當(dāng)前數(shù)字經(jīng)濟(jì)正在引領(lǐng)全球新經(jīng)濟(jì)的發(fā)展,數(shù)據(jù)作為核心生產(chǎn)要素成為基礎(chǔ)戰(zhàn)略資源,數(shù)字經(jīng)濟(jì)與各行業(yè)高度融合,并在社會(huì)治理中發(fā)揮著重要作用,比如智慧城市、智慧醫(yī)療����、智慧交通等領(lǐng)域,而數(shù)字化轉(zhuǎn)型則是社會(huì)經(jīng)濟(jì)實(shí)體發(fā)展數(shù)字經(jīng)濟(jì)的主要途徑,已經(jīng)成為推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展的核心驅(qū)動(dòng)力����。數(shù)據(jù)資源在跨領(lǐng)域�����、跨地域��、跨組織間的流通與融合產(chǎn)生了巨大價(jià)值的同時(shí),針對(duì)數(shù)據(jù)資源的外部攻擊和內(nèi)部數(shù)據(jù)濫用現(xiàn)象屢見不鮮,與之對(duì)應(yīng)的是企業(yè)數(shù)據(jù)合規(guī)和風(fēng)險(xiǎn)防護(hù)能力存在不足,企業(yè)數(shù)據(jù)安全已成為關(guān)系國(guó)家穩(wěn)定�、社會(huì)安全、民生安全的核心議題��。
01
國(guó)內(nèi)企業(yè)數(shù)據(jù)安全建設(shè)現(xiàn)狀
伴隨國(guó)內(nèi)數(shù)據(jù)安全法規(guī)和監(jiān)管政策的完善,企業(yè)必須遵守一系列的合規(guī)要求,同時(shí)面對(duì)日益復(fù)雜的網(wǎng)絡(luò)空間威脅和個(gè)人信息保護(hù),在數(shù)據(jù)安全和數(shù)據(jù)合規(guī)雙重壓力下,對(duì)企業(yè)進(jìn)行數(shù)據(jù)安全體系化建設(shè)提出更高的要求��。在信通院發(fā)布的《2021年數(shù)據(jù)安全行業(yè)調(diào)研報(bào)告》中,通過(guò)對(duì)各行業(yè)數(shù)據(jù)安全需求方進(jìn)行問卷調(diào)研,展示了目前國(guó)內(nèi)企業(yè)數(shù)據(jù)安全建設(shè)的現(xiàn)狀�。
1.1 數(shù)據(jù)安全建設(shè)需求分析
問卷對(duì)國(guó)內(nèi)企業(yè)開展數(shù)據(jù)安全能力建設(shè)的原因進(jìn)行了調(diào)研,有97%的受訪企業(yè)認(rèn)為“合規(guī)需求”是開展數(shù)據(jù)安全能力建設(shè)的主要驅(qū)動(dòng)力。由此可以看出,國(guó)家在近年來(lái)不斷完善對(duì)數(shù)據(jù)安全法律法規(guī)及行業(yè)規(guī)范已初見成效,數(shù)據(jù)安全合規(guī)建設(shè)已成為大部分企業(yè)的一項(xiàng)重要任務(wù)�����。一個(gè)完善的數(shù)據(jù)安全合規(guī)建設(shè),應(yīng)從頂層設(shè)計(jì)開始,自上而下從戰(zhàn)略和企業(yè)高層責(zé)任制進(jìn)行配套定義,并從人員��、組織�����、流程和技術(shù)四個(gè)方面進(jìn)行落地實(shí)施。
1.2 數(shù)據(jù)安全組織架構(gòu)分析
完善的組織架構(gòu)是企業(yè)進(jìn)行數(shù)據(jù)安全建設(shè)的基石,通過(guò)構(gòu)建貫穿企業(yè)的跨層級(jí)����、跨部門、跨地域的數(shù)據(jù)安全組織架構(gòu),可以有效地打通管理��、技術(shù)�����、業(yè)務(wù)等部門之間的溝通屏障,使數(shù)據(jù)安全共識(shí)達(dá)到統(tǒng)一,最大程度地調(diào)動(dòng)企業(yè)開展數(shù)據(jù)安全合規(guī)建設(shè)的能動(dòng)性和積極性�。從調(diào)研結(jié)果看出,77.5%的受訪企業(yè)已經(jīng)建立了數(shù)據(jù)安全治理組織�。