企業數據合規實踐的創新思路
當前數字經濟正在引領全球新經濟的發展,數據作為核心生產要素成為基礎戰略資源,數字經濟與各行業高度融合,并在社會治理中發揮著重要作用,比如智慧城市、智慧醫療、智慧交通等領域,而數字化轉型則是社會經濟實體發展數字經濟的主要途徑,已經成為推動經濟社會發展的核心驅動力。數據資源在跨領域、跨地域、跨組織間的流通與融合產生了巨大價值的同時,針對數據資源的外部攻擊和內部數據濫用現象屢見不鮮,與之對應的是企業數據合規和風險防護能力存在不足,企業數據安全已成為關系國家穩定、社會安全、民生安全的核心議題。
01 國內企業數據安全建設現狀
伴隨國內數據安全法規和監管政策的完善,企業必須遵守一系列的合規要求,同時面對日益復雜的網絡空間威脅和個人信息保護,在數據安全和數據合規雙重壓力下,對企業進行數據安全體系化建設提出更高的要求。在信通院發布的《2021年數據安全行業調研報告》中,通過對各行業數據安全需求方進行問卷調研,展示了目前國內企業數據安全建設的現狀。
1.1 數據安全建設需求分析
問卷對國內企業開展數據安全能力建設的原因進行了調研,有97%的受訪企業認為“合規需求”是開展數據安全能力建設的主要驅動力。由此可以看出,國家在近年來不斷完善對數據安全法律法規及行業規范已初見成效,數據安全合規建設已成為大部分企業的一項重要任務。一個完善的數據安全合規建設,應從頂層設計開始,自上而下從戰略和企業高層責任制進行配套定義,并從人員、組織、流程和技術四個方面進行落地實施。
1.2 數據安全組織架構分析
完善的組織架構是企業進行數據安全建設的基石,通過構建貫穿企業的跨層級、跨部門、跨地域的數據安全組織架構,可以有效地打通管理、技術、業務等部門之間的溝通屏障,使數據安全共識達到統一,最大程度地調動企業開展數據安全合規建設的能動性和積極性。從調研結果看出,77.5%的受訪企業已經建立了數據安全治理組織。其中,32.3%的企業設立了專門的數據安全治理工作委員會,牽頭負責數據安全整體規劃與建設;45.2%的企業選擇沿用網絡與信息安全領導小組作為數據安全工作的牽頭組織,并通過設立數據安全管理團隊保障相關工作的有效執行;此外仍有22.5%的企業反饋尚未建立明確的數據安全組織架構,在缺少該組織的情況下,容易導致內部數據安全治理出現權責交叉、邊界不清、數據安全建設推動受阻等問題,增加數據安全風險。
1.3 數據安全技術應用分析
技術工具是落實數據安全管理要求的有效手段,也是企業數據安全能力建設的基座。根據企業應用數據安全技術應用情況的統計看,95%的企業至少應用了一種數據安全關鍵技術,表明企業在數據安全單點技術方面的應用成熟度較高,其中“數據水印”“數據加密”“數據防泄露”在企業中的應用較為廣泛。
1.4 數據安全痛點分析
企業在開展數據安全建設過程中存在著眾多痛點,從調研結果看,59.6%的企業認為“不了解監管要求”是最大的問題,這說明針對各項法規及監管政策的細化解讀和行業指導亟需推進,另外企業需要結合業務特點,把合規文件有效地轉化為企業自身的管理制度中,包括戰略方針、安全策略、管控流程等,這樣才能使數據安全更好的執行與落地。
1.5 數據安全服務方式分析
數據安全解決方案、安全產品和咨詢規劃是安全供應商提供的主要三大業務形態,從調研結果看,企業主要業務中已實施解決方案占76.3%,對比于提供安全產品(占66.7%),整體解決方案已成為供應商角逐的新領域,體現了企業已經開始逐步重視數據安全與業務發展的完美契合,布局體系化數據安全建設的發展趨勢。另外,咨詢規劃與安全服務各占比為44.2%和42.9%,體現企業對安全咨詢規劃與安全服務重視程度的提升。
02 國內數據安全立法及監管形勢
近年來,國家對數據安全與個人信息保護開展了系統性的頂層設計,以《網絡安全法》《數據安全法》《個人信息保護法》并行構筑網絡空間安全、數據安全及個人信息保護的法律框架,以及各行業部委及地市政府數據安全政策與標準的密集出臺,在充分保護社會各政府機關、企事業單位及公民權益的基礎上,對企業的數據合規工作提出了更高的要求,建設相適應的數據合規體系勢在必行。
與此同時,網信辦、工信部、公安部、銀保監、衛健委等各行業主管部門或監管部門釋放出強監管的信號,并在執法層面呈現出常態化趨勢。在各領域加快部署數據安全管理試點工作,加快提升行政執法能力,加大對行政執法人員和企業數據安全培訓力度,加強數據安全監測、風險報送、應急事件處置等技術能力建設,全面提升數據安全監管綜合能力,指導企業合規進行數據安全管理工作的開展。
03 數據安全合規建設
數據安全合規大體上可以分為以下幾種:
- 法律法規:如《網絡安全法》《數據安全法》《個人信息保護法》等;
- 認證/測試:如數據安全能力成熟度模型(DSMM)認證等;
