近日《中华人民共和国数据安全法》正式表决通过,将于自2021年9月1日起施行, “数据”不仅拥有“价值”属性,也具备了“法律”属性。很多单位数据安全合规工作也提上日程,单位管理者开始关注面临的数据安全风险以及如何实现数据安全合规。
单位需要通过建立一套有效的数据安全合规体系来防范数据安全风险,避免遭受法律制裁和监管处罚,减少财产和名誉损失。单位数据安全合规体系建设思路如下:
自上而下有认知、根据现状找差距、围绕业务识风险、评估风险出建议、根据建议做治理,合规成果要评价,持续整改靠文化。
组织内部自上而下从对合规工作意义达成统一共识,首先将数据安全合规当成一种长期投资,虽然合规需要投入很多资金,但是长远来看能让单位走的更稳更远。数据安全合规不能完全避免数据安全风险的发生,但是可以减少违规发生的风险,一旦发生数据安全事件,例如个人过度采集数据泄露、数据泄露,违规访问等,单位通过数据安全合规体系可以减轻,豁免甚至民事责任抗辩等。
其次数据安全合规体系有效落地,离不开人的推动和执行,需要单位高层重视,组建专门的数据安全管理合规团队,由于数据安全与业务关联度高,团队成员可包括高层领导、业务部门、信息化部门、风控部门和法务部门等,并制定清晰的数据安全合规岗位责任,将合规体系融入到整个单位管理体系之中。
最后,数据安全合规不仅仅是《数据安全法》简单应对,而是要有一定的高度,通过合规驱动数据安全建设,从数据的安全风险评估、监测预警、应急处置和安全审查四个方面,将真正有效安全措施和检查落地实施而不是浮于表面,只有这样才不至于在在安全事件发生的时候非常被动。
首先分析立法现状。国际和国内出台了许多数据安全相关的法律法规,例如国际上有名GDPR、CCPA、COPPA等,国内近期出台的《数据安全法》和《个人信息安全规范》,结合之前颁布《网络安全法》和等级保护等相关法律法规标准等,将之前乱象丛生的数据安全行业纳入到一个合规性的规则和标准框架之下。
其次分析单位经营现状。面对“产业数字化”转型的趋势,数据成为新的生产要素,单位分析并明确经营活动边界,根据国家或行业相关分级分类标准,确认数据的类别和级别,哪些是内部数据?哪些是公开数据?哪些是一般数据?哪些是敏感数据?那些是涉及到国家安全的数据。在数据分级分类边界明晰的情况下,单位将数据安全合规体系下进行生产经营活动,进而给整个行业带来巨大改变。
全面梳理出应该遵循的义务,以及目前完成的现状,找出两者之间的差距,形成数据安全合规差距分析报告。
数据安全合规体系要深入了解业务,要围绕业务识别出数据安全风险。如何了解业务?需要从人、架构、流程和数据四个维度对业务建模。
人与业务系统相关联的干系人,常见使用者、维护者、管理者和监管者等,梳理出这些人员业务职能和权限。
架构:承载业务系统运行的计算机系统结构,例如常见的网络架构、软件架构等和功能架构等。
流程:业务系统人员之间的业务关系,作业顺序和管理信息流向的图表,常用业务流程图和功能流程图表示。
数据:系统运行本质上是数据的加工和流转,是系统运行的血脉。要了解业务系统中存储哪些类型数据,这些数据存储在什么地方?哪些有权限访问数据?这些数据如何流转和处理?常用数据分类分级表,敏感数据分布图、数据流图(DFD)等。
在了解业务模型后根据针对数据生命周期各阶段面临的威胁,结合业务自身的脆弱性和实际应用场景进行分析,识别出数据安全风险。
评估数据安全合规风险识别合规风险的基础上,需要对合规风险进行的分析与评价。数据安全合规风险分析,考虑不合规发生的原因、后果及发生可能性等因素,最后形成合规风险清单。对合规风险的分析,内容描述应包括以下内容:按照数据安全全生命周期简要描述可能存在威胁源,系统本身存在脆弱性,可能在什么场景下以什么方式发生风险概率、影响范围和造成影响。
风险评价是利用风险分析过程中获得的对风险的认识,对未来的行动进行决策。将合规风险分析结果与单位能承受风险比较,确定风险的级别。合规团队通过已发生安全事件、基于安全专家和业务专家经验,采用头脑风暴等方式给出风险处置建议,常见风险处置建议有风险消除、缓解、转嫁和接受等。
在数据风险识别和合规风险评估之后,就要开始考虑如何根据整改建议制定治理方案。
数据安全治理需要从风险评估结果出发,通过对组织制度建设、数据资产梳理、安全策略制定、安全风险监测、用户行为审计和持续整改,不断寻找合规路径,落实合规政策,以满足业务数据保护和安全合规为目标,让数据使用更方便更安全。
首先,合规组织制度建设,首先是确认最高负责机构,制定合规管理的目标、方针和政策,统领公司合规管理工作。第二层是协调机构,在合规委员会之下设合规管理小组,负责内部资源协调。第三层是日常工作机构,即数据合规部。
然后制定数据安全合规管理制度。合规管理制度一般包括合规行为准则、制度规范、合规专项管理办法、合规管理流程、合规管理表单。
数据安全合规性评价是数据安全合规体系一项重要要求,定期对数据安全相关法律法规的遵从情况进行评价。《数据安全法》目前规定支持数据安全检测评估、认证等专业机构依法开展服务活动,但是相关评估标准和制度尚未完善,暂时可以参考等级保护、关键基础设施保护和其他行业相关监管制度等。
数据安全合规文化是数据安全风险防范的最后一道防线,数据安全合规文化包括合规价值认同,全员意识培养和高层领导认可和推动等内容。要打造数据安全合规文化,就要在单位推行数据安全管理制度和行为规范。
树立正确的数据安全合规价值观,认同并相信数据安全合规所带来的的巨大价值。第二,高层领导带头遵守制定的各项合规制度和规范。第三,坚持不断的培训。合规部门自上而下地进行宣传和讲解合规的价值、管理制度和行为规范,让每个岗位员工知道合规底线和基线。最后,将合规加入到绩效考核。合格合规管理行为奖励,违规的行为将受到相关惩罚。
数据安全合规体系是单位网络安全合规体系其中的一部分,但是相对于网络安全有特殊之处,与业务和管理结合更紧密,目前数据安全法刚刚颁布,虽然配套还未齐全,但是各单位应该提前布局开始构建数据安全合规体系,不仅仅能应对现有的数据安全法律法规,而是要有一定的前瞻性,通过合规驱动数据安全治理体系建设,只有这样在应对越来越远的数据安全监管要求,才能游刃有余。