其中,32.3%的企業(yè)設(shè)立了專門的數(shù)據(jù)安全治理工作委員會(huì),牽頭負(fù)責(zé)數(shù)據(jù)安全整體規(guī)劃與建設(shè);45.2%的企業(yè)選擇沿用網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組作為數(shù)據(jù)安全工作的牽頭組織,并通過(guò)設(shè)立數(shù)據(jù)安全管理團(tuán)隊(duì)保障相關(guān)工作的有效執(zhí)行;此外仍有22.5%的企業(yè)反饋尚未建立明確的數(shù)據(jù)安全組織架構(gòu),在缺少該組織的情況下,容易導(dǎo)致內(nèi)部數(shù)據(jù)安全治理出現(xiàn)權(quán)責(zé)交叉、邊界不清��、數(shù)據(jù)安全建設(shè)推動(dòng)受阻等問題,增加數(shù)據(jù)安全風(fēng)險(xiǎn)�����。
1.3 數(shù)據(jù)安全技術(shù)應(yīng)用分析
技術(shù)工具是落實(shí)數(shù)據(jù)安全管理要求的有效手段,也是企業(yè)數(shù)據(jù)安全能力建設(shè)的基座���。根據(jù)企業(yè)應(yīng)用數(shù)據(jù)安全技術(shù)應(yīng)用情況的統(tǒng)計(jì)看,95%的企業(yè)至少應(yīng)用了一種數(shù)據(jù)安全關(guān)鍵技術(shù),表明企業(yè)在數(shù)據(jù)安全單點(diǎn)技術(shù)方面的應(yīng)用成熟度較高,其中“數(shù)據(jù)水印”“數(shù)據(jù)加密”“數(shù)據(jù)防泄露”在企業(yè)中的應(yīng)用較為廣泛����。
1.4 數(shù)據(jù)安全痛點(diǎn)分析
企業(yè)在開展數(shù)據(jù)安全建設(shè)過(guò)程中存在著眾多痛點(diǎn),從調(diào)研結(jié)果看,59.6%的企業(yè)認(rèn)為“不了解監(jiān)管要求”是最大的問題,這說(shuō)明針對(duì)各項(xiàng)法規(guī)及監(jiān)管政策的細(xì)化解讀和行業(yè)指導(dǎo)亟需推進(jìn),另外企業(yè)需要結(jié)合業(yè)務(wù)特點(diǎn),把合規(guī)文件有效地轉(zhuǎn)化為企業(yè)自身的管理制度中,包括戰(zhàn)略方針、安全策略�、管控流程等,這樣才能使數(shù)據(jù)安全更好的執(zhí)行與落地。
1.5 數(shù)據(jù)安全服務(wù)方式分析
數(shù)據(jù)安全解決方案�����、安全產(chǎn)品和咨詢規(guī)劃是安全供應(yīng)商提供的主要三大業(yè)務(wù)形態(tài),從調(diào)研結(jié)果看,企業(yè)主要業(yè)務(wù)中已實(shí)施解決方案占76.3%,對(duì)比于提供安全產(chǎn)品(占66.7%),整體解決方案已成為供應(yīng)商角逐的新領(lǐng)域,體現(xiàn)了企業(yè)已經(jīng)開始逐步重視數(shù)據(jù)安全與業(yè)務(wù)發(fā)展的完美契合,布局體系化數(shù)據(jù)安全建設(shè)的發(fā)展趨勢(shì)��。另外,咨詢規(guī)劃與安全服務(wù)各占比為44.2%和42.9%,體現(xiàn)企業(yè)對(duì)安全咨詢規(guī)劃與安全服務(wù)重視程度的提升�����。
02
國(guó)內(nèi)數(shù)據(jù)安全立法及監(jiān)管形勢(shì)
近年來(lái),國(guó)家對(duì)數(shù)據(jù)安全與個(gè)人信息保護(hù)開展了系統(tǒng)性的頂層設(shè)計(jì),以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》并行構(gòu)筑網(wǎng)絡(luò)空間安全��、數(shù)據(jù)安全及個(gè)人信息保護(hù)的法律框架,以及各行業(yè)部委及地市政府?dāng)?shù)據(jù)安全政策與標(biāo)準(zhǔn)的密集出臺(tái),在充分保護(hù)社會(huì)各政府機(jī)關(guān)����、企事業(yè)單位及公民權(quán)益的基礎(chǔ)上,對(duì)企業(yè)的數(shù)據(jù)合規(guī)工作提出了更高的要求,建設(shè)相適應(yīng)的數(shù)據(jù)合規(guī)體系勢(shì)在必行。
