企業(yè)合規(guī)丨合規(guī)開創(chuàng)未來：企業(yè)如何構建安全高效的數(shù)據(jù)合規(guī)體系？

隨著數(shù)據(jù)“升格”為第五大生產要素，數(shù)據(jù)的價值受到了空前的重視。對于企業(yè)而言，掌控和利用數(shù)據(jù)的能力將成為核心競爭力，決定企業(yè)能否長遠發(fā)展。在挖掘數(shù)據(jù)價值、驅動業(yè)務增長的同時，企業(yè)必須著力推進數(shù)據(jù)治理以及數(shù)據(jù)安全建設，保障自身的業(yè)務和資產安全。

“合規(guī)”是企業(yè)數(shù)據(jù)治理以及數(shù)據(jù)安全建設的基礎要求。近年來，我國相繼出臺了《個人信息保護法》《數(shù)據(jù)安全法》《網絡安全法》等法律，《網絡數(shù)據(jù)安全管理條例（征求意見稿）》等規(guī)章制度，以及一系列的數(shù)據(jù)安全國家標準，形成了層次清晰、架構完整、聯(lián)系緊密的數(shù)據(jù)安全法律法規(guī)體系。企業(yè)開展數(shù)據(jù)治理以及數(shù)據(jù)安全建設之前，必須充分了解相關法律體系，站在全局視角規(guī)劃企業(yè)的合規(guī)路徑。

一、數(shù)據(jù)安全法律法規(guī)體系分析

1.數(shù)據(jù)安全法律法規(guī)體系日趨完善

2. 數(shù)據(jù)合規(guī)要求從“保護”演變?yōu)椤氨Ｗo與利用并重”

3. 數(shù)據(jù)安全監(jiān)管日趨正規(guī)、嚴格

二、企業(yè)面臨的數(shù)據(jù)安全合規(guī)挑戰(zhàn)

1. 提升對數(shù)據(jù)安全合規(guī)建設的認知

2. 建立數(shù)據(jù)分類分級保護制度

3.構建切實有效的數(shù)據(jù)安全管理制度

管理制度為數(shù)據(jù)安全合規(guī)建設提供制度保障?！稊?shù)據(jù)安全法》第27條規(guī)定:“開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度”，“重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任?！?《網絡數(shù)據(jù)安全管理條例（征求意見稿）》第6條要求：“數(shù)據(jù)處理者應當按照有關法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，建立完善數(shù)據(jù)安全管理制度和技術保護機制?！?/span>長久以來，企業(yè)的信息安全工作都由IT運維部門負責，在數(shù)據(jù)安全合規(guī)建設中容易出現(xiàn)以下管理問題。第一，數(shù)據(jù)流通流轉貫穿于數(shù)字化業(yè)務流程的全流程，數(shù)據(jù)安全也隨之成為業(yè)務安全的“原生需求”。但受限于原有的組織架構和管理制度，業(yè)務部門并不承擔數(shù)據(jù)安全職能，對相關工作也不夠重視。企業(yè)迫切需要通過調整管理制度，明確責任歸屬，建立制度規(guī)范，開展技能培訓，制定應急預案，提升業(yè)務部門對數(shù)據(jù)安全的參與度。第二，企業(yè)的數(shù)據(jù)安全負責人兼具法律、業(yè)務、技術三種視角，才能規(guī)劃出合規(guī)建設的最佳路徑，充分整合內外部資源，高效推動項目建設。

4. 提升網絡安全防護能力，推進網絡安全合規(guī)建設

數(shù)字時代，數(shù)據(jù)安全合規(guī)建設必須建立在網絡安全合規(guī)的基礎之上。GB/T 41479-2022《信息安全技術 網絡數(shù)據(jù)處理安全要求》對數(shù)據(jù)的“風險防控”提出了具體的要求，網絡運營者“開展數(shù)據(jù)處理活動應加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應采取加密、脫敏、備份、訪問控制、審計等技術或者其它必要措施，加強數(shù)據(jù)安全防護，保護數(shù)據(jù)免受泄密、竊取、篡改、損毀、不當使用等”，并對數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)做出了細化要求。這對企業(yè)的網絡安全建設提出了“內”與“外”兩方面的要求。在內部管理上，應重點關注數(shù)據(jù)的備份、加密和訪問控制。在對外的數(shù)據(jù)傳輸和存儲上，企業(yè)需要保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法使用。面對快速變化的網絡安全態(tài)勢，企業(yè)在“內”“外”兩個層次上都必須進行動態(tài)的、持續(xù)的安全建設。2023年，ChatGPT等生成式人工智能工具的快速普及使得企業(yè)面臨嚴峻的釣魚攻擊威脅，API攻擊的爆發(fā)式增長給企業(yè)帶來新的網絡安全挑戰(zhàn)。企業(yè)必須持續(xù)強化、更新網絡安全防御體系，才能滿足數(shù)據(jù)安全合規(guī)需求。

