當前數字經濟正在引領全球新經濟的發展,資料作為核心生產要素成為基礎戰略資源,數字經濟與各行業高度融合,並在社會治理中發揮著重要作用,比如智慧城市、智慧醫療、智慧交通等領域,而數字化轉型則是社會經濟實體發展數字經濟的主要途徑,已經成為推動經濟社會發展的核心驅動力。資料資源在跨領域、跨地域、跨組織間的流通與融合產生了巨大價值的同時,針對資料資源的外部攻擊和內部資料濫用現象屢見不鮮,與之對應的是企業資料合規和風險防護能力存在不足,企業資料安全已成為關係國家穩定、社會安全、民生安全的核心議題。
01
國內企業資料安全建設現狀
伴隨國內資料安全法規和監管政策的完善,企業必須遵守一系列的合規要求,同時面對日益複雜的網路空間威脅和個人資訊保護,在資料安全和資料合規雙重壓力下,對企業進行資料安全體系化建設提出更高的要求。在信通院釋出的《2021年資料安全行業調研報告》中,透過對各行業資料安全需求方進行問卷調研,展示了目前國內企業資料安全建設的現狀。
1.1
資料安全建設需求分析
問卷對國內企業開展資料安全能力建設的原因進行了調研,有97%的受訪企業認為“合規需求”是開展資料安全能力建設的主要驅動力。由此可以看出,國家在近年來不斷完善對資料安全法律法規及行業規範已初見成效,資料安全合規建設已成為大部分企業的一項重要任務。一個完善的資料安全合規建設,應從頂層設計開始,自上而下從戰略和企業高層責任制進行配套定義,並從人員、組織、流程和技術四個方面進行落地實施。
1.2
資料安全組織架構分析
完善的組織架構是企業進行資料安全建設的基石,透過構建貫穿企業的跨層級、跨部門、跨地域的資料安全組織架構,可以有效地打通管理、技術、業務等部門之間的溝通屏障,使資料安全共識達到統一,最大程度地調動企業開展資料安全合規建設的能動性和積極性。從調研結果看出,77.5%的受訪企業已經建立了資料安全治理組織。其中,32.3%的企業設立了專門的資料安全治理工作委員會,牽頭負責資料安全整體規劃與建設;45.2%的企業選擇沿用網路與資訊保安領導小組作為資料安全工作的牽頭組織,並透過設立資料安全管理團隊保障相關工作的有效執行;此外仍有22.5%的企業反饋尚未建立明確的資料安全組織架構,在缺少該組織的情況下,容易導致內部資料安全治理出現權責交叉、邊界不清、資料安全建設推動受阻等問題,增加資料安全風險。
1.3
資料安全技術應用分析
技術工具是落實資料安全管理要求的有效手段,也是企業資料安全能力建設的基座。根據企業應用資料安全技術應用情況的統計看,95%的企業至少應用了一種資料安全關鍵技術,表明企業在資料安全單點技術方面的應用成熟度較高,其中“資料水印”“資料加密”“資料防洩露”在企業中的應用較為廣泛。
1.4
資料安全痛點分析
企業在開展資料安全建設過程中存在著眾多痛點,從調研結果看,59.6%的企業認為“不瞭解監管要求”是最大的問題,這說明針對各項法規及監管政策的細化解讀和行業指導亟需推進,另外企業需要結合業務特點,把合規檔案有效地轉化為企業自身的管理制度中,包括戰略方針、安全策略、管控流程等,這樣才能使資料安全更好的執行與落地。
1.5
資料安全服務方式分析
資料安全解決方案、安全產品和諮詢規劃是安全供應商提供的主要三大業務形態,從調研結果看,企業主要業務中已實施解決方案佔76.3%,對比於提供安全產品(佔66.7%),整體解決方案已成為供應商角逐的新領域,體現了企業已經開始逐步重視資料安全與業務發展的完美契合,佈局體系化資料安全建設的發展趨勢。另外,諮詢規劃與安全服務各佔比為44.2%和42.9%,體現企業對安全諮詢規劃與安全服務重視程度的提升。
02
國內資料安全立法及監管形勢
近年來,國家對資料安全與個人資訊保護開展了系統性的頂層設計,以《網路安全法》《資料安全法》《個人資訊保護法》並行構築網路空間安全、資料安全及個人資訊保護的法律框架,以及各行業部委及地市政府資料安全政策與標準的密集出臺,在充分保護社會各政府機關、企事業單位及公民權益的基礎上,對企業的資料合規工作提出了更高的要求,建設相適應的資料合規體系勢在必行。
與此同時,網信辦、工信部、公安部、銀保監、衛健委等各行業主管部門或監管部門釋放出強監管的訊號,並在執法層面呈現出常態化趨勢。在各領域加快部署資料安全管理試點工作,加快提升行政執法能力,加大對行政執法人員和企業資料安全培訓力度,加強資料安全監測、風險報送、應急事件處置等技術能力建設,全面提升資料安全監管綜合能力,指導企業合規進行資料安全管理工作的開展。
03
資料安全合規建設
資料安全合規大體上可以分為以下幾種:
法律法規:如《網路安全法》《資料安全法》《個人資訊保護法》等;
認證/測試:如資料安全能力成熟度模型(DSMM)認證等;
