安全資訊

近日《中華人民共和國數據安全法》正式表決通過(guò)，將于自2021年9月1日起施行， “數據”不僅擁有“價(jià)值”屬性，也具備了“法律”屬性。很多單位數據安全合規工作也提上日程，單位管理者開(kāi)始關(guān)注面臨的數據安全風(fēng)險以及如何實(shí)現數據安全合規。

單位需要通過(guò)建立一套有效的數據安全合規體系來(lái)防范數據安全風(fēng)險，避免遭受法律制裁和監管處罰，減少財產(chǎn)和名譽(yù)損失。單位數據安全合規體系建設思路如下：

自上而下有認知、根據現狀找差距、圍繞業(yè)務(wù)識風(fēng)險、評估風(fēng)險出建議、根據建議做治理，合規成果要評價(jià)，持續整改靠文化。

自上而下有認知

組織內部自上而下從對合規工作意義達成統一共識，首先將數據安全合規當成一種長(cháng)期投資，雖然合規需要投入很多資金，但是長(cháng)遠來(lái)看能讓單位走的更穩更遠。數據安全合規不能完全避免數據安全風(fēng)險的發(fā)生，但是可以減少違規發(fā)生的風(fēng)險，一旦發(fā)生數據安全事件，例如個(gè)人過(guò)度采集數據泄露、數據泄露，違規訪(fǎng)問(wèn)等，單位通過(guò)數據安全合規體系可以減輕，豁免甚至民事責任抗辯等。

其次數據安全合規體系有效落地，離不開(kāi)人的推動(dòng)和執行，需要單位高層重視，組建專(zhuān)門(mén)的數據安全管理合規團隊，由于數據安全與業(yè)務(wù)關(guān)聯(lián)度高，團隊成員可包括高層領(lǐng)導、業(yè)務(wù)部門(mén)、信息化部門(mén)、風(fēng)控部門(mén)和法務(wù)部門(mén)等，并制定清晰的數據安全合規崗位責任，將合規體系融入到整個(gè)單位管理體系之中。

最后，數據安全合規不僅僅是《數據安全法》簡(jiǎn)單應對，而是要有一定的高度，通過(guò)合規驅動(dòng)數據安全建設，從數據的安全風(fēng)險評估、監測預警、應急處置和安全審查四個(gè)方面，將真正有效安全措施和檢查落地實(shí)施而不是浮于表面，只有這樣才不至于在在安全事件發(fā)生的時(shí)候非常被動(dòng)。

分析現狀找差距

首先分析立法現狀。國際和國內出臺了許多數據安全相關(guān)的法律法規，例如國際上有名GDPR、CCPA、COPPA等，國內近期出臺的《數據安全法》和《個(gè)人信息安全規范》，結合之前頒布《網(wǎng)絡(luò )安全法》和等級保護等相關(guān)法律法規標準等，將之前亂象叢生的數據安全行業(yè)納入到一個(gè)合規性的規則和標準框架之下。

其次分析單位經(jīng)營(yíng)現狀。面對“產(chǎn)業(yè)數字化”轉型的趨勢，數據成為新的生產(chǎn)要素，單位分析并明確經(jīng)營(yíng)活動(dòng)邊界，根據國家或行業(yè)相關(guān)分級分類(lèi)標準，確認數據的類(lèi)別和級別，哪些是內部數據？哪些是公開(kāi)數據？哪些是一般數據？哪些是敏感數據？那些是涉及到國家安全的數據。在數據分級分類(lèi)邊界明晰的情況下，單位將數據安全合規體系下進(jìn)行生產(chǎn)經(jīng)營(yíng)活動(dòng)，進(jìn)而給整個(gè)行業(yè)帶來(lái)巨大改變。

全面梳理出應該遵循的義務(wù)，以及目前完成的現狀，找出兩者之間的差距，形成數據安全合規差距分析報告。

圍繞業(yè)務(wù)找風(fēng)險

數據安全合規體系要深入了解業(yè)務(wù)，要圍繞業(yè)務(wù)識別出數據安全風(fēng)險。如何了解業(yè)務(wù)？需要從人、架構、流程和數據四個(gè)維度對業(yè)務(wù)建模。

人與業(yè)務(wù)系統相關(guān)聯(lián)的干系人，常見(jiàn)使用者、維護者、管理者和監管者等，梳理出這些人員業(yè)務(wù)職能和權限。

架構：承載業(yè)務(wù)系統運行的計算機系統結構，例如常見(jiàn)的網(wǎng)絡(luò )架構、軟件架構等和功能架構等。

流程：業(yè)務(wù)系統人員之間的業(yè)務(wù)關(guān)系，作業(yè)順序和管理信息流向的圖表，常用業(yè)務(wù)流程圖和功能流程圖表示。

