當前數字經濟正在引領全球新經濟的發(fā)展,數據作為核心生產要素成為基礎戰(zhàn)略資源,數字經濟與各行業(yè)高度融合,并在社會治理中發(fā)揮著重要作用,比如智慧城市、智慧醫(yī)療、智慧交通等領域,而數字化轉型則是社會經濟實體發(fā)展數字經濟的主要途徑,已經成為推動經濟社會發(fā)展的核心驅動力。數據資源在跨領域、跨地域、跨組織間的流通與融合產生了巨大價值的同時,針對數據資源的外部攻擊和內部數據濫用現象屢見不鮮,與之對應的是企業(yè)數據合規(guī)和風險防護能力存在不足,企業(yè)數據安全已成為關系國家穩(wěn)定、社會安全、民生安全的核心議題。

01

國內企業(yè)數據安全建設現狀

伴隨國內數據安全法規(guī)和監(jiān)管政策的完善,企業(yè)必須遵守一系列的合規(guī)要求,同時面對日益復雜的網絡空間威脅和個人信息保護,在數據安全和數據合規(guī)雙重壓力下,對企業(yè)進行數據安全體系化建設提出更高的要求。在信通院發(fā)布的《2021年數據安全行業(yè)調研報告》中,通過對各行業(yè)數據安全需求方進行問卷調研,展示了目前國內企業(yè)數據安全建設的現狀。

1.1 數據安全建設需求分析

問卷對國內企業(yè)開展數據安全能力建設的原因進行了調研,有97%的受訪企業(yè)認為“合規(guī)需求”是開展數據安全能力建設的主要驅動力。由此可以看出,國家在近年來不斷完善對數據安全法律法規(guī)及行業(yè)規(guī)范已初見成效,數據安全合規(guī)建設已成為大部分企業(yè)的一項重要任務。一個完善的數據安全合規(guī)建設,應從頂層設計開始,自上而下從戰(zhàn)略和企業(yè)高層責任制進行配套定義,并從人員、組織、流程和技術四個方面進行落地實施。

1.2 數據安全組織架構分析

完善的組織架構是企業(yè)進行數據安全建設的基石,通過構建貫穿企業(yè)的跨層級、跨部門、跨地域的數據安全組織架構,可以有效地打通管理、技術、業(yè)務等部門之間的溝通屏障,使數據安全共識達到統一,最大程度地調動企業(yè)開展數據安全合規(guī)建設的能動性和積極性。從調研結果看出,77.5%的受訪企業(yè)已經建立了數據安全治理組織。其中,32.3%的企業(yè)設立了專門的數據安全治理工作委員會,牽頭負責數據安全整體規(guī)劃與建設;45.2%的企業(yè)選擇沿用網絡與信息安全領導小組作為數據安全工作的牽頭組織,并通過設立數據安全管理團隊保障相關工作的有效執(zhí)行;此外仍有22.5%的企業(yè)反饋尚未建立明確的數據安全組織架構,在缺少該組織的情況下,容易導致內部數據安全治理出現權責交叉、邊界不清、數據安全建設推動受阻等問題,增加數據安全風險。

1.3 數據安全技術應用分析

技術工具是落實數據安全管理要求的有效手段,也是企業(yè)數據安全能力建設的基座。根據企業(yè)應用數據安全技術應用情況的統計看,95%的企業(yè)至少應用了一種數據安全關鍵技術,表明企業(yè)在數據安全單點技術方面的應用成熟度較高,其中“數據水印”“數據加密”“數據防泄露”在企業(yè)中的應用較為廣泛。

1.4 數據安全痛點分析

企業(yè)在開展數據安全建設過程中存在著眾多痛點,從調研結果看,59.6%的企業(yè)認為“不了解監(jiān)管要求”是最大的問題,這說明針對各項法規(guī)及監(jiān)管政策的細化解讀和行業(yè)指導亟需推進,另外企業(yè)需要結合業(yè)務特點,把合規(guī)文件有效地轉化為企業(yè)自身的管理制度中,包括戰(zhàn)略方針、安全策略、管控流程等,這樣才能使數據安全更好的執(zhí)行與落地。

