企業(yè)合規(guī)丨合規(guī)開創(chuàng)未來：企業(yè)如何構(gòu)建安全高效的數(shù)據(jù)合規(guī)體系？

隨著數(shù)據(jù)“升格”為第五大生產(chǎn)要素，數(shù)據(jù)的價值受到了空前的重視。對于企業(yè)而言，掌控和利用數(shù)據(jù)的能力將成為核心競爭力，決定企業(yè)能否長遠(yuǎn)發(fā)展。在挖掘數(shù)據(jù)價值、驅(qū)動業(yè)務(wù)增長的同時，企業(yè)必須著力推進數(shù)據(jù)治理以及數(shù)據(jù)安全建設(shè)，保障自身的業(yè)務(wù)和資產(chǎn)安全。

“合規(guī)”是企業(yè)數(shù)據(jù)治理以及數(shù)據(jù)安全建設(shè)的基礎(chǔ)要求。近年來，我國相繼出臺了《個人信息保護法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等法律，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》等規(guī)章制度，以及一系列的數(shù)據(jù)安全國家標(biāo)準(zhǔn)，形成了層次清晰、架構(gòu)完整、聯(lián)系緊密的數(shù)據(jù)安全法律法規(guī)體系。企業(yè)開展數(shù)據(jù)治理以及數(shù)據(jù)安全建設(shè)之前，必須充分了解相關(guān)法律體系，站在全局視角規(guī)劃企業(yè)的合規(guī)路徑。

一、數(shù)據(jù)安全法律法規(guī)體系分析

1.數(shù)據(jù)安全法律法規(guī)體系日趨完善

2. 數(shù)據(jù)合規(guī)要求從“保護”演變?yōu)椤氨Ｗo與利用并重”

3. 數(shù)據(jù)安全監(jiān)管日趨正規(guī)、嚴(yán)格

二、企業(yè)面臨的數(shù)據(jù)安全合規(guī)挑戰(zhàn)

1. 提升對數(shù)據(jù)安全合規(guī)建設(shè)的認(rèn)知

2. 建立數(shù)據(jù)分類分級保護制度

3.構(gòu)建切實有效的數(shù)據(jù)安全管理制度

管理制度為數(shù)據(jù)安全合規(guī)建設(shè)提供制度保障?！稊?shù)據(jù)安全法》第27條規(guī)定:“開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度”，“重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)，落實數(shù)據(jù)安全保護責(zé)任。” 《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第6條要求：“數(shù)據(jù)處理者應(yīng)當(dāng)按照有關(guān)法律、行政法規(guī)的規(guī)定和國家標(biāo)準(zhǔn)的強制性要求，建立完善數(shù)據(jù)安全管理制度和技術(shù)保護機制?！?/span>長久以來，企業(yè)的信息安全工作都由IT運維部門負(fù)責(zé)，在數(shù)據(jù)安全合規(guī)建設(shè)中容易出現(xiàn)以下管理問題。第一，數(shù)據(jù)流通流轉(zhuǎn)貫穿于數(shù)字化業(yè)務(wù)流程的全流程，數(shù)據(jù)安全也隨之成為業(yè)務(wù)安全的“原生需求”。但受限于原有的組織架構(gòu)和管理制度，業(yè)務(wù)部門并不承擔(dān)數(shù)據(jù)安全職能，對相關(guān)工作也不夠重視。企業(yè)迫切需要通過調(diào)整管理制度，明確責(zé)任歸屬，建立制度規(guī)范，開展技能培訓(xùn)，制定應(yīng)急預(yù)案，提升業(yè)務(wù)部門對數(shù)據(jù)安全的參與度。第二，企業(yè)的數(shù)據(jù)安全負(fù)責(zé)人兼具法律、業(yè)務(wù)、技術(shù)三種視角，才能規(guī)劃出合規(guī)建設(shè)的最佳路徑，充分整合內(nèi)外部資源，高效推動項目建設(shè)。

4. 提升網(wǎng)絡(luò)安全防護能力，推進網(wǎng)絡(luò)安全合規(guī)建設(shè)

數(shù)字時代，數(shù)據(jù)安全合規(guī)建設(shè)必須建立在網(wǎng)絡(luò)安全合規(guī)的基礎(chǔ)之上。GB/T 41479-2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》對數(shù)據(jù)的“風(fēng)險防控”提出了具體的要求，網(wǎng)絡(luò)運營者“開展數(shù)據(jù)處理活動應(yīng)加強風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)采取加密、脫敏、備份、訪問控制、審計等技術(shù)或者其它必要措施，加強數(shù)據(jù)安全防護，保護數(shù)據(jù)免受泄密、竊取、篡改、損毀、不當(dāng)使用等”，并對數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)做出了細(xì)化要求。這對企業(yè)的網(wǎng)絡(luò)安全建設(shè)提出了“內(nèi)”與“外”兩方面的要求。在內(nèi)部管理上，應(yīng)重點關(guān)注數(shù)據(jù)的備份、加密和訪問控制。在對外的數(shù)據(jù)傳輸和存儲上，企業(yè)需要保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法使用。面對快速變化的網(wǎng)絡(luò)安全態(tài)勢，企業(yè)在“內(nèi)”“外”兩個層次上都必須進行動態(tài)的、持續(xù)的安全建設(shè)。2023年，ChatGPT等生成式人工智能工具的快速普及使得企業(yè)面臨嚴(yán)峻的釣魚攻擊威脅，API攻擊的爆發(fā)式增長給企業(yè)帶來新的網(wǎng)絡(luò)安全挑戰(zhàn)。企業(yè)必須持續(xù)強化、更新網(wǎng)絡(luò)安全防御體系，才能滿足數(shù)據(jù)安全合規(guī)需求。

