳國(guó)杰，福建中信網(wǎng)安信息科技有限公司數(shù)據(jù)安全拓展經(jīng)理）

　　奔跑吧·少年2024年內(nèi)蒙古自治區(qū)棒壘球邀請(qǐng)賽在鄂爾多斯市康巴什區(qū)開(kāi)賽。

　　4月2日，隨著57652次檢測(cè)車(chē)從南充北站5道緩緩駛出，標(biāo)志著新建漢中至巴中至南充鐵路南充至巴中段（以下稱(chēng)巴南高鐵）啟動(dòng)聯(lián)調(diào)聯(lián)試，進(jìn)入工程驗(yàn)收關(guān)鍵階段，為全線早日開(kāi)通奠定了堅(jiān)實(shí)基礎(chǔ)

　　2024年3月31日，“知音湖北 遇見(jiàn)浪漫孝感”春賞花活動(dòng)在湖北省孝感市金卉莊園景區(qū)啟動(dòng)。金卉莊園花團(tuán)錦簇，五彩斑斕花卉競(jìng)相綻放。人們穿梭在花海之間，享受明媚春光。

　　2024年3月23日，由中國(guó)服裝設(shè)計(jì)師協(xié)會(huì)主辦的2024秋冬中國(guó)國(guó)際時(shí)裝周在北京開(kāi)幕。

　　3月17日，原創(chuàng)獨(dú)立設(shè)計(jì)師品牌SHANG1 BY SHANGYI 2024秋冬系列時(shí)裝發(fā)布會(huì)在北京舉行。

　　2024年2月28日，新疆爾自治區(qū)巴音郭楞蒙古自治州博湖縣境內(nèi)的博斯騰湖出現(xiàn)推冰景觀。

　　云南省曲靖市羅平縣馬街鎮(zhèn)鉆天坡，盛開(kāi)的油菜花梯田在初升太陽(yáng)映照下，勾勒出一幅田園春景圖

　　2024年1月12日，江西省吉安市吉州區(qū)廬陵文化生態(tài)園層林盡染，色彩斑斕，市民徜徉其間，盡享生態(tài)之樂(lè)。

　　2023年12月26日，在云南省紅河哈尼族彝族自治州元陽(yáng)縣新街鎮(zhèn)黃草嶺村附近，游客在冬櫻花與梯田邊游覽。

　　2023年12月12日，新疆哈密市巴里坤縣第十九屆冰雪文化旅游節(jié)采冰儀式在高家湖二渠水庫(kù)進(jìn)行。儀式主要展示了頭冰的開(kāi)采上岸過(guò)程。開(kāi)幕式上還舉行迎風(fēng)旗、祈福詞、喝出征酒等儀式。

　　2023年12月13日，河北省正定古城迎來(lái)降雪，古城內(nèi)外銀裝素裹，猶如一幅淡雅的水墨畫(huà)，美如畫(huà)卷。

　　2023年11月28日，貴州省六盤(pán)水市明湖國(guó)家濕地公園層林盡染，景色迷人。

　　三角梅原產(chǎn)于巴西，現(xiàn)主要分布在中國(guó)、秘魯、阿根廷、日本、贊比亞等國(guó)家和地區(qū)。其中，以海南三角梅最為出名。

　　2023年11月23日清晨，朝霞初現(xiàn)，三峽庫(kù)區(qū)湖北省宜昌市秭歸縣沿江公路G348國(guó)道的絕壁巖體上，工人們正在鋪設(shè)防護(hù)網(wǎng)，以防止巖崩和落石。

　　2023年11月23日，黑龍江哈爾濱，哈爾濱站工作人員正在清理站臺(tái)積雪。

　　2023年11月21日，甘肅敦煌，首趟敦煌號(hào)鐵海聯(lián)運(yùn)國(guó)際貨運(yùn)班列裝載1000噸石棉駛出，經(jīng)天津港通過(guò)鐵海聯(lián)運(yùn)發(fā)往泰國(guó)曼谷。

　　2023年11月21日，江蘇省如皋市龍游河生態(tài)公園，色彩斑斕的樹(shù)木與一河碧水相應(yīng)成趣。