當(dāng)前數(shù)字經(jīng)濟(jì)正在引領(lǐng)全球新經(jīng)濟(jì)的發(fā)展,數(shù)據(jù)作為核心生產(chǎn)要素成為基礎(chǔ)戰(zhàn)略資源,數(shù)字經(jīng)濟(jì)與各行業(yè)高度融合,并在社會治理中發(fā)揮著重要作用,比如智慧城市、智慧醫(yī)療、智慧交通等領(lǐng)域,而數(shù)字化轉(zhuǎn)型則是社會經(jīng)濟(jì)實體發(fā)展數(shù)字經(jīng)濟(jì)的主要途徑,已經(jīng)成為推動經(jīng)濟(jì)社會發(fā)展的核心驅(qū)動力。數(shù)據(jù)資源在跨領(lǐng)域、跨地域、跨組織間的流通與融合產(chǎn)生了巨大價值的同時,針對數(shù)據(jù)資源的外部攻擊和內(nèi)部數(shù)據(jù)濫用現(xiàn)象屢見不鮮,與之對應(yīng)的是企業(yè)數(shù)據(jù)合規(guī)和風(fēng)險防護(hù)能力存在不足,企業(yè)數(shù)據(jù)安全已成為關(guān)系國家穩(wěn)定、社會安全、民生安全的核心議題。

01

國內(nèi)企業(yè)數(shù)據(jù)安全建設(shè)現(xiàn)狀

伴隨國內(nèi)數(shù)據(jù)安全法規(guī)和監(jiān)管政策的完善,企業(yè)必須遵守一系列的合規(guī)要求,同時面對日益復(fù)雜的網(wǎng)絡(luò)空間威脅和個人信息保護(hù),在數(shù)據(jù)安全和數(shù)據(jù)合規(guī)雙重壓力下,對企業(yè)進(jìn)行數(shù)據(jù)安全體系化建設(shè)提出更高的要求。在信通院發(fā)布的《2021年數(shù)據(jù)安全行業(yè)調(diào)研報告》中,通過對各行業(yè)數(shù)據(jù)安全需求方進(jìn)行問卷調(diào)研,展示了目前國內(nèi)企業(yè)數(shù)據(jù)安全建設(shè)的現(xiàn)狀。

1.1 數(shù)據(jù)安全建設(shè)需求分析

問卷對國內(nèi)企業(yè)開展數(shù)據(jù)安全能力建設(shè)的原因進(jìn)行了調(diào)研,有97%的受訪企業(yè)認(rèn)為“合規(guī)需求”是開展數(shù)據(jù)安全能力建設(shè)的主要驅(qū)動力。由此可以看出,國家在近年來不斷完善對數(shù)據(jù)安全法律法規(guī)及行業(yè)規(guī)范已初見成效,數(shù)據(jù)安全合規(guī)建設(shè)已成為大部分企業(yè)的一項重要任務(wù)。一個完善的數(shù)據(jù)安全合規(guī)建設(shè),應(yīng)從頂層設(shè)計開始,自上而下從戰(zhàn)略和企業(yè)高層責(zé)任制進(jìn)行配套定義,并從人員、組織、流程和技術(shù)四個方面進(jìn)行落地實施。

1.2 數(shù)據(jù)安全組織架構(gòu)分析

完善的組織架構(gòu)是企業(yè)進(jìn)行數(shù)據(jù)安全建設(shè)的基石,通過構(gòu)建貫穿企業(yè)的跨層級、跨部門、跨地域的數(shù)據(jù)安全組織架構(gòu),可以有效地打通管理、技術(shù)、業(yè)務(wù)等部門之間的溝通屏障,使數(shù)據(jù)安全共識達(dá)到統(tǒng)一,最大程度地調(diào)動企業(yè)開展數(shù)據(jù)安全合規(guī)建設(shè)的能動性和積極性。從調(diào)研結(jié)果看出,77.5%的受訪企業(yè)已經(jīng)建立了數(shù)據(jù)安全治理組織。其中,32.3%的企業(yè)設(shè)立了專門的數(shù)據(jù)安全治理工作委員會,牽頭負(fù)責(zé)數(shù)據(jù)安全整體規(guī)劃與建設(shè);45.2%的企業(yè)選擇沿用網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組作為數(shù)據(jù)安全工作的牽頭組織,并通過設(shè)立數(shù)據(jù)安全管理團(tuán)隊保障相關(guān)工作的有效執(zhí)行;此外仍有22.5%的企業(yè)反饋尚未建立明確的數(shù)據(jù)安全組織架構(gòu),在缺少該組織的情況下,容易導(dǎo)致內(nèi)部數(shù)據(jù)安全治理出現(xiàn)權(quán)責(zé)交叉、邊界不清、數(shù)據(jù)安全建設(shè)推動受阻等問題,增加數(shù)據(jù)安全風(fēng)險。