與此同時(shí),網(wǎng)信辦����、工信部、公安部�、銀保監(jiān)、衛(wèi)健委等各行業(yè)主管部門或監(jiān)管部門釋放出強(qiáng)監(jiān)管的信號(hào),并在執(zhí)法層面呈現(xiàn)出常態(tài)化趨勢(shì)�����。在各領(lǐng)域加快部署數(shù)據(jù)安全管理試點(diǎn)工作,加快提升行政執(zhí)法能力,加大對(duì)行政執(zhí)法人員和企業(yè)數(shù)據(jù)安全培訓(xùn)力度,加強(qiáng)數(shù)據(jù)安全監(jiān)測(cè)、風(fēng)險(xiǎn)報(bào)送��、應(yīng)急事件處置等技術(shù)能力建設(shè),全面提升數(shù)據(jù)安全監(jiān)管綜合能力,指導(dǎo)企業(yè)合規(guī)進(jìn)行數(shù)據(jù)安全管理工作的開展����。
03
數(shù)據(jù)安全合規(guī)建設(shè)
數(shù)據(jù)安全合規(guī)大體上可以分為以下幾種:
法律法規(guī):如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等;
認(rèn)證/測(cè)試:如數(shù)據(jù)安全能力成熟度模型(DSMM)認(rèn)證等;
審計(jì)要求:如美國(guó)上市公司的SOX審計(jì)等;
監(jiān)管要求:如網(wǎng)信辦、工信部���、銀保監(jiān)�����、衛(wèi)健委等行業(yè)主管部門或監(jiān)管部門下發(fā)的檢查文件。
注:如果企業(yè)的業(yè)務(wù)涉及到數(shù)據(jù)跨境場(chǎng)景,還要嚴(yán)格遵守當(dāng)?shù)貒?guó)家的法律法規(guī)�����。比如企業(yè)開發(fā)一款A(yù)PP面向歐盟用戶提供服務(wù),只要收集歐盟用戶的個(gè)人信息,那么就要嚴(yán)格遵守GDPR的條款約定����。
企業(yè)具體對(duì)標(biāo)哪些合規(guī)要求呢?需要根據(jù)自身的業(yè)務(wù)實(shí)際需求來(lái)判斷。不合規(guī),有可能會(huì)面臨來(lái)自監(jiān)管部門的處罰,所以說(shuō),不合規(guī)也是一種風(fēng)險(xiǎn)���。我們可以把數(shù)據(jù)安全合規(guī)與風(fēng)險(xiǎn)管理相結(jié)合,目的是更好地支撐數(shù)據(jù)安全治理中的政策方針與原則,將政策方針與原則有效地落實(shí)到數(shù)據(jù)全生命周期的業(yè)務(wù)流轉(zhuǎn)過(guò)程中��。
“一個(gè)中心,四個(gè)步驟”方法,指以數(shù)據(jù)安全政策為中心,通過(guò)建立政策風(fēng)險(xiǎn)評(píng)估����、融入流程風(fēng)險(xiǎn)改進(jìn)、外部認(rèn)證風(fēng)險(xiǎn)度量����、政策改進(jìn)風(fēng)險(xiǎn)總結(jié)四個(gè)步驟,循環(huán)改進(jìn)持續(xù)提升企業(yè)數(shù)據(jù)安全合規(guī)能力。
“建立政策,風(fēng)險(xiǎn)評(píng)估”:通過(guò)參考法律法規(guī)����、監(jiān)管要求、行業(yè)標(biāo)準(zhǔn),將外部合規(guī)要求轉(zhuǎn)化為企業(yè)內(nèi)部的數(shù)據(jù)安全管理體系,形成四層文件體系架構(gòu)(第一層:政策方針;第二層:標(biāo)準(zhǔn)規(guī)范;第三層:操作指南/流程;第四層:模板清單),并將其作為內(nèi)部風(fēng)險(xiǎn)合規(guī)評(píng)估的依據(jù)����。