- 審計要求:如美國上市公司的SOX審計等;
- 監管要求:如網信辦、工信部、銀保監、衛健委等行業主管部門或監管部門下發的檢查文件。
注:如果企業的業務涉及到數據跨境場景,還要嚴格遵守當地國家的法律法規。比如企業開發一款APP面向歐盟用戶提供服務,只要收集歐盟用戶的個人信息,那么就要嚴格遵守GDPR的條款約定。
企業具體對標哪些合規要求呢?需要根據自身的業務實際需求來判斷。不合規,有可能會面臨來自監管部門的處罰,所以說,不合規也是一種風險。我們可以把數據安全合規與風險管理相結合,目的是更好地支撐數據安全治理中的政策方針與原則,將政策方針與原則有效地落實到數據全生命周期的業務流轉過程中。
“一個中心,四個步驟”方法,指以數據安全政策為中心,通過建立政策風險評估、融入流程風險改進、外部認證風險度量、政策改進風險總結四個步驟,循環改進持續提升企業數據安全合規能力。
- “建立政策,風險評估”:通過參考法律法規、監管要求、行業標準,將外部合規要求轉化為企業內部的數據安全管理體系,形成四層文件體系架構(第一層:政策方針;第二層:標準規范;第三層:操作指南/流程;第四層:模板清單),并將其作為內部風險合規評估的依據。
- “融入流程,風險改進”:將數據安全管理體系與數據全生命周期各階段相融合,在業務活動流程中進行執行落地,是管控風險的最佳手段。
- “外部認證,風險度量”:通過外部合規認證或風險評測,客觀的讓企業認識到自身的安全現狀及合規差距。加強常態化的風險稽核手段,及時發現企業在業務活動中數據所面臨的風險,根據風險值和優先級,采取相對應的風險控制措施,使風險控制在可接受的范圍內,提升數據安全整體防護能力。
- “政策改進,風險總結”:對風險評估效果進行總結,促進數據安全合規政策的持續改進。
04 數據安全合規評估示例參考
數據安全合規評估主要利用文件查驗、顧問訪談、系統演示及測評驗證等多種方法評估企業在各類數據處理活動及數據承載系統平臺的保障措施合規情況,從通用性管理與全生命周期管理兩方面出發,針對各個指標項明確評估涉及的重要管理措施、重點技術措施及判斷標準,明確被評估事項合規保障基線,以提升企業數據安全管理及相關技術保障措施能力水平。
- 確定合規評估項:在評估工作開始實施之前,評估人員將依據法律法規、參考監管要求與企業實際情況對評估對象的范圍進行界定,確定數據涉及的生命周期階段,以及各階段所涉及的應用、系統、平臺范圍,同時制定《數據安全合規評估表》,重點整理企業所需進行的數據安全合規評估項,確保整體合規評估方案的完備性與一致性。
- 確認評估方法:基于行業最佳實踐的指導與豐富的合規評估實施經驗,結合企業實際情況,為每一個評估項確定最優的檢查方式,并依據評估方式執行評估工作。如采用工具掃描、文檔查驗、人員訪談、功能演示等方式,逐項對《數據安全合規評估表》中的評估項進行檢測評估。
- 獲取佐證材料:針對每一個評估項,評估人員都將記錄并留存評估項所需的證明依據,證明依據的存在形式,包括但不限于文檔文件、拍照記錄、工具掃描記錄、系統截圖、人工檢查結果以及訪談記錄等。證明依據的原文件均標注有具體對應的評估項編號、評估對象、評估時間以及獲取方式等內容。
- 記錄評估結果:依據《數據安全合規評估表》完成每一個評估項的評估工作后,評估人員將核對每一個評估項的證明依據,根據證明依據判定每一個評估項的符合狀態,并記錄在《數據安全合規評估表》中。
- 風險分析:評估團隊在完成檢查工作后將根據記錄了檢查項證明依據以及符合狀態的《數據安全合規評估表》,綜合分析整理評估對象的合規狀況以及所面臨的數據安全風險。綜合分析現存數據安全風險的危害性以及可能性,生成數據安全風險矩陣。針對評估對象所存在的安全問題,評估團隊將考慮安全整改落實的因素以便于企業整改的最小單元,分析每個單元存在的安全隱患,并結合數據安全風險矩陣,選取合適的控制措施遵循合理的優先級提出安全整改建議。
- 評估總結報告:根據對評估結果的整理歸納,結合數據安全風險分析和安全整改建議,評估團隊將編制符合監管要求的《數據安全合規評估報告》,包括但不限于評估對象數據安全基本情況介紹、數據安全合規評估流程介紹、數據安全評估矩陣、評估對象安全問題分析、整改建議、整改落實情況、復核情況以及簽字等內容。
05 未來展望
法律和行業監管合規是企業數據安全保護的底線,國內外個人隱私濫用、企業重要信息泄露、違規數據跨境等事件頻發,不僅使企業經濟利益和公眾聲譽受損,更為嚴重地會面臨訴訟等法律指控。相信大多數的企業高層已經逐漸認識到數字化轉型背后的嚴峻風險,企業需要加強數據安全合規意識與相關資源的持續投入(如資金、技術和人員等),通過數據安全合規評估,可以有效地幫助企業建立與完善數據安全合規體系,對保障企業數據權益與提升數據安全風險防護能力有著巨大推動作用。
