近日《中華人民共和國(guó)數(shù)據(jù)安全法》正式表決通過，將于自2021年9月1日起施行， “數(shù)據(jù)”不僅擁有“價(jià)值”屬性，也具備了“法律”屬性。很多單位數(shù)據(jù)安全合規(guī)工作也提上日程，單位管理者開始關(guān)注面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)以及如何實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)。

單位需要通過建立一套有效的數(shù)據(jù)安全合規(guī)體系來(lái)防范數(shù)據(jù)安全風(fēng)險(xiǎn)，避免遭受法律制裁和監(jiān)管處罰，減少財(cái)產(chǎn)和名譽(yù)損失。單位數(shù)據(jù)安全合規(guī)體系建設(shè)思路如下：

自上而下有認(rèn)知、根據(jù)現(xiàn)狀找差距、圍繞業(yè)務(wù)識(shí)風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)出建議、根據(jù)建議做治理，合規(guī)成果要評(píng)價(jià)，持續(xù)整改靠文化。

自上而下有認(rèn)知

組織內(nèi)部自上而下從對(duì)合規(guī)工作意義達(dá)成統(tǒng)一共識(shí)，首先將數(shù)據(jù)安全合規(guī)當(dāng)成一種長(zhǎng)期投資，雖然合規(guī)需要投入很多資金，但是長(zhǎng)遠(yuǎn)來(lái)看能讓單位走的更穩(wěn)更遠(yuǎn)。數(shù)據(jù)安全合規(guī)不能完全避免數(shù)據(jù)安全風(fēng)險(xiǎn)的發(fā)生，但是可以減少違規(guī)發(fā)生的風(fēng)險(xiǎn)，一旦發(fā)生數(shù)據(jù)安全事件，例如個(gè)人過度采集數(shù)據(jù)泄露、數(shù)據(jù)泄露，違規(guī)訪問等，單位通過數(shù)據(jù)安全合規(guī)體系可以減輕，豁免甚至民事責(zé)任抗辯等。

其次數(shù)據(jù)安全合規(guī)體系有效落地，離不開人的推動(dòng)和執(zhí)行，需要單位高層重視，組建專門的數(shù)據(jù)安全管理合規(guī)團(tuán)隊(duì)，由于數(shù)據(jù)安全與業(yè)務(wù)關(guān)聯(lián)度高，團(tuán)隊(duì)成員可包括高層領(lǐng)導(dǎo)、業(yè)務(wù)部門、信息化部門、風(fēng)控部門和法務(wù)部門等，并制定清晰的數(shù)據(jù)安全合規(guī)崗位責(zé)任，將合規(guī)體系融入到整個(gè)單位管理體系之中。

最后，數(shù)據(jù)安全合規(guī)不僅僅是《數(shù)據(jù)安全法》簡(jiǎn)單應(yīng)對(duì)，而是要有一定的高度，通過合規(guī)驅(qū)動(dòng)數(shù)據(jù)安全建設(shè)，從數(shù)據(jù)的安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置和安全審查四個(gè)方面，將真正有效安全措施和檢查落地實(shí)施而不是浮于表面，只有這樣才不至于在在安全事件發(fā)生的時(shí)候非常被動(dòng)。

分析現(xiàn)狀找差距

首先分析立法現(xiàn)狀。國(guó)際和國(guó)內(nèi)出臺(tái)了許多數(shù)據(jù)安全相關(guān)的法律法規(guī)，例如國(guó)際上有名GDPR、CCPA、COPPA等，國(guó)內(nèi)近期出臺(tái)的《數(shù)據(jù)安全法》和《個(gè)人信息安全規(guī)范》，結(jié)合之前頒布《網(wǎng)絡(luò)安全法》和等級(jí)保護(hù)等相關(guān)法律法規(guī)標(biāo)準(zhǔn)等，將之前亂象叢生的數(shù)據(jù)安全行業(yè)納入到一個(gè)合規(guī)性的規(guī)則和標(biāo)準(zhǔn)框架之下。

其次分析單位經(jīng)營(yíng)現(xiàn)狀。面對(duì)“產(chǎn)業(yè)數(shù)字化”轉(zhuǎn)型的趨勢(shì)，數(shù)據(jù)成為新的生產(chǎn)要素，單位分析并明確經(jīng)營(yíng)活動(dòng)邊界，根據(jù)國(guó)家或行業(yè)相關(guān)分級(jí)分類標(biāo)準(zhǔn)，確認(rèn)數(shù)據(jù)的類別和級(jí)別，哪些是內(nèi)部數(shù)據(jù)？哪些是公開數(shù)據(jù)？哪些是一般數(shù)據(jù)？哪些是敏感數(shù)據(jù)？那些是涉及到國(guó)家安全的數(shù)據(jù)。在數(shù)據(jù)分級(jí)分類邊界明晰的情況下，單位將數(shù)據(jù)安全合規(guī)體系下進(jìn)行生產(chǎn)經(jīng)營(yíng)活動(dòng)，進(jìn)而給整個(gè)行業(yè)帶來(lái)巨大改變。

