企业数据合规实践的创新思路

当前数字经济正在引领全球新经济的发展,数据作为核心生产要素成为基础战略资源,数字经济与各行业高度融合,并在社会治理中发挥着重要作用,比如智慧城市、智慧医疗、智慧交通等领域,而数字化转型则是社会经济实体发展数字经济的主要途径,已经成为推动经济社会发展的核心驱动力。数据资源在跨领域、跨地域、跨组织间的流通与融合产生了巨大价值的同时,针对数据资源的外部攻击和内部数据滥用现象屡见不鲜,与之对应的是企业数据合规和风险防护能力存在不足,企业数据安全已成为关系国家稳定、社会安全、民生安全的核心议题。

01

国内企业数据安全建设现状

伴随国内数据安全法规和监管政策的完善,企业必须遵守一系列的合规要求,同时面对日益复杂的网络空间威胁和个人信息保护,在数据安全和数据合规双重压力下,对企业进行数据安全体系化建设提出更高的要求。在信通院发布的《2021年数据安全行业调研报告》中,通过对各行业数据安全需求方进行问卷调研,展示了目前国内企业数据安全建设的现状。

1.1 数据安全建设需求分析

问卷对国内企业开展数据安全能力建设的原因进行了调研,有97%的受访企业认为“合规需求”是开展数据安全能力建设的主要驱动力。由此可以看出,国家在近年来不断完善对数据安全法律法规及行业规范已初见成效,数据安全合规建设已成为大部分企业的一项重要任务。一个完善的数据安全合规建设,应从顶层设计开始,自上而下从战略和企业高层责任制进行配套定义,并从人员、组织、流程和技术四个方面进行落地实施。

1.2 数据安全组织架构分析

完善的组织架构是企业进行数据安全建设的基石,通过构建贯穿企业的跨层级、跨部门、跨地域的数据安全组织架构,可以有效地打通管理、技术、业务等部门之间的沟通屏障,使数据安全共识达到统一,最大程度地调动企业开展数据安全合规建设的能动性和积极性。从调研结果看出,77.5%的受访企业已经建立了数据安全治理组织。其中,32.3%的企业设立了专门的数据安全治理工作委员会,牵头负责数据安全整体规划与建设;45.2%的企业选择沿用网络与信息安全领导小组作为数据安全工作的牵头组织,并通过设立数据安全管理团队保障相关工作的有效执行;此外仍有22.5%的企业反馈尚未建立明确的数据安全组织架构,在缺少该组织的情况下,容易导致内部数据安全治理出现权责交叉、边界不清、数据安全建设推动受阻等问题,增加数据安全风险。

1.3 数据安全技术应用分析

技术工具是落实数据安全管理要求的有效手段,也是企业数据安全能力建设的基座。根据企业应用数据安全技术应用情况的统计看,95%的企业至少应用了一种数据安全关键技术,表明企业在数据安全单点技术方面的应用成熟度较高,其中“数据水印”“数据加密”“数据防泄露”在企业中的应用较为广泛。

1.4 数据安全痛点分析

企业在开展数据安全建设过程中存在着众多痛点,从调研结果看,59.6%的企业认为“不了解监管要求”是最大的问题,这说明针对各项法规及监管政策的细化解读和行业指导亟需推进,另外企业需要结合业务特点,把合规文件有效地转化为企业自身的管理制度中,包括战略方针、安全策略、管控流程等,这样才能使数据安全更好的执行与落地。

1.5 数据安全服务方式分析

数据安全解决方案、安全产品和咨询规划是安全供应商提供的主要三大业务形态,从调研结果看,企业主要业务中已实施解决方案占76.3%,对比于提供安全产品(占66.7%),整体解决方案已成为供应商角逐的新领域,体现了企业已经开始逐步重视数据安全与业务发展的完美契合,布局体系化数据安全建设的发展趋势。另外,咨询规划与安全服务各占比为44.2%和42.9%,体现企业对安全咨询规划与安全服务重视程度的提升。

02

国内数据安全立法及监管形势

近年来,国家对数据安全与个人信息保护开展了系统性的顶层设计,以《网络安全法》《数据安全法》《个人信息保护法》并行构筑网络空间安全、数据安全及个人信息保护的法律框架,以及各行业部委及地市政府数据安全政策与标准的密集出台,在充分保护社会各政府机关、企事业单位及公民权益的基础上,对企业的数据合规工作提出了更高的要求,建设相适应的数据合规体系势在必行。

与此同时,网信办、工信部、公安部、银保监、卫健委等各行业主管部门或监管部门释放出强监管的信号,并在执法层面呈现出常态化趋势。在各领域加快部署数据安全管理试点工作,加快提升行政执法能力,加大对行政执法人员和企业数据安全培训力度,加强数据安全监测、风险报送、应急事件处置等技术能力建设,全面提升数据安全监管综合能力,指导企业合规进行数据安全管理工作的开展。

03

数据安全合规建设

数据安全合规大体上可以分为以下几种:

法律法规:如《网络安全法》《数据安全法》《个人信息保护法》等;

认证/测试:如数据安全能力成熟度模型(DSMM)认证等;