5.打造常態(tài)化的數(shù)據(jù)安全運營體系

《數(shù)據(jù)安全法》第3條規(guī)定：“數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！边@就要求企業(yè)不但要關(guān)注數(shù)據(jù)的即時狀態(tài)，還要通過數(shù)據(jù)安全評估、數(shù)據(jù)風(fēng)險監(jiān)測、事件響應(yīng)處置等措施，保證數(shù)據(jù)長期、持續(xù)的安全狀態(tài)。建立長效的數(shù)據(jù)安全評估機制，其目的在于督促企業(yè)建立動態(tài)的、可持續(xù)的數(shù)據(jù)安全運營體系，引導(dǎo)企業(yè)的數(shù)據(jù)安全防護體系從一次性的建設(shè)向常態(tài)化的運營轉(zhuǎn)變。企業(yè)應(yīng)以數(shù)據(jù)安全評估為契機，打造覆蓋“策略→防護→監(jiān)測→響應(yīng)”的數(shù)據(jù)安全閉環(huán)管理流程，借助安全評估、實戰(zhàn)演練，持續(xù)強化數(shù)據(jù)安全防護、提升數(shù)據(jù)安全水平，讓數(shù)據(jù)更好地為企業(yè)發(fā)展賦能。

三、芯盾時代零信任數(shù)據(jù)安全解決方案

面對企業(yè)的數(shù)據(jù)安全合規(guī)建設(shè)需求，芯盾時代基于對數(shù)據(jù)安全法律法規(guī)體系的深度理解、在企業(yè)數(shù)據(jù)安全建設(shè)上的豐富經(jīng)驗，將零信任理念引入數(shù)據(jù)安全領(lǐng)域，推出了數(shù)據(jù)安全態(tài)勢感知解決方案，采用新理念、新架構(gòu)、新技術(shù)，幫助企業(yè)升級數(shù)據(jù)安全防護體系，滿足合規(guī)要求，提升防護水平。芯盾時代數(shù)據(jù)安全態(tài)勢感知解決方案具備以下特點：

1. 以合規(guī)為基石，構(gòu)建立體化數(shù)據(jù)安全體系

芯盾時代綜合考慮數(shù)據(jù)安全合規(guī)要求，結(jié)合企業(yè)自身業(yè)務(wù)特點，為企業(yè)量身定制最優(yōu)的數(shù)據(jù)安全合規(guī)建設(shè)路徑。結(jié)合海量數(shù)據(jù)安全建設(shè)實踐、完善的數(shù)據(jù)安全產(chǎn)品線，幫助企業(yè)制定數(shù)據(jù)安全戰(zhàn)略，明確組織架構(gòu)與管理制度，建立數(shù)據(jù)安全技術(shù)體系，打造數(shù)據(jù)安全運營體系，為企業(yè)構(gòu)建數(shù)據(jù)安全基座。

2. 借助AI技術(shù)，建立數(shù)據(jù)分類分級保護制度

嚴(yán)格按照《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》、《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級要求（征求意見稿）》等法律法規(guī)的要求，采用大數(shù)據(jù)技術(shù)和AI技術(shù)，為企業(yè)建立具備自適應(yīng)學(xué)習(xí)能力的數(shù)據(jù)度量模型，幫助企業(yè)主動發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)，精準(zhǔn)標(biāo)識生產(chǎn)經(jīng)營數(shù)據(jù)，并持續(xù)調(diào)優(yōu)分類標(biāo)準(zhǔn)，實現(xiàn)數(shù)據(jù)分類分級的動態(tài)化、智能化，更好的滿足合規(guī)要求。

3. 制定數(shù)據(jù)安全管理制度，梳理、優(yōu)化組織架構(gòu)

幫助企業(yè)建立自上而下的組織架構(gòu)，明確數(shù)據(jù)安全管理機構(gòu)與專職崗位的權(quán)限與職責(zé)，明確考核機制。在管理制度上，整合豐富的數(shù)據(jù)安全項目經(jīng)驗，參考DSMM（數(shù)據(jù)安全成熟度模型），幫助企業(yè)制定符合法律法規(guī)、滿足業(yè)務(wù)需求的、層次清晰的數(shù)據(jù)安全規(guī)范體系。同時，幫助企業(yè)開展數(shù)據(jù)安全培訓(xùn)、建立應(yīng)急預(yù)案，全方位提升企業(yè)的數(shù)據(jù)安全能力。