“融入流程,風(fēng)險(xiǎn)改進(jìn)”:將數(shù)據(jù)安全管理體系與數(shù)據(jù)全生命周期各階段相融合,在業(yè)務(wù)活動(dòng)流程中進(jìn)行執(zhí)行落地,是管控風(fēng)險(xiǎn)的最佳手段。
“外部認(rèn)證,風(fēng)險(xiǎn)度量”:通過(guò)外部合規(guī)認(rèn)證或風(fēng)險(xiǎn)評(píng)測(cè),客觀的讓企業(yè)認(rèn)識(shí)到自身的安全現(xiàn)狀及合規(guī)差距��。加強(qiáng)常態(tài)化的風(fēng)險(xiǎn)稽核手段,及時(shí)發(fā)現(xiàn)企業(yè)在業(yè)務(wù)活動(dòng)中數(shù)據(jù)所面臨的風(fēng)險(xiǎn),根據(jù)風(fēng)險(xiǎn)值和優(yōu)先級(jí),采取相對(duì)應(yīng)的風(fēng)險(xiǎn)控制措施,使風(fēng)險(xiǎn)控制在可接受的范圍內(nèi),提升數(shù)據(jù)安全整體防護(hù)能力�。
“政策改進(jìn),風(fēng)險(xiǎn)總結(jié)”:對(duì)風(fēng)險(xiǎn)評(píng)估效果進(jìn)行總結(jié),促進(jìn)數(shù)據(jù)安全合規(guī)政策的持續(xù)改進(jìn)。
04
數(shù)據(jù)安全合規(guī)評(píng)估示例參考
數(shù)據(jù)安全合規(guī)評(píng)估主要利用文件查驗(yàn)���、顧問訪談�����、系統(tǒng)演示及測(cè)評(píng)驗(yàn)證等多種方法評(píng)估企業(yè)在各類數(shù)據(jù)處理活動(dòng)及數(shù)據(jù)承載系統(tǒng)平臺(tái)的保障措施合規(guī)情況,從通用性管理與全生命周期管理兩方面出發(fā),針對(duì)各個(gè)指標(biāo)項(xiàng)明確評(píng)估涉及的重要管理措施����、重點(diǎn)技術(shù)措施及判斷標(biāo)準(zhǔn),明確被評(píng)估事項(xiàng)合規(guī)保障基線,以提升企業(yè)數(shù)據(jù)安全管理及相關(guān)技術(shù)保障措施能力水平。
確定合規(guī)評(píng)估項(xiàng):在評(píng)估工作開始實(shí)施之前,評(píng)估人員將依據(jù)法律法規(guī)����、參考監(jiān)管要求與企業(yè)實(shí)際情況對(duì)評(píng)估對(duì)象的范圍進(jìn)行界定,確定數(shù)據(jù)涉及的生命周期階段,以及各階段所涉及的應(yīng)用、系統(tǒng)�、平臺(tái)范圍,同時(shí)制定《數(shù)據(jù)安全合規(guī)評(píng)估表》,重點(diǎn)整理企業(yè)所需進(jìn)行的數(shù)據(jù)安全合規(guī)評(píng)估項(xiàng),確保整體合規(guī)評(píng)估方案的完備性與一致性。
確認(rèn)評(píng)估方法:基于行業(yè)最佳實(shí)踐的指導(dǎo)與豐富的合規(guī)評(píng)估實(shí)施經(jīng)驗(yàn),結(jié)合企業(yè)實(shí)際情況,為每一個(gè)評(píng)估項(xiàng)確定最優(yōu)的檢查方式,并依據(jù)評(píng)估方式執(zhí)行評(píng)估工作���。如采用工具掃描���、文檔查驗(yàn)�、人員訪談、功能演示等方式,逐項(xiàng)對(duì)《數(shù)據(jù)安全合規(guī)評(píng)估表》中的評(píng)估項(xiàng)進(jìn)行檢測(cè)評(píng)估����。
