近日《中華人民共和國數(shù)據(jù)安全法》正式表決通過，將于自2021年9月1日起施行， “數(shù)據(jù)”不僅擁有“價值”屬性，也具備了“法律”屬性。很多單位數(shù)據(jù)安全合規(guī)工作也提上日程，單位管理者開始關(guān)注面臨的數(shù)據(jù)安全風(fēng)險以及如何實現(xiàn)數(shù)據(jù)安全合規(guī)。

單位需要通過建立一套有效的數(shù)據(jù)安全合規(guī)體系來防范數(shù)據(jù)安全風(fēng)險，避免遭受法律制裁和監(jiān)管處罰，減少財產(chǎn)和名譽損失。單位數(shù)據(jù)安全合規(guī)體系建設(shè)思路如下：

自上而下有認(rèn)知、根據(jù)現(xiàn)狀找差距、圍繞業(yè)務(wù)識風(fēng)險、評估風(fēng)險出建議、根據(jù)建議做治理，合規(guī)成果要評價，持續(xù)整改靠文化。

自上而下有認(rèn)知

組織內(nèi)部自上而下從對合規(guī)工作意義達(dá)成統(tǒng)一共識，首先將數(shù)據(jù)安全合規(guī)當(dāng)成一種長期投資，雖然合規(guī)需要投入很多資金，但是長遠(yuǎn)來看能讓單位走的更穩(wěn)更遠(yuǎn)。數(shù)據(jù)安全合規(guī)不能完全避免數(shù)據(jù)安全風(fēng)險的發(fā)生，但是可以減少違規(guī)發(fā)生的風(fēng)險，一旦發(fā)生數(shù)據(jù)安全事件，例如個人過度采集數(shù)據(jù)泄露、數(shù)據(jù)泄露，違規(guī)訪問等，單位通過數(shù)據(jù)安全合規(guī)體系可以減輕，豁免甚至民事責(zé)任抗辯等。

其次數(shù)據(jù)安全合規(guī)體系有效落地，離不開人的推動和執(zhí)行，需要單位高層重視，組建專門的數(shù)據(jù)安全管理合規(guī)團(tuán)隊，由于數(shù)據(jù)安全與業(yè)務(wù)關(guān)聯(lián)度高，團(tuán)隊成員可包括高層領(lǐng)導(dǎo)、業(yè)務(wù)部門、信息化部門、風(fēng)控部門和法務(wù)部門等，并制定清晰的數(shù)據(jù)安全合規(guī)崗位責(zé)任，將合規(guī)體系融入到整個單位管理體系之中。

最后，數(shù)據(jù)安全合規(guī)不僅僅是《數(shù)據(jù)安全法》簡單應(yīng)對，而是要有一定的高度，通過合規(guī)驅(qū)動數(shù)據(jù)安全建設(shè)，從數(shù)據(jù)的安全風(fēng)險評估、監(jiān)測預(yù)警、應(yīng)急處置和安全審查四個方面，將真正有效安全措施和檢查落地實施而不是浮于表面，只有這樣才不至于在在安全事件發(fā)生的時候非常被動。

分析現(xiàn)狀找差距

首先分析立法現(xiàn)狀。國際和國內(nèi)出臺了許多數(shù)據(jù)安全相關(guān)的法律法規(guī)，例如國際上有名GDPR、CCPA、COPPA等，國內(nèi)近期出臺的《數(shù)據(jù)安全法》和《個人信息安全規(guī)范》，結(jié)合之前頒布《網(wǎng)絡(luò)安全法》和等級保護(hù)等相關(guān)法律法規(guī)標(biāo)準(zhǔn)等，將之前亂象叢生的數(shù)據(jù)安全行業(yè)納入到一個合規(guī)性的規(guī)則和標(biāo)準(zhǔn)框架之下。

