《数据安全法》施行两年来，网安部门聚焦信息数据泄露、滥用、篡改等行业领域问题乱象，加大监督检查、通报预警和行政执法力度。严厉惩治不履行数据安全保护义务的违法行为，全面压紧压实网络运营单位数据安全主体责任。

截止2023年三季度，仅江苏公安已累计依据《数据安全法》办理行政案件336起，单笔处罚金额高达百万元。说明随着《数据安全法》实施和相关配套体系的完善，相关部门正加大执法力度和频度。

（一）未定期梳理数据，按照相关标准规范识别重要数据和核心数据并形成本单位具体目录;

（二）未建立数据全生命周期安全管理制度，未针对不同级别数据明确数据收集、存储、使用、加工、传输、提供、公开、销毁、转移、委托处理等环节的具体分级防护要求和操作规程;

（三）未根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业(领域)监管部门开展工作;

（四）未合理确定数据处理活动的操作权限，严格实施人员权限管理;

（五）未根据应对数据安全事件的需要，制定应急预案，并开展应急演练;

（六）未定期对从业人员开展数据安全教育和培训; 

（七）未开展数据安全风险监测，及时排查安全隐患，采取必要的措施防范数据安全风险;

（八）发现可能造成较大及以上数据安全事件的风险后，未按照风险信息报送与共享工作机制向所在地行业监管部门报告并及时处置;

（九）数据安全事件发生后，未按照应急预案开展应急处置;

（十） 数据安全事件发生后，未按照规定向所在地行业监管部门报告;

（十一） 数据安全事件发生后，未按照规定及时告知用户，并提供减轻危害措施;

（十二）未在数据全生命周期处理过程中，记录数据处理、权限管理、人员操作等日志。日志留存时间少于六个月;

（十三）工业和信息化领域重要数据和核心数据处理者未建立覆盖本单位相关部门的数据安全工作体系，未明确数据安全负责人和管理机构，未建立常态化沟通与协作机制;

（十四）工业和信息化领域重要数据和核心数据处理者未明确数据处理关键岗位和岗位职责，未要求关键岗位人员签署数据安全责任书;

（十五）工业和信息化领域重要数据和核心数据处理者未建立数据内部登记、审批等工作机制，未对重要数据和核心数据的处理活动进行严格管理并留存记录;

（十六）工业和信息化领域重要数据和核心数据处理者未按照有关规定做好重要数据和核心数据目录备案管理; 

（十七）涉及重要数据和核心数据的安全事件，未第一时间向所在地行业监管部门报告，事件处置完成后未在规定期限内形成总结报告，每年未向本地区行业监管部门报告数据安全事件处置情况;

（十八）工业和信息化领域重要数据和核心数据处理者未按照规定对其数据处理活动每年至少开展一次风险评估，及时整改风险问题，并向有关主管部门报送风险评估报告;

（十九）工业和信息化领域重要数据和核心数据处理者报送的风险评估报告未包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等;

（二十）对于核心数据跨主体提供、转移、委托处理，未按照有关规定进行评估、保护、报批等;

（二十一）其他不履行数据安全保护义务的。

>> 加强数据安全内部防护

1、对数据进行分类分级，梳理数据资产，了解企业中有哪些机密数据，并且按照保密等级进行分类，严格把控数据使用权限。

2、对企业内部所有重要数据进行强制、主动加密，保证数据全生命周期都在加密状态下得到保护，防止数据被非正常获取与使用。

3、对外发数据进行严格管控，经过相关领导审批后内部文件才能摆脱密文状态，进行查看和编辑。防止内部员工进行有意或无意的机密文件发送，避免数据外泄。

4、对外提供的文件打上水印，记录操作人员信息，在安全事故发生后第一时间锁定泄密源头，启动应急措施。

>> 完善数据安全管理制度

1、根据《网络安全法》、《数据安全法》、《个人信息保护法》等相关规定，对数据进行分类分级，梳理数据资产，按照“最小必要”原则收集数据，遵循合法、正当、必要原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围。

2、对于第三方或者聘用人员，在协议中应当清楚载明相关的数据安全要求，包括但不限于在合作中需遵循的合规、内控及风险管理要求，服务质量考核评价，安全保密等内容；

3、对数据交互过程进行持续监控，制定和落实网络和信息安全管理措施，尽可能降低过程中的网络和信息安全风险；

4、建立数据安全事件应急处理机制，并定期进行事故处置演练。开展员工数据安全意识培训，了解最新的数据安全国家政策和行业规范，强化员工数据安全意识，明确数据泄密后企业和个人将会承担的法律后果。

当前，还是有不少企业或组织对于数据安全的认知和重视性不足，投入较少，存在侥幸心理。在执法趋严的形势下，各企业或组织还需尽快查缺补漏、落实数据保护义务，防止重大数据安全事件发生，避免遭受处罚。