5.打造常態(tài)化的數(shù)據(jù)安全運營體系

《數(shù)據(jù)安全法》第3條規(guī)定：“數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。”這就要求企業(yè)不但要關注數(shù)據(jù)的即時狀態(tài)，還要通過數(shù)據(jù)安全評估、數(shù)據(jù)風險監(jiān)測、事件響應處置等措施，保證數(shù)據(jù)長期、持續(xù)的安全狀態(tài)。建立長效的數(shù)據(jù)安全評估機制，其目的在于督促企業(yè)建立動態(tài)的、可持續(xù)的數(shù)據(jù)安全運營體系，引導企業(yè)的數(shù)據(jù)安全防護體系從一次性的建設向常態(tài)化的運營轉變。企業(yè)應以數(shù)據(jù)安全評估為契機，打造覆蓋“策略→防護→監(jiān)測→響應”的數(shù)據(jù)安全閉環(huán)管理流程，借助安全評估、實戰(zhàn)演練，持續(xù)強化數(shù)據(jù)安全防護、提升數(shù)據(jù)安全水平，讓數(shù)據(jù)更好地為企業(yè)發(fā)展賦能。

三、芯盾時代零信任數(shù)據(jù)安全解決方案

面對企業(yè)的數(shù)據(jù)安全合規(guī)建設需求，芯盾時代基于對數(shù)據(jù)安全法律法規(guī)體系的深度理解、在企業(yè)數(shù)據(jù)安全建設上的豐富經驗，將零信任理念引入數(shù)據(jù)安全領域，推出了數(shù)據(jù)安全態(tài)勢感知解決方案，采用新理念、新架構、新技術，幫助企業(yè)升級數(shù)據(jù)安全防護體系，滿足合規(guī)要求，提升防護水平。芯盾時代數(shù)據(jù)安全態(tài)勢感知解決方案具備以下特點：

1. 以合規(guī)為基石，構建立體化數(shù)據(jù)安全體系

芯盾時代綜合考慮數(shù)據(jù)安全合規(guī)要求，結合企業(yè)自身業(yè)務特點，為企業(yè)量身定制最優(yōu)的數(shù)據(jù)安全合規(guī)建設路徑。結合海量數(shù)據(jù)安全建設實踐、完善的數(shù)據(jù)安全產品線，幫助企業(yè)制定數(shù)據(jù)安全戰(zhàn)略，明確組織架構與管理制度，建立數(shù)據(jù)安全技術體系，打造數(shù)據(jù)安全運營體系，為企業(yè)構建數(shù)據(jù)安全基座。

2. 借助AI技術，建立數(shù)據(jù)分類分級保護制度

嚴格按照《數(shù)據(jù)安全法》、《網絡數(shù)據(jù)安全管理條例（征求意見稿）》、《信息安全技術 網絡數(shù)據(jù)分類分級要求（征求意見稿）》等法律法規(guī)的要求，采用大數(shù)據(jù)技術和AI技術，為企業(yè)建立具備自適應學習能力的數(shù)據(jù)度量模型，幫助企業(yè)主動發(fā)現(xiàn)數(shù)據(jù)資產，精準標識生產經營數(shù)據(jù)，并持續(xù)調優(yōu)分類標準，實現(xiàn)數(shù)據(jù)分類分級的動態(tài)化、智能化，更好的滿足合規(guī)要求。

3. 制定數(shù)據(jù)安全管理制度，梳理、優(yōu)化組織架構

幫助企業(yè)建立自上而下的組織架構，明確數(shù)據(jù)安全管理機構與專職崗位的權限與職責，明確考核機制。在管理制度上，整合豐富的數(shù)據(jù)安全項目經驗，參考DSMM（數(shù)據(jù)安全成熟度模型），幫助企業(yè)制定符合法律法規(guī)、滿足業(yè)務需求的、層次清晰的數(shù)據(jù)安全規(guī)范體系。同時，幫助企業(yè)開展數(shù)據(jù)安全培訓、建立應急預案，全方位提升企業(yè)的數(shù)據(jù)安全能力。