其次分析單位經(jīng)營現(xiàn)狀。面對“產(chǎn)業(yè)數(shù)字化”轉(zhuǎn)型的趨勢，數(shù)據(jù)成為新的生產(chǎn)要素，單位分析并明確經(jīng)營活動邊界，根據(jù)國家或行業(yè)相關(guān)分級分類標(biāo)準(zhǔn)，確認(rèn)數(shù)據(jù)的類別和級別，哪些是內(nèi)部數(shù)據(jù)？哪些是公開數(shù)據(jù)？哪些是一般數(shù)據(jù)？哪些是敏感數(shù)據(jù)？那些是涉及到國家安全的數(shù)據(jù)。在數(shù)據(jù)分級分類邊界明晰的情況下，單位將數(shù)據(jù)安全合規(guī)體系下進(jìn)行生產(chǎn)經(jīng)營活動，進(jìn)而給整個行業(yè)帶來巨大改變。

全面梳理出應(yīng)該遵循的義務(wù)，以及目前完成的現(xiàn)狀，找出兩者之間的差距，形成數(shù)據(jù)安全合規(guī)差距分析報告。

圍繞業(yè)務(wù)找風(fēng)險

數(shù)據(jù)安全合規(guī)體系要深入了解業(yè)務(wù)，要圍繞業(yè)務(wù)識別出數(shù)據(jù)安全風(fēng)險。如何了解業(yè)務(wù)？需要從人、架構(gòu)、流程和數(shù)據(jù)四個維度對業(yè)務(wù)建模。

人與業(yè)務(wù)系統(tǒng)相關(guān)聯(lián)的干系人，常見使用者、維護(hù)者、管理者和監(jiān)管者等，梳理出這些人員業(yè)務(wù)職能和權(quán)限。

架構(gòu)：承載業(yè)務(wù)系統(tǒng)運行的計算機(jī)系統(tǒng)結(jié)構(gòu)，例如常見的網(wǎng)絡(luò)架構(gòu)、軟件架構(gòu)等和功能架構(gòu)等。

流程：業(yè)務(wù)系統(tǒng)人員之間的業(yè)務(wù)關(guān)系，作業(yè)順序和管理信息流向的圖表，常用業(yè)務(wù)流程圖和功能流程圖表示。

數(shù)據(jù)：系統(tǒng)運行本質(zhì)上是數(shù)據(jù)的加工和流轉(zhuǎn)，是系統(tǒng)運行的血脈。要了解業(yè)務(wù)系統(tǒng)中存儲哪些類型數(shù)據(jù)，這些數(shù)據(jù)存儲在什么地方？哪些有權(quán)限訪問數(shù)據(jù)？這些數(shù)據(jù)如何流轉(zhuǎn)和處理？常用數(shù)據(jù)分類分級表，敏感數(shù)據(jù)分布圖、數(shù)據(jù)流圖(DFD)等。

在了解業(yè)務(wù)模型后根據(jù)針對數(shù)據(jù)生命周期各階段面臨的威脅，結(jié)合業(yè)務(wù)自身的脆弱性和實際應(yīng)用場景進(jìn)行分析，識別出數(shù)據(jù)安全風(fēng)險。

風(fēng)險評估出建議

評估數(shù)據(jù)安全合規(guī)風(fēng)險識別合規(guī)風(fēng)險的基礎(chǔ)上，需要對合規(guī)風(fēng)險進(jìn)行的分析與評價。數(shù)據(jù)安全合規(guī)風(fēng)險分析，考慮不合規(guī)發(fā)生的原因、后果及發(fā)生可能性等因素，最后形成合規(guī)風(fēng)險清單。對合規(guī)風(fēng)險的分析，內(nèi)容描述應(yīng)包括以下內(nèi)容：按照數(shù)據(jù)安全全生命周期簡要描述可能存在威脅源，系統(tǒng)本身存在脆弱性，可能在什么場景下以什么方式發(fā)生風(fēng)險概率、影響范圍和造成影響。

風(fēng)險評價是利用風(fēng)險分析過程中獲得的對風(fēng)險的認(rèn)識，對未來的行動進(jìn)行決策。將合規(guī)風(fēng)險分析結(jié)果與單位能承受風(fēng)險比較，確定風(fēng)險的級別。合規(guī)團(tuán)隊通過已發(fā)生安全事件、基于安全專家和業(yè)務(wù)專家經(jīng)驗，采用頭腦風(fēng)暴等方式給出風(fēng)險處置建議，常見風(fēng)險處置建議有風(fēng)險消除、緩解、轉(zhuǎn)嫁和接受等。