1.3 數(shù)據(jù)安全技術(shù)應(yīng)用分析

技術(shù)工具是落實數(shù)據(jù)安全管理要求的有效手段,也是企業(yè)數(shù)據(jù)安全能力建設(shè)的基座。根據(jù)企業(yè)應(yīng)用數(shù)據(jù)安全技術(shù)應(yīng)用情況的統(tǒng)計看,95%的企業(yè)至少應(yīng)用了一種數(shù)據(jù)安全關(guān)鍵技術(shù),表明企業(yè)在數(shù)據(jù)安全單點技術(shù)方面的應(yīng)用成熟度較高,其中“數(shù)據(jù)水印”“數(shù)據(jù)加密”“數(shù)據(jù)防泄露”在企業(yè)中的應(yīng)用較為廣泛。

1.4 數(shù)據(jù)安全痛點分析

企業(yè)在開展數(shù)據(jù)安全建設(shè)過程中存在著眾多痛點,從調(diào)研結(jié)果看,59.6%的企業(yè)認(rèn)為“不了解監(jiān)管要求”是最大的問題,這說明針對各項法規(guī)及監(jiān)管政策的細(xì)化解讀和行業(yè)指導(dǎo)亟需推進(jìn),另外企業(yè)需要結(jié)合業(yè)務(wù)特點,把合規(guī)文件有效地轉(zhuǎn)化為企業(yè)自身的管理制度中,包括戰(zhàn)略方針、安全策略、管控流程等,這樣才能使數(shù)據(jù)安全更好的執(zhí)行與落地。

1.5 數(shù)據(jù)安全服務(wù)方式分析

數(shù)據(jù)安全解決方案、安全產(chǎn)品和咨詢規(guī)劃是安全供應(yīng)商提供的主要三大業(yè)務(wù)形態(tài),從調(diào)研結(jié)果看,企業(yè)主要業(yè)務(wù)中已實施解決方案占76.3%,對比于提供安全產(chǎn)品(占66.7%),整體解決方案已成為供應(yīng)商角逐的新領(lǐng)域,體現(xiàn)了企業(yè)已經(jīng)開始逐步重視數(shù)據(jù)安全與業(yè)務(wù)發(fā)展的完美契合,布局體系化數(shù)據(jù)安全建設(shè)的發(fā)展趨勢。另外,咨詢規(guī)劃與安全服務(wù)各占比為44.2%和42.9%,體現(xiàn)企業(yè)對安全咨詢規(guī)劃與安全服務(wù)重視程度的提升。

02

國內(nèi)數(shù)據(jù)安全立法及監(jiān)管形勢

近年來,國家對數(shù)據(jù)安全與個人信息保護(hù)開展了系統(tǒng)性的頂層設(shè)計,以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》并行構(gòu)筑網(wǎng)絡(luò)空間安全、數(shù)據(jù)安全及個人信息保護(hù)的法律框架,以及各行業(yè)部委及地市政府?dāng)?shù)據(jù)安全政策與標(biāo)準(zhǔn)的密集出臺,在充分保護(hù)社會各政府機(jī)關(guān)、企事業(yè)單位及公民權(quán)益的基礎(chǔ)上,對企業(yè)的數(shù)據(jù)合規(guī)工作提出了更高的要求,建設(shè)相適應(yīng)的數(shù)據(jù)合規(guī)體系勢在必行。

與此同時,網(wǎng)信辦、工信部、公安部、銀保監(jiān)、衛(wèi)健委等各行業(yè)主管部門或監(jiān)管部門釋放出強監(jiān)管的信號,并在執(zhí)法層面呈現(xiàn)出常態(tài)化趨勢。在各領(lǐng)域加快部署數(shù)據(jù)安全管理試點工作,加快提升行政執(zhí)法能力,加大對行政執(zhí)法人員和企業(yè)數(shù)據(jù)安全培訓(xùn)力度,加強數(shù)據(jù)安全監(jiān)測、風(fēng)險報送、應(yīng)急事件處置等技術(shù)能力建設(shè),全面提升數(shù)據(jù)安全監(jiān)管綜合能力,指導(dǎo)企業(yè)合規(guī)進(jìn)行數(shù)據(jù)安全管理工作的開展。