1.5 數據安全服務方式分析

數據安全解決方案、安全產品和咨詢規(guī)劃是安全供應商提供的主要三大業(yè)務形態(tài),從調研結果看,企業(yè)主要業(yè)務中已實施解決方案占76.3%,對比于提供安全產品(占66.7%),整體解決方案已成為供應商角逐的新領域,體現了企業(yè)已經開始逐步重視數據安全與業(yè)務發(fā)展的完美契合,布局體系化數據安全建設的發(fā)展趨勢。另外,咨詢規(guī)劃與安全服務各占比為44.2%和42.9%,體現企業(yè)對安全咨詢規(guī)劃與安全服務重視程度的提升。

02

國內數據安全立法及監(jiān)管形勢

近年來,國家對數據安全與個人信息保護開展了系統性的頂層設計,以《網絡安全法》《數據安全法》《個人信息保護法》并行構筑網絡空間安全、數據安全及個人信息保護的法律框架,以及各行業(yè)部委及地市政府數據安全政策與標準的密集出臺,在充分保護社會各政府機關、企事業(yè)單位及公民權益的基礎上,對企業(yè)的數據合規(guī)工作提出了更高的要求,建設相適應的數據合規(guī)體系勢在必行。

與此同時,網信辦、工信部、公安部、銀保監(jiān)、衛(wèi)健委等各行業(yè)主管部門或監(jiān)管部門釋放出強監(jiān)管的信號,并在執(zhí)法層面呈現出常態(tài)化趨勢。在各領域加快部署數據安全管理試點工作,加快提升行政執(zhí)法能力,加大對行政執(zhí)法人員和企業(yè)數據安全培訓力度,加強數據安全監(jiān)測、風險報送、應急事件處置等技術能力建設,全面提升數據安全監(jiān)管綜合能力,指導企業(yè)合規(guī)進行數據安全管理工作的開展。

03

數據安全合規(guī)建設

數據安全合規(guī)大體上可以分為以下幾種:

法律法規(guī):如《網絡安全法》《數據安全法》《個人信息保護法》等;

認證/測試:如數據安全能力成熟度模型(DSMM)認證等;

審計要求:如美國上市公司的SOX審計等;

監(jiān)管要求:如網信辦、工信部、銀保監(jiān)、衛(wèi)健委等行業(yè)主管部門或監(jiān)管部門下發(fā)的檢查文件。

注:如果企業(yè)的業(yè)務涉及到數據跨境場景,還要嚴格遵守當地國家的法律法規(guī)。比如企業(yè)開發(fā)一款APP面向歐盟用戶提供服務,只要收集歐盟用戶的個人信息,那么就要嚴格遵守GDPR的條款約定。

企業(yè)具體對標哪些合規(guī)要求呢?需要根據自身的業(yè)務實際需求來判斷。不合規(guī),有可能會面臨來自監(jiān)管部門的處罰,所以說,不合規(guī)也是一種風險。我們可以把數據安全合規(guī)與風險管理相結合,目的是更好地支撐數據安全治理中的政策方針與原則,將政策方針與原則有效地落實到數據全生命周期的業(yè)務流轉過程中。

“一個中心,四個步驟”方法,指以數據安全政策為中心,通過建立政策風險評估、融入流程風險改進、外部認證風險度量、政策改進風險總結四個步驟,循環(huán)改進持續(xù)提升企業(yè)數據安全合規(guī)能力。

“建立政策,風險評估”:通過參考法律法規(guī)、監(jiān)管要求、行業(yè)標準,將外部合規(guī)要求轉化為企業(yè)內部的數據安全管理體系,形成四層文件體系架構(第一層:政策方針;第二層:標準規(guī)范;第三層:操作指南/流程;第四層:模板清單),并將其作為內部風險合規(guī)評估的依據。

“融入流程,風險改進”:將數據安全管理體系與數據全生命周期各階段相融合,在業(yè)務活動流程中進行執(zhí)行落地,是管控風險的最佳手段。

“外部認證,風險度量”:通過外部合規(guī)認證或風險評測,客觀的讓企業(yè)認識到自身的安全現狀及合規(guī)差距。加強常態(tài)化的風險稽核手段,及時發(fā)現企業(yè)在業(yè)務活動中數據所面臨的風險,根據風險值和優(yōu)先級,采取相對應的風險控制措施,使風險控制在可接受的范圍內,提升數據安全整體防護能力。

