根據(jù)權(quán)威數(shù)據(jù)顯示，2022年世界范圍的數(shù)據(jù)泄露事件比2021年增長了14%，這反映出當前個人信息安全所面臨的嚴峻形勢，亟待解決。針對數(shù)據(jù)泄露，中國電科數(shù)據(jù)安全高級專家就當前形勢進行了分析解讀，并給出了具體的“五步解決方案”。

【資料圖】

當前形勢

2021年，我國數(shù)據(jù)安全相關(guān)法規(guī)政策密集出臺，包括《數(shù)據(jù)安全法》《個人信息保護法》等，逐步搭建起國家數(shù)據(jù)安全治理體系框架，并提出了對企業(yè)數(shù)據(jù)安全活動進行一系列的規(guī)范要求。與法律法規(guī)相伴隨的是一系列堅決果斷的數(shù)據(jù)安全合規(guī)執(zhí)法，以確保相關(guān)的法律法規(guī)得到落實。

然而，與嚴峻的數(shù)據(jù)安全攻擊形勢和日益嚴格的數(shù)據(jù)安全監(jiān)管形勢不相匹配的是企業(yè)不成熟、不完備、不與業(yè)務(wù)發(fā)展相適應(yīng)的安全管理防護體系和能力。由于多種原因，企業(yè)在開展安全合規(guī)工作時常采取點狀建設(shè)、突擊建設(shè)等方式，這種缺乏體系性合規(guī)建設(shè)的應(yīng)對模式，很容易使得個人信息保護環(huán)節(jié)出現(xiàn)漏洞，這也是目前個人信息泄露事件頻發(fā)的原因。

解決之道

電科網(wǎng)安針對目前企業(yè)個人信息保護的難點和痛點，為企業(yè)提出了一套個人信息合規(guī)體系性建議思路。面對節(jié)奏不一、維度不同的企業(yè)合規(guī)義務(wù)，統(tǒng)一維度，通過構(gòu)建一套統(tǒng)一的合規(guī)基礎(chǔ)來應(yīng)對企業(yè)個人信息合規(guī)問題。總體上看，數(shù)據(jù)安全合規(guī)工作應(yīng)以風險可控為目標，在扎實的合規(guī)對象識別基礎(chǔ)上，通過開展詳盡的風險識別，確立風險項清單，并對照清單，選定改進與增強措施，實現(xiàn)持續(xù)監(jiān)控與提升。

第一步：通過建立詳盡的數(shù)據(jù)清單和數(shù)據(jù)處理活動清單，厘清保護對象

數(shù)據(jù)安全法律法規(guī)管理和保護的對象是數(shù)據(jù)，是通過對不同的數(shù)據(jù)處理活動提出對應(yīng)的要求來實現(xiàn)的。因此，電科網(wǎng)安在梳理企業(yè)數(shù)據(jù)安全合規(guī)體系時，不僅僅需要梳理出數(shù)據(jù)清單，同時也要梳理出數(shù)據(jù)處理活動清單，這樣才能對標到法律法規(guī)的要求，開展相應(yīng)的合規(guī)工作。

第二步：基于清單識別數(shù)據(jù)處理活動中的兩類風險

可將企業(yè)存在的風險分為兩類：一類是數(shù)據(jù)本身的機密性、完整性、可用性遭到破壞的安全風險；另一類是數(shù)據(jù)處理活動與法律法規(guī)要求不相符而造成的合規(guī)風險。

通過數(shù)據(jù)處理活動清單定位到數(shù)據(jù)處理的系統(tǒng)，從而識別安全風險。數(shù)據(jù)處理活動清單可直接定位到合規(guī)關(guān)注的活動，從而識別合規(guī)風險。

第三步：比對風險和已采取的措施，評價對風險的管控是否已經(jīng)充分

風險識別是通過系統(tǒng)與活動存在的潛在風險源分析與已采取的安全增強措施相對比來實現(xiàn)的?？赏ㄟ^建立安全風險識別庫、合規(guī)風險識別庫作為分析的標靶，并結(jié)合已采取的安全增強或補救措施進行綜合評估，識別現(xiàn)有風險。

第四步：依據(jù)場景和數(shù)據(jù)的特點為識別的風險選取恰當?shù)母倪M措施

相同的技術(shù)手段，有不同的實現(xiàn)方式，其能夠發(fā)揮的保護作用也不盡相同。企業(yè)應(yīng)根據(jù)不同數(shù)據(jù)的不同特點，在成本允許的條件下盡可能地采取與該類數(shù)據(jù)及其處理活動的場景相適應(yīng)的安全措施，最大限度地防范風險的發(fā)生。

應(yīng)將評價標準從 “保障安全”轉(zhuǎn)化為“風險充分可知可控”。在具體的評價場景中，時常遇到數(shù)據(jù)安全性和數(shù)據(jù)有用性相互沖突矛盾的場景。這時往往需要以風險或危害可控為基本原則進行權(quán)衡。在控制風險或危害的前提下，結(jié)合業(yè)務(wù)目標和數(shù)據(jù)特性，選擇合適的措施來盡可能實現(xiàn)預(yù)期目的。這時，企業(yè)合規(guī)的路徑已經(jīng)轉(zhuǎn)化：由原來保障數(shù)據(jù)的安全性不受破壞，轉(zhuǎn)化成企業(yè)已在成本允許的條件下盡可能地采取了安全措施，將風險發(fā)生的可能或造成的危害限制在可控范圍，也即風險充分可知可控。

第五步：為數(shù)據(jù)活動及其風險的識別與管控建立持續(xù)機制

合規(guī)體系的運行離不開良好的運營機制。在數(shù)據(jù)合規(guī)體系運營中，應(yīng)以構(gòu)建持續(xù)的合規(guī)對象識別、持續(xù)合規(guī)風險評估機制為重點。

在數(shù)字經(jīng)濟時代，電科網(wǎng)安致力于成為“以密碼為核心的數(shù)據(jù)智能安全服務(wù)商”?；诿艽a思維，將數(shù)據(jù)安全業(yè)務(wù)覆蓋互聯(lián)網(wǎng)個人信息保護合規(guī)、政務(wù)及行業(yè)數(shù)據(jù)安全治理、數(shù)據(jù)流通等領(lǐng)域，切實肩負起電科網(wǎng)安“護航數(shù)字中國，守衛(wèi)智慧社會”的使命。

關(guān)鍵詞： 數(shù)據(jù)安全 數(shù)據(jù)處理 個人信息