03

數(shù)據(jù)安全合規(guī)建設(shè)

數(shù)據(jù)安全合規(guī)大體上可以分為以下幾種:

法律法規(guī):如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等;

認(rèn)證/測試:如數(shù)據(jù)安全能力成熟度模型(DSMM)認(rèn)證等;

審計要求:如美國上市公司的SOX審計等;

監(jiān)管要求:如網(wǎng)信辦、工信部、銀保監(jiān)、衛(wèi)健委等行業(yè)主管部門或監(jiān)管部門下發(fā)的檢查文件。

注:如果企業(yè)的業(yè)務(wù)涉及到數(shù)據(jù)跨境場景,還要嚴(yán)格遵守當(dāng)?shù)貒业姆煞ㄒ?guī)。比如企業(yè)開發(fā)一款A(yù)PP面向歐盟用戶提供服務(wù),只要收集歐盟用戶的個人信息,那么就要嚴(yán)格遵守GDPR的條款約定。

企業(yè)具體對標(biāo)哪些合規(guī)要求呢?需要根據(jù)自身的業(yè)務(wù)實際需求來判斷。不合規(guī),有可能會面臨來自監(jiān)管部門的處罰,所以說,不合規(guī)也是一種風(fēng)險。我們可以把數(shù)據(jù)安全合規(guī)與風(fēng)險管理相結(jié)合,目的是更好地支撐數(shù)據(jù)安全治理中的政策方針與原則,將政策方針與原則有效地落實到數(shù)據(jù)全生命周期的業(yè)務(wù)流轉(zhuǎn)過程中。

“一個中心,四個步驟”方法,指以數(shù)據(jù)安全政策為中心,通過建立政策風(fēng)險評估、融入流程風(fēng)險改進(jìn)、外部認(rèn)證風(fēng)險度量、政策改進(jìn)風(fēng)險總結(jié)四個步驟,循環(huán)改進(jìn)持續(xù)提升企業(yè)數(shù)據(jù)安全合規(guī)能力。

“建立政策,風(fēng)險評估”:通過參考法律法規(guī)、監(jiān)管要求、行業(yè)標(biāo)準(zhǔn),將外部合規(guī)要求轉(zhuǎn)化為企業(yè)內(nèi)部的數(shù)據(jù)安全管理體系,形成四層文件體系架構(gòu)(第一層:政策方針;第二層:標(biāo)準(zhǔn)規(guī)范;第三層:操作指南/流程;第四層:模板清單),并將其作為內(nèi)部風(fēng)險合規(guī)評估的依據(jù)。

“融入流程,風(fēng)險改進(jìn)”:將數(shù)據(jù)安全管理體系與數(shù)據(jù)全生命周期各階段相融合,在業(yè)務(wù)活動流程中進(jìn)行執(zhí)行落地,是管控風(fēng)險的最佳手段。

“外部認(rèn)證,風(fēng)險度量”:通過外部合規(guī)認(rèn)證或風(fēng)險評測,客觀的讓企業(yè)認(rèn)識到自身的安全現(xiàn)狀及合規(guī)差距。加強常態(tài)化的風(fēng)險稽核手段,及時發(fā)現(xiàn)企業(yè)在業(yè)務(wù)活動中數(shù)據(jù)所面臨的風(fēng)險,根據(jù)風(fēng)險值和優(yōu)先級,采取相對應(yīng)的風(fēng)險控制措施,使風(fēng)險控制在可接受的范圍內(nèi),提升數(shù)據(jù)安全整體防護(hù)能力。

“政策改進(jìn),風(fēng)險總結(jié)”:對風(fēng)險評估效果進(jìn)行總結(jié),促進(jìn)數(shù)據(jù)安全合規(guī)政策的持續(xù)改進(jìn)。

04

數(shù)據(jù)安全合規(guī)評估示例參考

數(shù)據(jù)安全合規(guī)評估主要利用文件查驗、顧問訪談、系統(tǒng)演示及測評驗證等多種方法評估企業(yè)在各類數(shù)據(jù)處理活動及數(shù)據(jù)承載系統(tǒng)平臺的保障措施合規(guī)情況,從通用性管理與全生命周期管理兩方面出發(fā),針對各個指標(biāo)項明確評估涉及的重要管理措施、重點技術(shù)措施及判斷標(biāo)準(zhǔn),明確被評估事項合規(guī)保障基線,以提升企業(yè)數(shù)據(jù)安全管理及相關(guān)技術(shù)保障措施能力水平。

