腦殘夢

2022-07-20

當前，國家層面正積極推進依法治數，堅持發展和安全并重。在此形勢下，企業作為最主要的數據處理者，挑戰和機遇并存，“保護數據安全、確保數據合規”并舉。

STEP1：搭建數據安全和合規組織架構

企業可建立數據安全與合規委員會，作為數據安全的管理機構。其組成人員不一定需要外部招聘，可由內部各層級、各部門選調合適人員組建而成。委員會的總負責人可由首席數據安全官擔任，也可由公司CTO擔任。如有必要，亦可由公司CEO擔任。委員會成員中至少應具備信息安全、法律、統計、審計、保密等相關專業人才。如果公司處于健康醫療等特殊行業，團隊中還應包括醫學方面專業人員。



STEP2：梳理企業數據資產及數據風險

企業在構建數據安全和合規體系時，首先梳理出企業所掌握的數據資產，構建細顆粒度數據資產信息，理清數據面臨的潛在風險，可為企業數據安全制度建設奠定基礎。企業可從如下維度梳理數據資產和潛在風險。

1. 梳理適用自身業務的法律法規、監管要求

2. 梳理涉及數據的業務場景

3. 梳理數據種類、數量、收集方式、使用情況等

4. 梳理涉及數據的合作方

5. 梳理企業內部現有組織架構在數據保護層面的適用性

6. 梳理現有數據安全和合規措施

7. 梳理數據面臨風險的節點、場景等



STEP3：建立精細化數據安全和合規治理體系

企業可從數據分類分級建設、全流程數據處理管理制度建設與數據安全體系建設三個維度展開數據安全體系建設。

數據分類分級建設：依照企業所屬不同行業，根據國家、地方行業標準或部分行業已出臺的參考標準，對企業數據進行分類分級，實現差異化精準化的安全防護。

全流程數據處理管理制度建設 ：數據處理安全體系建設圍繞數據全生命周期而展開，數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開、銷毀等環節。因不同環節面臨的數據安全威脅不盡相同，存在的風險亦不盡相同，因此企業可將每個環節作為切入點，采取側重點不同的安全合規措施。

數據安全體系建設：企業保障數據安全可從數據安全目標制定、數據等級保護制度建設、數據安全事件應急處理機制、數據安全事件事后復盤完善、定期風險評估幾方面著手，打造數據安全的閉環系統。