騰訊安全發布數據安全合規能力圖譜

今年6月份頒發的《中華人民共和國數據安全法》對企業與機構的責任、義務有了更加細致的規范和要求，其中第一章明確提出，“應建立健全數據安全治理體系，提高數據安全保障能力”。

《數據安全法》將于9月1日起正式實施。對于企業而言，數據安全合規工作是題中之義，但實操層面也可能的確存在一些現實困難，例如如何能快速、準確的排查當前的合規差距？如何能最小成本、最小影響的完成合規工作？

為幫助企事業單位順利開展數據安全合規工作，騰訊安全結合大量數據安全治理實踐經驗，發布數據安全合規能力圖譜。根據《數據安全法》的具體內容，騰訊安全將數據合規要求歸納成四類14項51個內容，供企事業單位參考。

（企業級數據安全合規能力圖譜）

01、技術建設類

技術建設類可分為技術措施建設和風險監測能力建設，技術措施根據實際數據活動情況，采取相應的技術措施即可，比較常用的技術措施有動態脫敏技術、訪問控制、電子認證技術、數據加密存儲技術和敏感數據發現技術。

傳統的建設方式是直接采購相應的數據安全產品，數據場景不復雜的情況下比較適用，反之，則會造成功能冗余、產品堆砌、運維工作加重等附加工作。因此，在開展數據安全技術建設時建議采用平臺化的方式，靈活、簡捷，擴充能力強，在新法律法規不斷頒布的同時，可以通過配置調整予以應對。

數據安全技術的運用，應做到精準化管控，“一桿子”的方式不利于數據活動的發展和數據價值發揮，精準化管控可基于分類分級進行設計。

02、排查與整改類

排查與整改類主要包括合理性、業務完善、數據跨境三個方面。該類的工作主要是排查自身業務是否存在違法違規的情況，主要應對手段是業務的整改和應用功能的整改。

通過數據資產自動發現技術能夠快速、準確的輔助排查出合規風險點，節省大量的人力投入。整改工作完成后，還可以通過數據資產發現技術對數據的使用和變化情況進行實時監控，及時發現違規情況，降低違規風險。

全理性主要是指數據的采集應遵循最小夠用原則，并在國家或行業規定的范圍內開展數據活動，在開展數據活動前應當告知數據主體，并得到其授權，并嚴格按照約定管理數據，保障數據主體的合法權益。

03、管理完善類

切實可行的管理制度是保障數據安全的基礎和依據，《數安法》中所提到的管理要求可歸納為管理制度、數據交易管理、數據認責、重要數據目錄和分類分級五項。

管理制度可以基于數據活動進行制定，考慮事前、事中、事后三個維度，明確角色和義務，落實到人。

數據認責可以通過數據的擁有量、訪問量、新增量、更新量等維度做為依據進行劃分，認責的同時還要建設相應的自動化管理工具，輔助數據責任人管理數據。

數據交易管理首先要明確當前業務下所有數據的來源是否合法，大體可分為自采集和外購兩類。外購類則應留存來源的相關證明材料。如果是從事數據交易的機構，則需要對買賣雙方的身份進行驗證，并在協議中說明數據用途、使用時長、使用形式等內容。

重要數據目錄和分類分級是實現數據安全精準防護的基礎和目標，因此，需要在數據安全技術建設前開展。為達到數據安全防護的最佳效果，重要數據目錄的建立和分類分級應遵循全面性、合理性、明確性原則。

04、機制建設類

常態化數據安全管控需要相關的機制作為保障，包括安全培訓機制、安全補救機制、應急處置機制和風險評估機制四類。

數據安全培訓的目的是加強企業內部人員的意識，提升技術人員的技能水平，從而實現整體的數據安全防護水平提升。培訓工作要有計劃、有目的、有考核的開展，方可保證培訓效果。

安全補救和應急處置是應對安全漏洞和安全事件的預案，應定期開展演練工作，確保真正發生時能快速應對，必要時可以聘請相關機構和專家共同開展。

對于重要數據的處理，應定期開展風險評估工作，確保數據處理是在可信、可靠的環境下開展，對于潛在的風險能夠盡早發現、盡早防范。

騰訊安全基于20多年數據安全實踐經驗，結合《數據安全法》條款，輸出數據安全合規能力，助力企事業單位開展數據安全合規工作。