確定合規(guī)評估項:在評估工作開始實施之前,評估人員將依據(jù)法律法規(guī)、參考監(jiān)管要求與企業(yè)實際情況對評估對象的范圍進(jìn)行界定,確定數(shù)據(jù)涉及的生命周期階段,以及各階段所涉及的應(yīng)用、系統(tǒng)、平臺范圍,同時制定《數(shù)據(jù)安全合規(guī)評估表》,重點整理企業(yè)所需進(jìn)行的數(shù)據(jù)安全合規(guī)評估項,確保整體合規(guī)評估方案的完備性與一致性。

確認(rèn)評估方法:基于行業(yè)最佳實踐的指導(dǎo)與豐富的合規(guī)評估實施經(jīng)驗,結(jié)合企業(yè)實際情況,為每一個評估項確定最優(yōu)的檢查方式,并依據(jù)評估方式執(zhí)行評估工作。如采用工具掃描、文檔查驗、人員訪談、功能演示等方式,逐項對《數(shù)據(jù)安全合規(guī)評估表》中的評估項進(jìn)行檢測評估。

獲取佐證材料:針對每一個評估項,評估人員都將記錄并留存評估項所需的證明依據(jù),證明依據(jù)的存在形式,包括但不限于文檔文件、拍照記錄、工具掃描記錄、系統(tǒng)截圖、人工檢查結(jié)果以及訪談記錄等。證明依據(jù)的原文件均標(biāo)注有具體對應(yīng)的評估項編號、評估對象、評估時間以及獲取方式等內(nèi)容。

記錄評估結(jié)果:依據(jù)《數(shù)據(jù)安全合規(guī)評估表》完成每一個評估項的評估工作后,評估人員將核對每一個評估項的證明依據(jù),根據(jù)證明依據(jù)判定每一個評估項的符合狀態(tài),并記錄在《數(shù)據(jù)安全合規(guī)評估表》中。

風(fēng)險分析:評估團(tuán)隊在完成檢查工作后將根據(jù)記錄了檢查項證明依據(jù)以及符合狀態(tài)的《數(shù)據(jù)安全合規(guī)評估表》,綜合分析整理評估對象的合規(guī)狀況以及所面臨的數(shù)據(jù)安全風(fēng)險。綜合分析現(xiàn)存數(shù)據(jù)安全風(fēng)險的危害性以及可能性,生成數(shù)據(jù)安全風(fēng)險矩陣。針對評估對象所存在的安全問題,評估團(tuán)隊將考慮安全整改落實的因素以便于企業(yè)整改的最小單元,分析每個單元存在的安全隱患,并結(jié)合數(shù)據(jù)安全風(fēng)險矩陣,選取合適的控制措施遵循合理的優(yōu)先級提出安全整改建議。

評估總結(jié)報告:根據(jù)對評估結(jié)果的整理歸納,結(jié)合數(shù)據(jù)安全風(fēng)險分析和安全整改建議,評估團(tuán)隊將編制符合監(jiān)管要求的《數(shù)據(jù)安全合規(guī)評估報告》,包括但不限于評估對象數(shù)據(jù)安全基本情況介紹、數(shù)據(jù)安全合規(guī)評估流程介紹、數(shù)據(jù)安全評估矩陣、評估對象安全問題分析、整改建議、整改落實情況、復(fù)核情況以及簽字等內(nèi)容。

05

未來展望

法律和行業(yè)監(jiān)管合規(guī)是企業(yè)數(shù)據(jù)安全保護(hù)的底線,國內(nèi)外個人隱私濫用、企業(yè)重要信息泄露、違規(guī)數(shù)據(jù)跨境等事件頻發(fā),不僅使企業(yè)經(jīng)濟(jì)利益和公眾聲譽受損,更為嚴(yán)重地會面臨訴訟等法律指控。相信大多數(shù)的企業(yè)高層已經(jīng)逐漸認(rèn)識到數(shù)字化轉(zhuǎn)型背后的嚴(yán)峻風(fēng)險,企業(yè)需要加強數(shù)據(jù)安全合規(guī)意識與相關(guān)資源的持續(xù)投入(如資金、技術(shù)和人員等),通過數(shù)據(jù)安全合規(guī)評估,可以有效地幫助企業(yè)建立與完善數(shù)據(jù)安全合規(guī)體系,對保障企業(yè)數(shù)據(jù)權(quán)益與提升數(shù)據(jù)安全風(fēng)險防護(hù)能力有著巨大推動作用。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎!此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：