火狐vip体育咨询电话:15132854000
tel_m

产品中心

火狐vip体育:企业数字底座的安全合规治理

企业数字底座的安全合规治理

发布时间:2024-10-17 10:25:31 | 来源:火狐vip体育

本期邀请同济大学教授 谭成翔给大家就《企业数字底座的安全合规治理》进行深入讲解↓↓↓

在线咨询

咨询电话 :15132854000

产品详情

  本期邀请同济大学教授 谭成翔给大家就《企业数字底座的安全合规治理》进行深入讲解↓↓↓

  数据合规与否从传统的企业信息化标准化关切,上升成直接制约数字化企业能否保持生存与业务连续性、更是一个法律问题。

  第一、基础价值属性。数据正在成为数字化的经济时代的核心战略资源,其是否合规对企业的生存与发展产生深刻影响。欧盟《通用数据条例》把个人数据保护视为基本人权,为信息安全和隐私保护构建起坚固的制度堡垒。数据合规治理渗透到数字化转型企业数据全生命周期,适当的数据合规治理可规避法律风险、保障业务连续性。

  •数据感知、汇聚、智能分析与处理、运用、销毁等生命周期往往跨时空跨业务边界

  第二、准入属性。从2017年到2019年,国内近20家企业在申请IPO时,证监会就数据合规问题提出询问,证监会要求企业说明数据源的合规性、数据权属、数据使用、数据共享、数据安全保护制度、业务及具体数据服务等问题。供应链合规、跨境数据安全与合规、GDPR、长臂管辖、次级制裁。

  第三、法律属性。数据治理主要遵循国家网络安全法、数据安全法、个人隐私信息保护法及民法典这四律支撑。除此之外,国务院、国资委、工信部及地方政府也有一系列相关的区域行业的规范和指南,在标准和技术规范层面也出台了一系列的数据治理相关的要求,在国际上也有一系列需要遵循的合规标准包括行政指令、技术标准和规范。

  其中较为主要的是欧盟的通用数据保护准则,欧盟也先出台了《数据治理法》,在15个月以后正式实施,在美国、日本、东南亚等其他几个国家也出台了一系列的与数据治理相关的法令、标准或者政府部门指引。

  确定了数据治理的目标后,接下来的搭建工作就分为五个部分来执行,分别是:管理域、过程域、治理域、技术域、价值域。对于运营合规的目标,我们的首要工作就是搭建管理域的工作。

  我们需要做到的是组织应该是跨整个企业的治理委员会,制度与规范则重点明确数据标准,数据维护流程等。对于风险可控的目标,我们主要是过程域、治理域、技术域三个方面做发力。

  要求在数据治理的过程中,需要形成分析-设计-实施-评估四个步骤。其实也类似于戴明环(PDCA)通过前期调研,设计落地,巡检,分析反馈结果形成闭环。

  三、治理域是针对于治理范围进行的定义:主要分为主数据治理,数据指标治理和交易数据治理。

  那么我们大家都认为数据治理的核心驱动仍然需要放在主数据,主数据作为基座数据80%时间需要对此进行梳理治理。同时配合各业务系统产生的业务数据来进行准确性、及时性保障。

  我们在治理的过程中,需要对数据架构,治理工具进行投入,才能将数据治理工作事半功倍。

  数据治理的目标是通过对数据资产的有效管控持续创造价值,价值域通过对治理结果的有效整理,通过构建具体化的数据产品,实现上述的价值创造。

  规模化的市场渗透和多场景规模化应用,合规是安全和信任的基础。如何界定合规的义务主体和责任边界、支撑技术,考虑到以下四点问题:

  第一、国内外的法律和法规、标准规范、行业或业务准入监管规制。数据分级分类有国家宏观指导,地区和行业也有地区性指导,面对数据分级分类,企业内部的产品和服务不能完全照搬。

  第二、数据的跨境流动。如何做本地化治理和数据的本地化落地,都会带来数据治理和整个IT支撑系统的改变。

  第三、法律和法规没有规定。会涉及到不同文化、不同宗教等人文要素以及公序良俗,在不同的市场软元素是不一样的,数据治理也应该满足这些不同的要求。

  第四、对To C业务数据汇聚和集中的规模。比如数据超过两百万人份,即便数据都合规,由于数据规模的增加有一定的概率会引起对国家安全和个人隐私的挑战。

  《数据安全法》对国家机关、一般数据处理者、重要数据的处理者、关键信息基础设施运营者、数据交易中介等主体提出明确的数据保护要求,具备极其重大的规制与指导意义。对企业而言一般属于以下三类主体:

  一、重要数据的处理者应当依规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

  二、关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

  关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

  三、从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

  •划分适当分级分类的治理域—数据敏感度—安全控制措施—开放实体访问控制关系

  一、法规遵循。企业在相应搭建自身的合规制度参照数据分类分级标准时,要关注的不单单是数据分类分级保护标准中分类分级标准是否为强制标准,而是关注行业主管部门所制定的有关指引以及在依据法律和法规执法过程中所适用的分类分级标准。

  二、行业规范。企业也应严格依照国家重要数据目录和本地区、行业监管部门制定的重要数据具体目录对重要数据加强保护。

  三、数据合规治理与业务战略相结合。数据合规治理与业务战略应该相辅相成,数据的感知、传输、汇聚、智能分析和决策应用一直到内部、上级或者法律的监管全过程,要做全生命周期的合规治理。

  对于以上问题,《数据安全法》中也做了明确的规范,《网络安全法》、《密码法》、等保2.0、密评等有关规定法律标准中,也有相关法律标准重要条款以及蕴含的行动指令要求。返回搜狐,查看更加多

相关产品

相关文章

热门文章

相关案例

微信号已复制,请打开微信添加咨询详情!