审计要求:如美国上市公司的SOX审计等;

监管要求:如网信办、工信部、银保监、卫健委等行业主管部门或监管部门下发的检查文件。

注:如果企业的业务涉及到数据跨境场景,还要严格遵守当地国家的法律法规。比如企业开发一款APP面向欧盟用户提供服务,只要收集欧盟用户的个人信息,那么就要严格遵守GDPR的条款约定。

企业具体对标哪些合规要求呢?需要根据自身的业务实际需求来判断。不合规,有可能会面临来自监管部门的处罚,所以说,不合规也是一种风险。我们可以把数据安全合规与风险管理相结合,目的是更好地支撑数据安全治理中的政策方针与原则,将政策方针与原则有效地落实到数据全生命周期的业务流转过程中。

“一个中心,四个步骤”方法,指以数据安全政策为中心,通过建立政策风险评估、融入流程风险改进、外部认证风险度量、政策改进风险总结四个步骤,循环改进持续提升企业数据安全合规能力。

“建立政策,风险评估”:通过参考法律法规、监管要求、行业标准,将外部合规要求转化为企业内部的数据安全管理体系,形成四层文件体系架构(第一层:政策方针;第二层:标准规范;第三层:操作指南/流程;第四层:模板清单),并将其作为内部风险合规评估的依据。

“融入流程,风险改进”:将数据安全管理体系与数据全生命周期各阶段相融合,在业务活动流程中进行执行落地,是管控风险的最佳手段。

“外部认证,风险度量”:通过外部合规认证或风险评测,客观的让企业认识到自身的安全现状及合规差距。加强常态化的风险稽核手段,及时发现企业在业务活动中数据所面临的风险,根据风险值和优先级,采取相对应的风险控制措施,使风险控制在可接受的范围内,提升数据安全整体防护能力。

“政策改进,风险总结”:对风险评估效果进行总结,促进数据安全合规政策的持续改进。

04

数据安全合规评估示例参考

数据安全合规评估主要利用文件查验、顾问访谈、系统演示及测评验证等多种方法评估企业在各类数据处理活动及数据承载系统平台的保障措施合规情况,从通用性管理与全生命周期管理两方面出发,针对各个指标项明确评估涉及的重要管理措施、重点技术措施及判断标准,明确被评估事项合规保障基线,以提升企业数据安全管理及相关技术保障措施能力水平。

确定合规评估项:在评估工作开始实施之前,评估人员将依据法律法规、参考监管要求与企业实际情况对评估对象的范围进行界定,确定数据涉及的生命周期阶段,以及各阶段所涉及的应用、系统、平台范围,同时制定《数据安全合规评估表》,重点整理企业所需进行的数据安全合规评估项,确保整体合规评估方案的完备性与一致性。

确认评估方法:基于行业最佳实践的指导与丰富的合规评估实施经验,结合企业实际情况,为每一个评估项确定最优的检查方式,并依据评估方式执行评估工作。如采用工具扫描、文档查验、人员访谈、功能演示等方式,逐项对《数据安全合规评估表》中的评估项进行检测评估。

获取佐证材料:针对每一个评估项,评估人员都将记录并留存评估项所需的证明依据,证明依据的存在形式,包括但不限于文档文件、拍照记录、工具扫描记录、系统截图、人工检查结果以及访谈记录等。证明依据的原文件均标注有具体对应的评估项编号、评估对象、评估时间以及获取方式等内容。

记录评估结果:依据《数据安全合规评估表》完成每一个评估项的评估工作后,评估人员将核对每一个评估项的证明依据,根据证明依据判定每一个评估项的符合状态,并记录在《数据安全合规评估表》中。

风险分析:评估团队在完成检查工作后将根据记录了检查项证明依据以及符合状态的《数据安全合规评估表》,综合分析整理评估对象的合规状况以及所面临的数据安全风险。综合分析现存数据安全风险的危害性以及可能性,生成数据安全风险矩阵。针对评估对象所存在的安全问题,评估团队将考虑安全整改落实的因素以便于企业整改的最小单元,分析每个单元存在的安全隐患,并结合数据安全风险矩阵,选取合适的控制措施遵循合理的优先级提出安全整改建议。

评估总结报告:根据对评估结果的整理归纳,结合数据安全风险分析和安全整改建议,评估团队将编制符合监管要求的《数据安全合规评估报告》,包括但不限于评估对象数据安全基本情况介绍、数据安全合规评估流程介绍、数据安全评估矩阵、评估对象安全问题分析、整改建议、整改落实情况、复核情况以及签字等内容。

05

未来展望

法律和行业监管合规是企业数据安全保护的底线,国内外个人隐私滥用、企业重要信息泄露、违规数据跨境等事件频发,不仅使企业经济利益和公众声誉受损,更为严重地会面临诉讼等法律指控。相信大多数的企业高层已经逐渐认识到数字化转型背后的严峻风险,企业需要加强数据安全合规意识与相关资源的持续投入(如资金、技术和人员等),通过数据安全合规评估,可以有效地帮助企业建立与完善数据安全合规体系,对保障企业数据权益与提升数据安全风险防护能力有着巨大推动作用。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。