今年6月份頒發的《中華人民共和國資料安全法》對企業與機構的責任、義務有了更加細緻的規範和要求,其中第一章明確提出,“應建立健全資料安全治理體系,提高資料安全保障能力”。
《資料安全法》將於9月1日起正式實施。對於企業而言,資料安全合規工作是題中之義,但實操層面也可能的確存在一些現實困難,例如如何能快速、準確的排查當前的合規差距?如何能最小成本、最小影響的完成合規工作?
為幫助企事業單位順利開展資料安全合規工作,騰訊安全結合大量資料安全治理實踐經驗,釋出資料安全合規能力圖譜。根據《資料安全法》的具體內容,騰訊安全將資料合規要求歸納成四類14項51個內容,供企事業單位參考。
(企業級資料安全合規能力圖譜)
01
技術建設類
技術建設類可分為技術措施建設和風險監測能力建設,技術措施根據實際資料活動情況,採取相應的技術措施即可,比較常用的技術措施有動態脫敏技術、訪問控制、電子認證技術、資料加密儲存技術和敏感資料發現技術。
傳統的建設方式是直接採購相應的資料安全產品,資料場景不復雜的情況下比較適用,反之,則會造成功能冗餘、產品堆砌、運維工作加重等附加工作。因此,在開展資料安全技術建設時建議採用平臺化的方式,靈活、簡捷,擴充能力強,在新法律法規不斷頒佈的同時,可以透過配置調整予以應對。
資料安全技術的運用,應做到精準化管控,“一杆子”的方式不利於資料活動的發展和資料價值發揮,精準化管控可基於分類分級進行設計。
02
排查與整改類
排查與整改類主要包括合理性、業務完善、資料跨境三個方面。該類的工作主要是排查自身業務是否存在違法違規的情況,主要應對手段是業務的整改和應用功能的整改。
透過資料資產自動發現技術能夠快速、準確的輔助排查出合規風險點,節省大量的人力投入。整改工作完成後,還可以透過資料資產發現技術對資料的使用和變化情況進行實時監控,及時發現違規情況,降低違規風險。
合理性主要是指資料的採集應遵循最小夠用原則,並在國家或行業規定的範圍內開展資料活動,在開展資料活動前應當告知資料主體,並得到其授權,並嚴格按照約定管理資料,保障資料主體的合法權益。
03
管理完善類
切實可行的管理制度是保障資料安全的基礎和依據,《數安法》中所提到的管理要求可歸納為管理制度、資料交易管理、資料認責、重要資料目錄和分類分級五項。
管理制度可以基於資料活動進行制定,考慮事前、事中、事後三個維度,明確角色和義務,落實到人。
資料認責可以透過資料的擁有量、訪問量、新增量、更新量等維度作為依據進行劃分,認責的同時還要建設相應的自動化管理工具,輔助資料責任人管理資料。
資料交易管理首先要明確當前業務下所有資料的來源是否合法,大體可分為自採集和外購兩類。外購類則應留存來源的相關證明材料。如果是從事資料交易的機構,則需要對買賣雙方的身份進行驗證,並在協議中說明資料用途、使用時長、使用形式等內容。
重要資料目錄和分類分級是實現資料安全精準防護的基礎和目標,因此,需要在資料安全技術建設前開展。為達到資料安全防護的最佳效果,重要資料目錄的建立和分類分級應遵循全面性、合理性、明確性原則。
04
機制建設類
常態化資料安全管控需要相關的機制作為保障,包括安全培訓機制、安全補救機制、應急處置機制和風險評估機制四類。
資料安全培訓的目的是加強企業內部人員的意識,提升技術人員的技能水平,從而實現整體的資料安全防護水平提升。培訓工作要有計劃、有目的、有考核的開展,方可保證培訓效果。
安全補救和應急處置是應對安全漏洞和安全事件的預案,應定期開展演練工作,確保真正發生時能快速應對,必要時可以聘請相關機構和專家共同開展。
對於重要資料的處理,應定期開展風險評估工作,確保資料處理是在可信、可靠的環境下開展,對於潛在的風險能夠儘早發現、儘早防範。
騰訊安全基於20多年資料安全實踐經驗,結合《資料安全法》條款,輸出資料安全合規能力,助力企事業單位開展資料安全合規工作。
騰訊安全秉承“讓資料遵規守序”的理念,聯合生態夥伴,共同讓資料管理遵循法規,讓資料流動遵守秩序。歡迎各行業專家加入騰訊資料安全合規交流群,共話合規,分享實踐。
新增小秘書時請備註姓名和公司、職位資訊,小秘書確認之後邀請加入交流群。