4. 提升網(wǎng)絡(luò)安全防護能力，保障數(shù)據(jù)安全流通流轉(zhuǎn)

按照網(wǎng)絡(luò)安全等級保護制度的要求，從身份、設(shè)備、行為三個維度為企業(yè)構(gòu)建零信任架構(gòu)，幫助企業(yè)強化網(wǎng)絡(luò)安全防護體系。借助自主研發(fā)的用戶身份與訪問管理平臺（IAM）、零信任業(yè)務(wù)安全平臺（SDP）、智能終端密碼模塊（PMIT）、API安全網(wǎng)關(guān)等產(chǎn)品，為企業(yè)建立以“身份”為核心的動態(tài)訪問控制體系，實現(xiàn)對數(shù)據(jù)資源訪問的最小化授權(quán)。在收斂數(shù)據(jù)資源暴露面、減少網(wǎng)絡(luò)攻擊的同時，通過對數(shù)據(jù)的加密、脫敏，保證數(shù)據(jù)被安全傳輸和存儲。

5. 監(jiān)督與評估并重，實現(xiàn)數(shù)據(jù)安全可持續(xù)運營

為企業(yè)建立數(shù)據(jù)安全監(jiān)督體系，針對數(shù)據(jù)全生命周期各階段的安全管理情況進行監(jiān)控與審計，以保證數(shù)據(jù)安全治理可以有效、持續(xù)地創(chuàng)造價值。借助監(jiān)督體系，定期開展數(shù)據(jù)安全評估，對規(guī)章制度體系、安全防護體系、安全運營體系的實際運轉(zhuǎn)情況進行檢查，并根據(jù)評估結(jié)果持續(xù)改進數(shù)據(jù)安全體系，確保數(shù)據(jù)安全運營的有效性和持續(xù)性，滿足法律法規(guī)的評估要求。目前，我國企業(yè)的數(shù)據(jù)應(yīng)用剛剛起步，主要集中在精準(zhǔn)營銷等有限場景，未能從業(yè)務(wù)轉(zhuǎn)型角度開展預(yù)測性和決策性分析，沒有更深層次挖掘數(shù)據(jù)資產(chǎn)的潛在價值。隨著企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)的逐步深入，企業(yè)將構(gòu)建堅實的數(shù)據(jù)安全基座，更好地拓寬數(shù)據(jù)的應(yīng)用場景、發(fā)掘數(shù)據(jù)的潛在價值，讓數(shù)據(jù)成為數(shù)字化時代的“新石油”，成為企業(yè)的長遠(yuǎn)發(fā)展的源動力。

郭曉鵬

■北京市政協(xié)委員

■芯盾時代創(chuàng)始人、董事長

本科畢業(yè)于清華大學(xué)，研究生畢業(yè)于中國科學(xué)院，長期深耕于網(wǎng)絡(luò)與信息安全領(lǐng)域，對安全市場有廣闊的視野和深入的理解。現(xiàn)擔(dān)任北京市工商聯(lián)執(zhí)行委員、中國指揮與控制學(xué)會公共安全數(shù)據(jù)工程專委會委員、中國計算機學(xué)會抗惡劣環(huán)境計算機專委會委員，中國通信學(xué)會公共安全通信委員會委員、中國能源研究會專委會委員等社會職務(wù)。

孫 悅

■芯盾時代創(chuàng)始人、CTO

本科、研究生畢業(yè)于北京郵電大學(xué)，現(xiàn)清華大學(xué)五道口金融學(xué)院EMBA在讀。孫悅率先提出“以人為核心的業(yè)務(wù)安全”理念，開創(chuàng)性地解決開放網(wǎng)絡(luò)環(huán)境下各行業(yè)在數(shù)字化發(fā)展過程中遇到的業(yè)務(wù)安全問題。現(xiàn)擔(dān)任中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟專家?guī)鞂＜?、全國金融?biāo)準(zhǔn)化技術(shù)委員會專項工作組專家、中國能源研究會專委會委員、新基建創(chuàng)新研究院信創(chuàng)專家、北京市門頭溝區(qū)工商聯(lián)副主席等社會職務(wù)。 - End - ? ?

往期 · 推薦

數(shù)據(jù)安全“最優(yōu)解”丨以零信任理念，助力企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)

數(shù)據(jù)安全“芯”方案丨芯盾時代入選《數(shù)據(jù)安全保護義務(wù)履行參考案例集》

芯盾時代亮相ICT技術(shù)發(fā)展與企業(yè)數(shù)字化轉(zhuǎn)型高峰論壇 詳解零信任數(shù)據(jù)安全建設(shè)之道

芯盾時代參與編寫《零信任數(shù)據(jù)安全白皮書》 給出數(shù)據(jù)安全“芯”方案