獲取佐證材料:針對(duì)每一個(gè)評(píng)估項(xiàng),評(píng)估人員都將記錄并留存評(píng)估項(xiàng)所需的證明依據(jù),證明依據(jù)的存在形式,包括但不限于文檔文件、拍照記錄、工具掃描記錄�����、系統(tǒng)截圖��、人工檢查結(jié)果以及訪談?dòng)涗浀?�。證明依據(jù)的原文件均標(biāo)注有具體對(duì)應(yīng)的評(píng)估項(xiàng)編號(hào)�、評(píng)估對(duì)象、評(píng)估時(shí)間以及獲取方式等內(nèi)容�����。
記錄評(píng)估結(jié)果:依據(jù)《數(shù)據(jù)安全合規(guī)評(píng)估表》完成每一個(gè)評(píng)估項(xiàng)的評(píng)估工作后,評(píng)估人員將核對(duì)每一個(gè)評(píng)估項(xiàng)的證明依據(jù),根據(jù)證明依據(jù)判定每一個(gè)評(píng)估項(xiàng)的符合狀態(tài),并記錄在《數(shù)據(jù)安全合規(guī)評(píng)估表》中�。
風(fēng)險(xiǎn)分析:評(píng)估團(tuán)隊(duì)在完成檢查工作后將根據(jù)記錄了檢查項(xiàng)證明依據(jù)以及符合狀態(tài)的《數(shù)據(jù)安全合規(guī)評(píng)估表》,綜合分析整理評(píng)估對(duì)象的合規(guī)狀況以及所面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)。綜合分析現(xiàn)存數(shù)據(jù)安全風(fēng)險(xiǎn)的危害性以及可能性,生成數(shù)據(jù)安全風(fēng)險(xiǎn)矩陣�����。針對(duì)評(píng)估對(duì)象所存在的安全問題,評(píng)估團(tuán)隊(duì)將考慮安全整改落實(shí)的因素以便于企業(yè)整改的最小單元,分析每個(gè)單元存在的安全隱患,并結(jié)合數(shù)據(jù)安全風(fēng)險(xiǎn)矩陣,選取合適的控制措施遵循合理的優(yōu)先級(jí)提出安全整改建議��。
評(píng)估總結(jié)報(bào)告:根據(jù)對(duì)評(píng)估結(jié)果的整理歸納,結(jié)合數(shù)據(jù)安全風(fēng)險(xiǎn)分析和安全整改建議,評(píng)估團(tuán)隊(duì)將編制符合監(jiān)管要求的《數(shù)據(jù)安全合規(guī)評(píng)估報(bào)告》,包括但不限于評(píng)估對(duì)象數(shù)據(jù)安全基本情況介紹���、數(shù)據(jù)安全合規(guī)評(píng)估流程介紹����、數(shù)據(jù)安全評(píng)估矩陣、評(píng)估對(duì)象安全問題分析���、整改建議��、整改落實(shí)情況�、復(fù)核情況以及簽字等內(nèi)容�����。
05
未來(lái)展望
法律和行業(yè)監(jiān)管合規(guī)是企業(yè)數(shù)據(jù)安全保護(hù)的底線,國(guó)內(nèi)外個(gè)人隱私濫用�����、企業(yè)重要信息泄露���、違規(guī)數(shù)據(jù)跨境等事件頻發(fā),不僅使企業(yè)經(jīng)濟(jì)利益和公眾聲譽(yù)受損,更為嚴(yán)重地會(huì)面臨訴訟等法律指控����。相信大多數(shù)的企業(yè)高層已經(jīng)逐漸認(rèn)識(shí)到數(shù)字化轉(zhuǎn)型背后的嚴(yán)峻風(fēng)險(xiǎn),企業(yè)需要加強(qiáng)數(shù)據(jù)安全合規(guī)意識(shí)與相關(guān)資源的持續(xù)投入(如資金�、技術(shù)和人員等),通過(guò)數(shù)據(jù)安全合規(guī)評(píng)估,可以有效地幫助企業(yè)建立與完善數(shù)據(jù)安全合規(guī)體系,對(duì)保障企業(yè)數(shù)據(jù)權(quán)益與提升數(shù)據(jù)安全風(fēng)險(xiǎn)防護(hù)能力有著巨大推動(dòng)作用。
免責(zé)聲明:市場(chǎng)有風(fēng)險(xiǎn)����,選擇需謹(jǐn)慎!此文僅供參考��,不作買賣依據(jù)�����。
關(guān)鍵詞:
[責(zé)任編輯:h001]
