背 景
随着《数据安全法》和《个人信息保护法》陆续出台,区域性数据安全相关法规政策接连发布,行业主管部门密集开展数据安全和个人信息保护专项工作,数据安全监管力度持续增强,合规已成为数据安全市场的首要推动力。如何满足数据安全法律法规政策要求,切实防范数据安全风险,成为企业数据安全合规治理的核心目标。目前,企业在引入第三方数据安全合规治理服务时,往往担心安全治理成本过高,对业务系统的正常运行带来过多的影响;而数据安全合规治理工作如何开展,如何以最小化的成本解决最核心的数据安全合规问题,也没有统一的认识和权威的实施指导。
DSCG专项行动
在此背景下,为切实帮助企业应对数据安全工作中面临的合规性挑战,中国信息通信研究院(以下简称“中国信通院”)“大数据应用与安全创新实验室”于2022年3月7日正式启动“数据安全合规治理(DSCG)专项行动”(以下简称“行动”)。此“行动”旨在助力企业完成数据安全合规体系建设。
数据安全合规治理实施方案
半岛.综合体育入口作为数据安全合规治理推进小组的成员单位。同信通院及20余家数据安全治理龙头企业一同形成了《数据安全合规治理实施方案》,以帮助企业满足数据安全法律法规政策要求,防范数据安全风险,完成企业数据安全合规治理。
半岛.综合体育入口能兼顾企业业务发展需求与合规要求,参照医疗、电力、汽车、银行、政务等行业合规文件清单,以《数据安全合规治理实施方案》中的数据安全合规治理体系框架、流程、组织架构、文件体系、技术体系等,帮助企业实施和开展数据安全合规治理工作。
半岛.综合体育入口合规治理能力
半岛.综合体育入口拥有近20年数据安全领域经验、先进技术及强大的人才团队,可从梳理与评估、组织建设、安全管理、技术能力、安全运营、安全监督、人才培养等方面,构建切实可行的数据安全治理实施框架,确保数据安全战略方针、各项管理要求落实到位,确保企业合法、有序开展数据处理活动。
数据安全合规治理(DSCG)体系框架
数据安全合规治理流程
实施步骤如下:
1.构建统筹有力的数据安全组织机构
强化组织领导、明确责任分工,构建统筹有力的数据安全统一团队,推动数据安全工作持续、有序、稳定地开展。
2.全员数据安全赋能与专业人才培养
人员是数据安全各项要求有效实施的基石,不同角色人员数据安全职责不同,所需数据安全技能也不同;组织应根据具体业务情况开展数据安全赋能,确保各项数据安全战略、策略方针及管理要求能够有效落地。
3.摸清数据资产家底理清数据安全现状
通过梳理与评估,理清数据安全现状,同时基于数据处理活动构建“静”、“动”结合的数据安全评估机制。
4.制定行之有效的数据安全制度规范
基于组织数据安全现状,准确定义数据安全管理内容和数据分类分级,明确工作职责和工作要求,完善数据安全管理制度和流程,使数据安全工作有据可依,责任落实到人。
5.构筑必要的数据安全防护能力
围绕数据全生命周期,关注数据价值,建设一体化数据安全治理平台。
6.开展常态化数据安全运营
将数据脱敏、数字水印、数据防泄漏、数据加密、数据安全监测审计等数据安全防护措施与数据安全管理制度结合起来,开展数据安全常态化运营,确保组织数据安全战略、数据安全管控要求有效实施。
7.定期进行数据安全监督检查
为确保组织各项数据安全战略、策略方针、管理要求落实到位,企业单位应加强审计及监督检查。一是安全管理部门、内审部定期开展数据安全审计工作,在过往安全专项审计的基础上,增加数据安全审计内容。二是安全管理部门对组织内部各部门、下属单位数据安全落实情况进行现场监督检查或远程监督检查,核查组织内部在数据安全工作是否组织、落实到位。
未来,半岛.综合体育入口将助力信通院数据安全合规治理(DSCG)专项行动,以企业数据安全合规体系建设为目标,运用科学的方法和手段,帮助企业系统地分析内部机构人员、制度保障、数据资产管理、数据安全防护能力等各维度存在的合规性问题,并指导企业进行数据安全组织、管理、技术三大方面的合规性建设:建立健全企业数据安全组织体系和管理制度,提出安全技术措施实施方案。
完成数据安全合规治理建设的企业,可申请参与信通院评估,通过评估后可获得信通院数据安全合规治理(DSCG)证书。获得该证书企业可参与由信通院组织的相关评选等活动。
