数字化时代，网络安全和数据安全已成为保障国家安全、维护社会稳定、促进经济发展的重要基石，面对日益复杂的网络安全威胁和数据安全挑战，研究制定相关技术标准和规范建设是当前尤为迫切的任务。

近日，全国网络安全标准化技术委员会发布了《数据安全技术 政务数据处理安全要求（征求意见稿）》(以下简称《要求》)、《网络安全技术 信息系统灾难恢复规范（征求意见稿）》(以下简称（规范）)、《网络安全技术 网络安全运维实施指南（征求意见稿）》(以下简称《指南》)3项国家标准征求意见稿，以加快技术标准化和规范的建设，接下来和小编一起来了解下3个《征求意见稿》的重要内容。

《要求》规定了政务数据处理的安全要求，明确了政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求，适用于指导政务部门及其技术支撑单位规范政务数据处理活动，也可为监管部门、第三方机构进行监督管理和评估提供参考。

政务数据处理安全要求框架由五个部分组成，包括政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求。

第 5 章“政务数据处理安全原则”明确了谁管理谁负责、谁提供谁负责、谁使用谁负责、谁运营谁负责的原则。

第 6 章“政务数据处理安全要求框架”，包括安全管理、政务数据处理活动、政务数据处理中的个人信息保护、数据安全运营和安全监督等方面。

第 7 章“政务数据处理安全管理要求”规定了政务数据处理组织要求、安全制度要求。

第 8 章“政务数据处理安全要求”，包括数据收集、存储、使用和加工、传输、提供、公开和销毁。

第 9 章“政务数据处理中的个人信息保护要求”，包括政务数据处理中的个人信息主体权利保障和数据处理平台个人信息安全保护。

第 10 章“政务数据处理安全运营要求”，对运营机构、运营人员、运营平台提出要求。

第 11 章“政务数据处理安全监督要求”，明确监管方的职责。

“附录 A(规范性）政务数据处理安全评估方法与评价指标” 明确了政务数据处理安全评估方法，评价指标涵盖了组织管理、技术措施及风险监测与评估几个方面，组织管理又涉及组织建设、人员能力、制度流程三个维度，技术措施涉及重要数据安全保护和个人信息保护两个维度。

《规范》确立了信息系统灾难恢复工作原则，提出了信息系统灾难恢复生命周期，规定了信息系统灾难恢复应遵循的基本要求，描述了灾难恢复能力等级划分和测试评价方法，适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划、实施、安全建设和运行管理等工作。

《规范》指出，灾难恢复的目标是通过有效的技术与管理手段，确保组织在灾难发生时迅速恢复信息系统运行，最大限度地降低损失和影响，保障数据的完整性和可用性，保障业务的连续性，其生命周期包括规划设计、建设实施和运行管理，在全生命周期过程中应持续进行有效性分析和安全管控，以实现持续改进等流程。

《指南》提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评估模型，给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容，适用于网络安全运维提供方、网络安全运维需求方。可为网络安全运维的实施提供指导，也可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。

《指南》给出了网络安全运维参考框架，明确网络安全运维包括运维管理、识别、防御、监测、响应和协同六个环节。

运维管理对网络安全运维的整体活动进行管理和规划，考虑组织网络安全长期改进和投入需要做出的决策，提出网络安全运维整体方案。运维管理、识别、防御和监测四个环节是针对网络安全风险防范的常态化持续性工作，在整个网络安全运维活动中是一个长循环过程。同时，识别、防御、监测和响应这四个环节又是针对网络安全事件处置的应急性工作，在整个网络安全运维活动中是一个相对较短的循环过程。协同包括了组织内外部的协调与协作，目的是提高组织的安全运维的效能与防护水平。

网络安全运维的模式、内容需与运维需求方协商一致，并在网络安全运维过程中，基于服务级别协议（SLA）和运维实际效果进行评估，评的结果用于进一步改进网络安全运维的管理和实施水平。

全自建网络安全运维模式。对安全性和数据保护的要求较高，具备足够的安全资源投入，能够持续有效网络安全运维的网络安全运维需求方，选择自主建设安全运维中心。此类组织、机构和设施具备完善的安全运维人员配置、管理机制和人才培养机制，自主建立安全运维中心（SOC），整合安全防护技术、安全运维工具与平台和人员等要素，建立网络安全监测、分析、处置、应急等网络安全运维流程；

联合网络安全运维模式。网络安全运维需求方联合网络安全运维提供方共同建立安全运维中SOC，并为网络安全运维需求方提供驻场托管式网络安全运维；

全托管网络安全运维模式。MSS 主要依靠网络安全运维提供方建立的企业安全运维中心（SOC），通过云平台或远程管理系统，管理组织 IT 资产的安全信息、管理安全工具、监测和改善组织的安全状况，识别、检测、分析和响应组织所面临的网络安全事件。以满足对安全人员、技术和流程外包的需要。

近期，国家相关部门接连发布有关网络和数据安全的法律法规，保障网络安全和数据安全刻不容缓，随着数字化时代的到来，数据首次成为第五生产要素，这标志着数据已成为我国重要的战略资源，数据安全的重要性不言而喻，保障数据安全就是保障国家安全。同时，今年也是总体国家安全观创新引领10周年，网络安全和数据安全已被列入国家安全的重要领域。

作为数据安全领域发展建设的积极参与者和践行者，太极风控始终密切关注数据安全变化形势与政策合规要求，多年来积极探索实践不断沉淀安全技术能力，在保障用户数据安全上有着丰富成功经验。太极风控作为支持信创数据安全解决方案提供商，其「太极·简」、「云宝备」、「备份一体机」等系列产品能够面向行业特性和用户需求，提供全面、完善、持续的数据容灾备份与风险防护解决方案，助力行业组织提升数据安全技术保障水平,守住数据安全最后一道防线！