“政策改進,風險總結”:對風險評估效果進行總結,促進數據安全合規(guī)政策的持續(xù)改進。

04

數據安全合規(guī)評估示例參考

數據安全合規(guī)評估主要利用文件查驗、顧問訪談、系統演示及測評驗證等多種方法評估企業(yè)在各類數據處理活動及數據承載系統平臺的保障措施合規(guī)情況,從通用性管理與全生命周期管理兩方面出發(fā),針對各個指標項明確評估涉及的重要管理措施、重點技術措施及判斷標準,明確被評估事項合規(guī)保障基線,以提升企業(yè)數據安全管理及相關技術保障措施能力水平。

確定合規(guī)評估項:在評估工作開始實施之前,評估人員將依據法律法規(guī)、參考監(jiān)管要求與企業(yè)實際情況對評估對象的范圍進行界定,確定數據涉及的生命周期階段,以及各階段所涉及的應用、系統、平臺范圍,同時制定《數據安全合規(guī)評估表》,重點整理企業(yè)所需進行的數據安全合規(guī)評估項,確保整體合規(guī)評估方案的完備性與一致性。

確認評估方法:基于行業(yè)最佳實踐的指導與豐富的合規(guī)評估實施經驗,結合企業(yè)實際情況,為每一個評估項確定最優(yōu)的檢查方式,并依據評估方式執(zhí)行評估工作。如采用工具掃描、文檔查驗、人員訪談、功能演示等方式,逐項對《數據安全合規(guī)評估表》中的評估項進行檢測評估。

獲取佐證材料:針對每一個評估項,評估人員都將記錄并留存評估項所需的證明依據,證明依據的存在形式,包括但不限于文檔文件、拍照記錄、工具掃描記錄、系統截圖、人工檢查結果以及訪談記錄等。證明依據的原文件均標注有具體對應的評估項編號、評估對象、評估時間以及獲取方式等內容。

記錄評估結果:依據《數據安全合規(guī)評估表》完成每一個評估項的評估工作后,評估人員將核對每一個評估項的證明依據,根據證明依據判定每一個評估項的符合狀態(tài),并記錄在《數據安全合規(guī)評估表》中。

風險分析:評估團隊在完成檢查工作后將根據記錄了檢查項證明依據以及符合狀態(tài)的《數據安全合規(guī)評估表》,綜合分析整理評估對象的合規(guī)狀況以及所面臨的數據安全風險。綜合分析現存數據安全風險的危害性以及可能性,生成數據安全風險矩陣。針對評估對象所存在的安全問題,評估團隊將考慮安全整改落實的因素以便于企業(yè)整改的最小單元,分析每個單元存在的安全隱患,并結合數據安全風險矩陣,選取合適的控制措施遵循合理的優(yōu)先級提出安全整改建議。

評估總結報告:根據對評估結果的整理歸納,結合數據安全風險分析和安全整改建議,評估團隊將編制符合監(jiān)管要求的《數據安全合規(guī)評估報告》,包括但不限于評估對象數據安全基本情況介紹、數據安全合規(guī)評估流程介紹、數據安全評估矩陣、評估對象安全問題分析、整改建議、整改落實情況、復核情況以及簽字等內容。

05

未來展望

法律和行業(yè)監(jiān)管合規(guī)是企業(yè)數據安全保護的底線,國內外個人隱私濫用、企業(yè)重要信息泄露、違規(guī)數據跨境等事件頻發(fā),不僅使企業(yè)經濟利益和公眾聲譽受損,更為嚴重地會面臨訴訟等法律指控。相信大多數的企業(yè)高層已經逐漸認識到數字化轉型背后的嚴峻風險,企業(yè)需要加強數據安全合規(guī)意識與相關資源的持續(xù)投入(如資金、技術和人員等),通過數據安全合規(guī)評估,可以有效地幫助企業(yè)建立與完善數據安全合規(guī)體系,對保障企業(yè)數據權益與提升數據安全風險防護能力有著巨大推動作用。

免責聲明：市場有風險，選擇需謹慎!此文僅供參考，不作買賣依據。

關鍵詞：