全面梳理出應(yīng)該遵循的義務(wù)，以及目前完成的現(xiàn)狀，找出兩者之間的差距，形成數(shù)據(jù)安全合規(guī)差距分析報(bào)告。

圍繞業(yè)務(wù)找風(fēng)險(xiǎn)

數(shù)據(jù)安全合規(guī)體系要深入了解業(yè)務(wù)，要圍繞業(yè)務(wù)識(shí)別出數(shù)據(jù)安全風(fēng)險(xiǎn)。如何了解業(yè)務(wù)？需要從人、架構(gòu)、流程和數(shù)據(jù)四個(gè)維度對(duì)業(yè)務(wù)建模。

人與業(yè)務(wù)系統(tǒng)相關(guān)聯(lián)的干系人，常見使用者、維護(hù)者、管理者和監(jiān)管者等，梳理出這些人員業(yè)務(wù)職能和權(quán)限。

架構(gòu)：承載業(yè)務(wù)系統(tǒng)運(yùn)行的計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)，例如常見的網(wǎng)絡(luò)架構(gòu)、軟件架構(gòu)等和功能架構(gòu)等。

流程：業(yè)務(wù)系統(tǒng)人員之間的業(yè)務(wù)關(guān)系，作業(yè)順序和管理信息流向的圖表，常用業(yè)務(wù)流程圖和功能流程圖表示。

數(shù)據(jù)：系統(tǒng)運(yùn)行本質(zhì)上是數(shù)據(jù)的加工和流轉(zhuǎn)，是系統(tǒng)運(yùn)行的血脈。要了解業(yè)務(wù)系統(tǒng)中存儲(chǔ)哪些類型數(shù)據(jù)，這些數(shù)據(jù)存儲(chǔ)在什么地方？哪些有權(quán)限訪問數(shù)據(jù)？這些數(shù)據(jù)如何流轉(zhuǎn)和處理？常用數(shù)據(jù)分類分級(jí)表，敏感數(shù)據(jù)分布圖、數(shù)據(jù)流圖(DFD)等。

在了解業(yè)務(wù)模型后根據(jù)針對(duì)數(shù)據(jù)生命周期各階段面臨的威脅，結(jié)合業(yè)務(wù)自身的脆弱性和實(shí)際應(yīng)用場(chǎng)景進(jìn)行分析，識(shí)別出數(shù)據(jù)安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評(píng)估出建議

評(píng)估數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)識(shí)別合規(guī)風(fēng)險(xiǎn)的基礎(chǔ)上，需要對(duì)合規(guī)風(fēng)險(xiǎn)進(jìn)行的分析與評(píng)價(jià)。數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)分析，考慮不合規(guī)發(fā)生的原因、后果及發(fā)生可能性等因素，最后形成合規(guī)風(fēng)險(xiǎn)清單。對(duì)合規(guī)風(fēng)險(xiǎn)的分析，內(nèi)容描述應(yīng)包括以下內(nèi)容：按照數(shù)據(jù)安全全生命周期簡(jiǎn)要描述可能存在威脅源，系統(tǒng)本身存在脆弱性，可能在什么場(chǎng)景下以什么方式發(fā)生風(fēng)險(xiǎn)概率、影響范圍和造成影響。

風(fēng)險(xiǎn)評(píng)價(jià)是利用風(fēng)險(xiǎn)分析過程中獲得的對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)，對(duì)未來(lái)的行動(dòng)進(jìn)行決策。將合規(guī)風(fēng)險(xiǎn)分析結(jié)果與單位能承受風(fēng)險(xiǎn)比較，確定風(fēng)險(xiǎn)的級(jí)別。合規(guī)團(tuán)隊(duì)通過已發(fā)生安全事件、基于安全專家和業(yè)務(wù)專家經(jīng)驗(yàn)，采用頭腦風(fēng)暴等方式給出風(fēng)險(xiǎn)處置建議，常見風(fēng)險(xiǎn)處置建議有風(fēng)險(xiǎn)消除、緩解、轉(zhuǎn)嫁和接受等。