4. 提升網絡安全防護能力，保障數(shù)據(jù)安全流通流轉

按照網絡安全等級保護制度的要求，從身份、設備、行為三個維度為企業(yè)構建零信任架構，幫助企業(yè)強化網絡安全防護體系。借助自主研發(fā)的用戶身份與訪問管理平臺（IAM）、零信任業(yè)務安全平臺（SDP）、智能終端密碼模塊（PMIT）、API安全網關等產品，為企業(yè)建立以“身份”為核心的動態(tài)訪問控制體系，實現(xiàn)對數(shù)據(jù)資源訪問的最小化授權。在收斂數(shù)據(jù)資源暴露面、減少網絡攻擊的同時，通過對數(shù)據(jù)的加密、脫敏，保證數(shù)據(jù)被安全傳輸和存儲。

5. 監(jiān)督與評估并重，實現(xiàn)數(shù)據(jù)安全可持續(xù)運營

為企業(yè)建立數(shù)據(jù)安全監(jiān)督體系，針對數(shù)據(jù)全生命周期各階段的安全管理情況進行監(jiān)控與審計，以保證數(shù)據(jù)安全治理可以有效、持續(xù)地創(chuàng)造價值。借助監(jiān)督體系，定期開展數(shù)據(jù)安全評估，對規(guī)章制度體系、安全防護體系、安全運營體系的實際運轉情況進行檢查，并根據(jù)評估結果持續(xù)改進數(shù)據(jù)安全體系，確保數(shù)據(jù)安全運營的有效性和持續(xù)性，滿足法律法規(guī)的評估要求。目前，我國企業(yè)的數(shù)據(jù)應用剛剛起步，主要集中在精準營銷等有限場景，未能從業(yè)務轉型角度開展預測性和決策性分析，沒有更深層次挖掘數(shù)據(jù)資產的潛在價值。隨著企業(yè)數(shù)據(jù)安全合規(guī)建設的逐步深入，企業(yè)將構建堅實的數(shù)據(jù)安全基座，更好地拓寬數(shù)據(jù)的應用場景、發(fā)掘數(shù)據(jù)的潛在價值，讓數(shù)據(jù)成為數(shù)字化時代的“新石油”，成為企業(yè)的長遠發(fā)展的源動力。

郭曉鵬

■北京市政協(xié)委員

■芯盾時代創(chuàng)始人、董事長

本科畢業(yè)于清華大學，研究生畢業(yè)于中國科學院，長期深耕于網絡與信息安全領域，對安全市場有廣闊的視野和深入的理解?，F(xiàn)擔任北京市工商聯(lián)執(zhí)行委員、中國指揮與控制學會公共安全數(shù)據(jù)工程專委會委員、中國計算機學會抗惡劣環(huán)境計算機專委會委員，中國通信學會公共安全通信委員會委員、中國能源研究會專委會委員等社會職務。

孫 悅

■芯盾時代創(chuàng)始人、CTO

本科、研究生畢業(yè)于北京郵電大學，現(xiàn)清華大學五道口金融學院EMBA在讀。孫悅率先提出“以人為核心的業(yè)務安全”理念，開創(chuàng)性地解決開放網絡環(huán)境下各行業(yè)在數(shù)字化發(fā)展過程中遇到的業(yè)務安全問題?，F(xiàn)擔任中國網絡安全產業(yè)聯(lián)盟專家?guī)鞂＜摇⑷珖鹑跇藴驶夹g委員會專項工作組專家、中國能源研究會專委會委員、新基建創(chuàng)新研究院信創(chuàng)專家、北京市門頭溝區(qū)工商聯(lián)副主席等社會職務。 - End - ? ?

往期 · 推薦

數(shù)據(jù)安全“最優(yōu)解”丨以零信任理念，助力企業(yè)數(shù)據(jù)安全合規(guī)建設

數(shù)據(jù)安全“芯”方案丨芯盾時代入選《數(shù)據(jù)安全保護義務履行參考案例集》

芯盾時代亮相ICT技術發(fā)展與企業(yè)數(shù)字化轉型高峰論壇 詳解零信任數(shù)據(jù)安全建設之道

芯盾時代參與編寫《零信任數(shù)據(jù)安全白皮書》 給出數(shù)據(jù)安全“芯”方案