更多>>信息公告
- ·关于印发《武汉市国家机关“谁执法谁普法”年
- ·关于开展2023年度武汉市十大普法主题 活动评选工
- ·关于组织开展2023年全市民法典主题宣传 活动的通
- ·关于印发《2023年全市守法普法工作要点》 的通知
- ·市委全面依法治市委员会办公室 市委宣传部 市司
- ·市委全面依法治市委员会办公室 市委宣传部 市司
- ·市委全面依法治市委员会办公室 市委宣传部 市司
- ·关于报送2022年度普法责任清单的通知
- ·关于开展2022年度全国和全省“民主法治 示范村(
- ·关于印发《关于乡村(社区)“法律明白人” 培
- · 关于印发《2022年全市守法普法工作要点》的通知
- ·关于报送2022年度全市领导干部应知应会法律法规
- ·关于印发《关于进一步加强疫情防控典型案(事
- ·市委全面依法治市委员会办公室 市委宣传部 市司
- ·关于全市国家工作人员参加党内法规知识竞赛情
《民法典》中看审计数据安全性
发布时间:2020-07-24 09:55 浏览次数:次
发布时间:2020-07-24 09:55 浏览次数:次
5月28日,《中华人民共和国民法典》正式表决通过,自明年1月1日起施行。《民法典》充分顺应信息化发展趋势,回应“互联网+”时代需求,全面强化个人信息相关权利保障,在总则以及“人格权编”第六章规定了“隐私权和个人信息保护”。审计机关作为政府经济监督部门,在实际工作中,要归集各行业数据开展全覆盖审计,如:扶贫审计中采集教育、工商、车辆、养老、医疗、残疾、死亡人员等信息对扶贫政策措施落实情况进行审计;部门预算执行审计中采集财政供养人口、工资统发、公务卡支出、非税收入明细等数据对人员福利、支出合理性等进行审计。基于以上背景,审计部门如何将《民法典》中相关规定与审计工作紧密结合,维护审计数据安全,筑牢信息安全防护网是值得思考的问题。
审计数据安全性指通过采取必要措施保障归集数据得到有效保护和合法利用。《民法典》第一千零三十八条“个人信息安全完整”中规定“信息处理者不得泄露或者篡改其收集、存储的个人信息;……信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失……”,第一千零三十九条“国家机关及其工作人员对个人信息的保密义务”规定“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”从规定中可看出《民法典》对数据的收集、存储、处理等方面明确提出了数据的安全保护,数据不得泄露、篡改、泄密。个人认为,审计机关可从数据采集、存储、管理、应用环节着手,保障审计数据的安全性。
审计数据采集安全。采集安全性指在数据获取途径上做好安全防护,降低数据泄密的可能性。一方面为数据采集传输安全:数据传输时应保证传输链路的安全可靠,确保数据内容不被恶意截取、篡改;建议在做好网络边界防护的情况下,建立审计机关与被审计单位远程安全访问通道,专网专机采集,或直接对数据进行加密,以密文形式传输采集。另一方面为数据采集拷贝介质安全:从被审计单位获取数据后到提交数据之前,应将数据安全存储,避免因存储介质遗失而数据泄露;建议配备专用采集介质,再采用软件加密或硬件加密的方式提高介质的安全性,常用的软件加密有密码验证、证书验证,硬件加密有指纹加密、USB加密狗加密,软件加密一般通过软件系统设置、操作简单,硬件加密一般固化在硬件芯片中、安全性更高。
审计数据存储安全。存储安全性指应用物理、配置手段来保护存储数据只被授权用户或可信网络访问,避免因硬件、网络、自然灾害等造成数据丢失。一是存储硬件安全,审计数据每年增长量可达TB级,建议采用磁盘阵列(RAID)方式存储:RIAD技术将许多小容量磁盘驱动器存储大量数据,使可靠性和冗余度得到增强,当某一块硬盘出现故障时,系统能自动重构保证数据的正常读取。二是存储网络安全,审计数据中心应处于网络安全节点中,建议通过开展数据存储系统等级保护测评、制定网络安全制度、采用国产核心设备、配备边界防火墙及数据库审计系统、安装不间断电源等措施提高存储网络的安全性。三是数据备份安全,当硬件损坏、网络故障而导致数据无法还原时,备份数据是最后一道安全防线,建议利用数据库自身备份或操作系统文件复制功能建立副本,将副本存储在不同网络节点,采用异地备份分布式结构部署,提高应对各种不可抗拒因素的能力。
审计数据管理安全。管理安全指依托软硬件环境,采取一定措施对数据的读取进行管控,避免非法操作而暴露数据。首先是访问入口安全性,数据访问入口即数据获取的开关,审计数据由专人负责管理的基础上,还需严格实施访问控制策略,如采用密码口令和数字证书相结合的多因子身份认定,验证通过后即为合法用户,获得入口权限。其次是访问权限安全性,成为合法用户后,数据管理员要对人员和数据建立权限分级映射关系,一方面可利用数据库自带的权限模块实现资源访问控制,另一方面可基于数据管理平台,融合审计业务,采取“模块-权限-角色”三级映射法,将不同行业审计数据权限映射到不同用户组,从而实现审计数据访问的细粒度管理。