根據(jù)建議做治理

在數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別和合規(guī)風(fēng)險(xiǎn)評(píng)估之后，就要開始考慮如何根據(jù)整改建議制定治理方案。

數(shù)據(jù)安全治理需要從風(fēng)險(xiǎn)評(píng)估結(jié)果出發(fā)，通過對(duì)組織制度建設(shè)、數(shù)據(jù)資產(chǎn)梳理、安全策略制定、安全風(fēng)險(xiǎn)監(jiān)測(cè)、用戶行為審計(jì)和持續(xù)整改，不斷尋找合規(guī)路徑，落實(shí)合規(guī)政策，以滿足業(yè)務(wù)數(shù)據(jù)保護(hù)和安全合規(guī)為目標(biāo)，讓數(shù)據(jù)使用更方便更安全。

首先，合規(guī)組織制度建設(shè)，首先是確認(rèn)最高負(fù)責(zé)機(jī)構(gòu)，制定合規(guī)管理的目標(biāo)、方針和政策，統(tǒng)領(lǐng)公司合規(guī)管理工作。第二層是協(xié)調(diào)機(jī)構(gòu)，在合規(guī)委員會(huì)之下設(shè)合規(guī)管理小組，負(fù)責(zé)內(nèi)部資源協(xié)調(diào)。第三層是日常工作機(jī)構(gòu)，即數(shù)據(jù)合規(guī)部。

然后制定數(shù)據(jù)安全合規(guī)管理制度。合規(guī)管理制度一般包括合規(guī)行為準(zhǔn)則、制度規(guī)范、合規(guī)專項(xiàng)管理辦法、合規(guī)管理流程、合規(guī)管理表單。

合規(guī)成果要評(píng)價(jià)

數(shù)據(jù)安全合規(guī)性評(píng)價(jià)是數(shù)據(jù)安全合規(guī)體系一項(xiàng)重要要求，定期對(duì)數(shù)據(jù)安全相關(guān)法律法規(guī)的遵從情況進(jìn)行評(píng)價(jià)?！稊?shù)據(jù)安全法》目前規(guī)定支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)，但是相關(guān)評(píng)估標(biāo)準(zhǔn)和制度尚未完善，暫時(shí)可以參考等級(jí)保護(hù)、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和其他行業(yè)相關(guān)監(jiān)管制度等。

持續(xù)整改靠文化

數(shù)據(jù)安全合規(guī)文化是數(shù)據(jù)安全風(fēng)險(xiǎn)防范的最后一道防線，數(shù)據(jù)安全合規(guī)文化包括合規(guī)價(jià)值認(rèn)同，全員意識(shí)培養(yǎng)和高層領(lǐng)導(dǎo)認(rèn)可和推動(dòng)等內(nèi)容。要打造數(shù)據(jù)安全合規(guī)文化，就要在單位推行數(shù)據(jù)安全管理制度和行為規(guī)范。

樹立正確的數(shù)據(jù)安全合規(guī)價(jià)值觀，認(rèn)同并相信數(shù)據(jù)安全合規(guī)所帶來(lái)的的巨大價(jià)值。第二，高層領(lǐng)導(dǎo)帶頭遵守制定的各項(xiàng)合規(guī)制度和規(guī)范。第三，堅(jiān)持不斷的培訓(xùn)。合規(guī)部門自上而下地進(jìn)行宣傳和講解合規(guī)的價(jià)值、管理制度和行為規(guī)范，讓每個(gè)崗位員工知道合規(guī)底線和基線。最后，將合規(guī)加入到績(jī)效考核。合格合規(guī)管理行為獎(jiǎng)勵(lì)，違規(guī)的行為將受到相關(guān)懲罰。

總結(jié)

數(shù)據(jù)安全合規(guī)體系是單位網(wǎng)絡(luò)安全合規(guī)體系其中的一部分，但是相對(duì)于網(wǎng)絡(luò)安全有特殊之處，與業(yè)務(wù)和管理結(jié)合更緊密，目前數(shù)據(jù)安全法剛剛頒布，雖然配套還未齊全，但是各單位應(yīng)該提前布局開始構(gòu)建數(shù)據(jù)安全合規(guī)體系，不僅僅能應(yīng)對(duì)現(xiàn)有的數(shù)據(jù)安全法律法規(guī)，而是要有一定的前瞻性，通過合規(guī)驅(qū)動(dòng)數(shù)據(jù)安全治理體系建設(shè)，只有這樣在應(yīng)對(duì)越來(lái)越遠(yuǎn)的數(shù)據(jù)安全監(jiān)管要求，才能游刃有余。