數據：系統運行本質(zhì)上是數據的加工和流轉，是系統運行的血脈。要了解業(yè)務(wù)系統中存儲哪些類(lèi)型數據，這些數據存儲在什么地方？哪些有權限訪(fǎng)問(wèn)數據？這些數據如何流轉和處理？常用數據分類(lèi)分級表，敏感數據分布圖、數據流圖(DFD)等。

在了解業(yè)務(wù)模型后根據針對數據生命周期各階段面臨的威脅，結合業(yè)務(wù)自身的脆弱性和實(shí)際應用場(chǎng)景進(jìn)行分析，識別出數據安全風(fēng)險。

風(fēng)險評估出建議

評估數據安全合規風(fēng)險識別合規風(fēng)險的基礎上，需要對合規風(fēng)險進(jìn)行的分析與評價(jià)。數據安全合規風(fēng)險分析，考慮不合規發(fā)生的原因、后果及發(fā)生可能性等因素，最后形成合規風(fēng)險清單。對合規風(fēng)險的分析，內容描述應包括以下內容：按照數據安全全生命周期簡(jiǎn)要描述可能存在威脅源，系統本身存在脆弱性，可能在什么場(chǎng)景下以什么方式發(fā)生風(fēng)險概率、影響范圍和造成影響。

風(fēng)險評價(jià)是利用風(fēng)險分析過(guò)程中獲得的對風(fēng)險的認識，對未來(lái)的行動(dòng)進(jìn)行決策。將合規風(fēng)險分析結果與單位能承受風(fēng)險比較，確定風(fēng)險的級別。合規團隊通過(guò)已發(fā)生安全事件、基于安全專(zhuān)家和業(yè)務(wù)專(zhuān)家經(jīng)驗，采用頭腦風(fēng)暴等方式給出風(fēng)險處置建議，常見(jiàn)風(fēng)險處置建議有風(fēng)險消除、緩解、轉嫁和接受等。

根據建議做治理

在數據風(fēng)險識別和合規風(fēng)險評估之后，就要開(kāi)始考慮如何根據整改建議制定治理方案。

數據安全治理需要從風(fēng)險評估結果出發(fā)，通過(guò)對組織制度建設、數據資產(chǎn)梳理、安全策略制定、安全風(fēng)險監測、用戶(hù)行為審計和持續整改，不斷尋找合規路徑，落實(shí)合規政策，以滿(mǎn)足業(yè)務(wù)數據保護和安全合規為目標，讓數據使用更方便更安全。

首先，合規組織制度建設，首先是確認最高負責機構，制定合規管理的目標、方針和政策，統領(lǐng)公司合規管理工作。第二層是協(xié)調機構，在合規委員會(huì )之下設合規管理小組，負責內部資源協(xié)調。第三層是日常工作機構，即數據合規部。

然后制定數據安全合規管理制度。合規管理制度一般包括合規行為準則、制度規范、合規專(zhuān)項管理辦法、合規管理流程、合規管理表單。

合規成果要評價(jià)

數據安全合規性評價(jià)是數據安全合規體系一項重要要求，定期對數據安全相關(guān)法律法規的遵從情況進(jìn)行評價(jià)?！稊祿踩ā纺壳耙幎ㄖС謹祿踩珯z測評估、認證等專(zhuān)業(yè)機構依法開(kāi)展服務(wù)活動(dòng)，但是相關(guān)評估標準和制度尚未完善，暫時(shí)可以參考等級保護、關(guān)鍵基礎設施保護和其他行業(yè)相關(guān)監管制度等。

持續整改靠文化

數據安全合規文化是數據安全風(fēng)險防范的最后一道防線(xiàn)，數據安全合規文化包括合規價(jià)值認同，全員意識培養和高層領(lǐng)導認可和推動(dòng)等內容。要打造數據安全合規文化，就要在單位推行數據安全管理制度和行為規范。

樹(shù)立正確的數據安全合規價(jià)值觀(guān)，認同并相信數據安全合規所帶來(lái)的的巨大價(jià)值。第二，高層領(lǐng)導帶頭遵守制定的各項合規制度和規范。第三，堅持不斷的培訓。合規部門(mén)自上而下地進(jìn)行宣傳和講解合規的價(jià)值、管理制度和行為規范，讓每個(gè)崗位員工知道合規底線(xiàn)和基線(xiàn)。最后，將合規加入到績(jì)效考核。合格合規管理行為獎勵，違規的行為將受到相關(guān)懲罰。

總結

數據安全合規體系是單位網(wǎng)絡(luò )安全合規體系其中的一部分，但是相對于網(wǎng)絡(luò )安全有特殊之處，與業(yè)務(wù)和管理結合更緊密，目前數據安全法剛剛頒布，雖然配套還未齊全，但是各單位應該提前布局開(kāi)始構建數據安全合規體系，不僅僅能應對現有的數據安全法律法規，而是要有一定的前瞻性，通過(guò)合規驅動(dòng)數據安全治理體系建設，只有這樣在應對越來(lái)越遠的數據安全監管要求，才能游刃有余。