审计数据应用安全。应用安全指审计使用阶段,审计人员应确保数据操纵的合理性,避免错误运用而破坏数据的完整性、泄露敏感数据。一方面是分析权限安全性,数据管理员在用户权限管理基础上,为审计人员建立“数据安全域”,即允许审计人员访问分析数据,但不能复制拷贝,以此保证数据的完整性;常用办法是先将数据分配在虚拟机中,建立一个虚拟机集群组,再通过设置操作系统组策略禁止远程复制,最后通过虚拟机提供的应用程序访问数据。另一方面是可视化安全性,在审计经验推广、专项汇报中,审计可视化结果应完成数据的脱敏处理,避免直接展示敏感个人信息,如身份证号、银行卡号、电话号码、家庭住址等,缩小隐私数据暴露的范围;数据脱敏常用的有替换、无效化、乱序、平均取值、反关联等方法,审计人员可用替换法对数据进行批量处理即可。
作者姓名:高源 单位:湖北省武汉市江汉区审计局
审计数据安全性指通过采取必要措施保障归集数据得到有效保护和合法利用。《民法典》第一千零三十八条“个人信息安全完整”中规定“信息处理者不得泄露或者篡改其收集、存储的个人信息;……信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失……”,第一千零三十九条“国家机关及其工作人员对个人信息的保密义务”规定“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”从规定中可看出《民法典》对数据的收集、存储、处理等方面明确提出了数据的安全保护,数据不得泄露、篡改、泄密。个人认为,审计机关可从数据采集、存储、管理、应用环节着手,保障审计数据的安全性。
审计数据采集安全。采集安全性指在数据获取途径上做好安全防护,降低数据泄密的可能性。一方面为数据采集传输安全:数据传输时应保证传输链路的安全可靠,确保数据内容不被恶意截取、篡改;建议在做好网络边界防护的情况下,建立审计机关与被审计单位远程安全访问通道,专网专机采集,或直接对数据进行加密,以密文形式传输采集。另一方面为数据采集拷贝介质安全:从被审计单位获取数据后到提交数据之前,应将数据安全存储,避免因存储介质遗失而数据泄露;建议配备专用采集介质,再采用软件加密或硬件加密的方式提高介质的安全性,常用的软件加密有密码验证、证书验证,硬件加密有指纹加密、USB加密狗加密,软件加密一般通过软件系统设置、操作简单,硬件加密一般固化在硬件芯片中、安全性更高。
审计数据存储安全。存储安全性指应用物理、配置手段来保护存储数据只被授权用户或可信网络访问,避免因硬件、网络、自然灾害等造成数据丢失。一是存储硬件安全,审计数据每年增长量可达TB级,建议采用磁盘阵列(RAID)方式存储:RIAD技术将许多小容量磁盘驱动器存储大量数据,使可靠性和冗余度得到增强,当某一块硬盘出现故障时,系统能自动重构保证数据的正常读取。二是存储网络安全,审计数据中心应处于网络安全节点中,建议通过开展数据存储系统等级保护测评、制定网络安全制度、采用国产核心设备、配备边界防火墙及数据库审计系统、安装不间断电源等措施提高存储网络的安全性。三是数据备份安全,当硬件损坏、网络故障而导致数据无法还原时,备份数据是最后一道安全防线,建议利用数据库自身备份或操作系统文件复制功能建立副本,将副本存储在不同网络节点,采用异地备份分布式结构部署,提高应对各种不可抗拒因素的能力。
审计数据管理安全。管理安全指依托软硬件环境,采取一定措施对数据的读取进行管控,避免非法操作而暴露数据。首先是访问入口安全性,数据访问入口即数据获取的开关,审计数据由专人负责管理的基础上,还需严格实施访问控制策略,如采用密码口令和数字证书相结合的多因子身份认定,验证通过后即为合法用户,获得入口权限。其次是访问权限安全性,成为合法用户后,数据管理员要对人员和数据建立权限分级映射关系,一方面可利用数据库自带的权限模块实现资源访问控制,另一方面可基于数据管理平台,融合审计业务,采取“模块-权限-角色”三级映射法,将不同行业审计数据权限映射到不同用户组,从而实现审计数据访问的细粒度管理。
审计数据应用安全。应用安全指审计使用阶段,审计人员应确保数据操纵的合理性,避免错误运用而破坏数据的完整性、泄露敏感数据。一方面是分析权限安全性,数据管理员在用户权限管理基础上,为审计人员建立“数据安全域”,即允许审计人员访问分析数据,但不能复制拷贝,以此保证数据的完整性;常用办法是先将数据分配在虚拟机中,建立一个虚拟机集群组,再通过设置操作系统组策略禁止远程复制,最后通过虚拟机提供的应用程序访问数据。另一方面是可视化安全性,在审计经验推广、专项汇报中,审计可视化结果应完成数据的脱敏处理,避免直接展示敏感个人信息,如身份证号、银行卡号、电话号码、家庭住址等,缩小隐私数据暴露的范围;数据脱敏常用的有替换、无效化、乱序、平均取值、反关联等方法,审计人员可用替换法对数据进行批量处理即可。
作者姓名:高源 单位:湖北省武汉市江汉区审计局
上一篇:我市侨资企业发展现状及对策
下一篇:初识政务短视频媒体的思考