審計要求:如美國上市公司的SOX審計等;
監管要求:如網信辦、工信部、銀保監、衛健委等行業主管部門或監管部門下發的檢查檔案。
注:如果企業的業務涉及到資料跨境場景,還要嚴格遵守當地國家的法律法規。比如企業開發一款APP面向歐盟使用者提供服務,只要收集歐盟使用者的個人資訊,那麼就要嚴格遵守GDPR的條款約定。
企業具體對標哪些合規要求呢?需要根據自身的業務實際需求來判斷。不合規,有可能會面臨來自監管部門的處罰,所以說,不合規也是一種風險。我們可以把資料安全合規與風險管理相結合,目的是更好地支撐資料安全治理中的政策方針與原則,將政策方針與原則有效地落實到資料全生命週期的業務流轉過程中。
“一箇中心,四個步驟”方法,指以資料安全政策為中心,透過建立政策風險評估、融入流程風險改進、外部認證風險度量、政策改進風險總結四個步驟,迴圈改進持續提升企業資料安全合規能力。
“建立政策,風險評估”:透過參考法律法規、監管要求、行業標準,將外部合規要求轉化為企業內部的資料安全管理體系,形成四層檔案體系架構(第一層:政策方針;第二層:標準規範;第三層:操作指南/流程;第四層:模板清單),並將其作為內部風險合規評估的依據。
“融入流程,風險改進”:將資料安全管理體系與資料全生命週期各階段相融合,在業務活動流程中進行執行落地,是管控風險的最佳手段。
“外部認證,風險度量”:透過外部合規認證或風險評測,客觀的讓企業認識到自身的安全現狀及合規差距。加強常態化的風險稽核手段,及時發現企業在業務活動中資料所面臨的風險,根據風險值和優先順序,採取相對應的風險控制措施,使風險控制在可接受的範圍內,提升資料安全整體防護能力。
“政策改進,風險總結”:對風險評估效果進行總結,促進資料安全合規政策的持續改進。
04
資料安全合規評估示例參考
資料安全合規評估主要利用檔案查驗、顧問訪談、系統演示及測評驗證等多種方法評估企業在各類資料處理活動及資料承載系統平臺的保障措施合規情況,從通用性管理與全生命週期管理兩方面出發,針對各個指標項明確評估涉及的重要管理措施、重點技術措施及判斷標準,明確被評估事項合規保障基線,以提升企業資料安全管理及相關技術保障措施能力水平。
確定合規評估項: 在評估工作開始實施之前,評估人員將依據法律法規、參考監管要求與企業實際情況對評估物件的範圍進行界定,確定資料涉及的生命週期階段,以及各階段所涉及的應用、系統、平臺範圍,同時制定《資料安全合規評估表》,重點整理企業所需進行的資料安全合規評估項,確保整體合規評估方案的完備性與一致性。
確認評估方法:基於行業最佳實踐的指導與豐富的合規評估實施經驗,結合企業實際情況,為每一個評估項確定最優的檢查方式,並依據評估方式執行評估工作。如採用工具掃描、文件查驗、人員訪談、功能演示等方式,逐項對《資料安全合規評估表》中的評估項進行檢測評估。
獲取佐證材料:針對每一個評估項,評估人員都將記錄並留存評估項所需的證明依據,證明依據的存在形式,包括但不限於文件檔案、拍照記錄、工具掃描記錄、系統截圖、人工檢查結果以及訪談記錄等。證明依據的原檔案均標註有具體對應的評估項編號、評估物件、評估時間以及獲取方式等內容。
記錄評估結果:依據《資料安全合規評估表》完成每一個評估項的評估工作後,評估人員將核對每一個評估項的證明依據,根據證明依據判定每一個評估項的符合狀態,並記錄在《資料安全合規評估表》中。
風險分析:評估團隊在完成檢查工作後將根據記錄了檢查項證明依據以及符合狀態的《資料安全合規評估表》,綜合分析整理評估物件的合規狀況以及所面臨的資料安全風險。綜合分析現存資料安全風險的危害性以及可能性,生成資料安全風險矩陣。針對評估物件所存在的安全問題,評估團隊將考慮安全整改落實的因素以便於企業整改的最小單元,分析每個單元存在的安全隱患,並結合資料安全風險矩陣,選取合適的控制措施遵循合理的優先順序提出安全整改建議。
評估總結報告:根據對評估結果的整理歸納,結合資料安全風險分析和安全整改建議,評估團隊將編制符合監管要求的《資料安全合規評估報告》,包括但不限於評估物件資料安全基本情況介紹、資料安全合規評估流程介紹、資料安全評估矩陣、評估物件安全問題分析、整改建議、整改落實情況、複核情況以及簽字等內容。
05
未來展望
法律和行業監管合規是企業資料安全保護的底線,國內外個人隱私濫用、企業重要資訊洩露、違規資料跨境等事件頻發,不僅使企業經濟利益和公眾聲譽受損,更為嚴重地會面臨訴訟等法律指控。相信大多數的企業高層已經逐漸認識到數字化轉型背後的嚴峻風險,企業需要加強資料安全合規意識與相關資源的持續投入(如資金、技術和人員等),透過資料安全合規評估,可以有效地幫助企業建立與完善資料安全合規體系,對保障企業資料權益與提升資料安全風險防護能力有著巨大推動作用。