根據(jù)建議做治理

在數(shù)據(jù)風(fēng)險識別和合規(guī)風(fēng)險評估之后，就要開始考慮如何根據(jù)整改建議制定治理方案。

數(shù)據(jù)安全治理需要從風(fēng)險評估結(jié)果出發(fā)，通過對組織制度建設(shè)、數(shù)據(jù)資產(chǎn)梳理、安全策略制定、安全風(fēng)險監(jiān)測、用戶行為審計和持續(xù)整改，不斷尋找合規(guī)路徑，落實合規(guī)政策，以滿足業(yè)務(wù)數(shù)據(jù)保護(hù)和安全合規(guī)為目標(biāo)，讓數(shù)據(jù)使用更方便更安全。

首先，合規(guī)組織制度建設(shè)，首先是確認(rèn)最高負(fù)責(zé)機(jī)構(gòu)，制定合規(guī)管理的目標(biāo)、方針和政策，統(tǒng)領(lǐng)公司合規(guī)管理工作。第二層是協(xié)調(diào)機(jī)構(gòu)，在合規(guī)委員會之下設(shè)合規(guī)管理小組，負(fù)責(zé)內(nèi)部資源協(xié)調(diào)。第三層是日常工作機(jī)構(gòu)，即數(shù)據(jù)合規(guī)部。

然后制定數(shù)據(jù)安全合規(guī)管理制度。合規(guī)管理制度一般包括合規(guī)行為準(zhǔn)則、制度規(guī)范、合規(guī)專項管理辦法、合規(guī)管理流程、合規(guī)管理表單。

合規(guī)成果要評價

數(shù)據(jù)安全合規(guī)性評價是數(shù)據(jù)安全合規(guī)體系一項重要要求，定期對數(shù)據(jù)安全相關(guān)法律法規(guī)的遵從情況進(jìn)行評價?！稊?shù)據(jù)安全法》目前規(guī)定支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動，但是相關(guān)評估標(biāo)準(zhǔn)和制度尚未完善，暫時可以參考等級保護(hù)、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和其他行業(yè)相關(guān)監(jiān)管制度等。

持續(xù)整改靠文化

數(shù)據(jù)安全合規(guī)文化是數(shù)據(jù)安全風(fēng)險防范的最后一道防線，數(shù)據(jù)安全合規(guī)文化包括合規(guī)價值認(rèn)同，全員意識培養(yǎng)和高層領(lǐng)導(dǎo)認(rèn)可和推動等內(nèi)容。要打造數(shù)據(jù)安全合規(guī)文化，就要在單位推行數(shù)據(jù)安全管理制度和行為規(guī)范。

樹立正確的數(shù)據(jù)安全合規(guī)價值觀，認(rèn)同并相信數(shù)據(jù)安全合規(guī)所帶來的的巨大價值。第二，高層領(lǐng)導(dǎo)帶頭遵守制定的各項合規(guī)制度和規(guī)范。第三，堅持不斷的培訓(xùn)。合規(guī)部門自上而下地進(jìn)行宣傳和講解合規(guī)的價值、管理制度和行為規(guī)范，讓每個崗位員工知道合規(guī)底線和基線。最后，將合規(guī)加入到績效考核。合格合規(guī)管理行為獎勵，違規(guī)的行為將受到相關(guān)懲罰。

總結(jié)

數(shù)據(jù)安全合規(guī)體系是單位網(wǎng)絡(luò)安全合規(guī)體系其中的一部分，但是相對于網(wǎng)絡(luò)安全有特殊之處，與業(yè)務(wù)和管理結(jié)合更緊密，目前數(shù)據(jù)安全法剛剛頒布，雖然配套還未齊全，但是各單位應(yīng)該提前布局開始構(gòu)建數(shù)據(jù)安全合規(guī)體系，不僅僅能應(yīng)對現(xiàn)有的數(shù)據(jù)安全法律法規(guī)，而是要有一定的前瞻性，通過合規(guī)驅(qū)動數(shù)據(jù)安全治理體系建設(shè)，只有這樣在應(yīng)對越來越遠(yuǎn)的數(shù)據(jù)安全監(jiān)管要求，才能游刃有余。