StartDT Research Center,《DPO数据安全白皮书》
DPO,即Data Protection Officer,中文通译为数据保护官。
这个职位的设定最早来源于GDPR(《(欧盟)通用数据保护条例》)——要求企业必须设置数据安全责任人。在中国的《个人信息保护法》(下文简称PIPL)中,亦有类似规定。
出于对隐私保护、信息保护的重视,也有企业设置了DPO同类项职位,例如数据隐私官(Data Privacy Officer,同样简称DPO)、首席信息安全官(Chief Information/Security Officer,简称CISO)等等。
为什么说DPO这个职位“挑战重重”?
DPO如何开展工作?
如何建立高效的数据安全治理方针?
本文试从DPO视角呈现一二。
DPO面临的挑战:既要、又要、还要
创建一个企业级的数据安全和隐私保护体系,并保持其有效运转,以保障数据资产的全链安全及业务的合规增长,是DPO最核心的职责。
简而言之,既要合规,又要安全,还要生意。
因此,在DPO的日常工作中,必须与多方通力协作,来应对综合性的挑战:
l 首先,满足合规需求、规避经营风险,这是企业顺利开展业务的基线要求。从法律法规出发,DPO需与法务、律所等专业人员来探讨并制定合规策略。
l 其二,找到安全投入与生意的动态平衡。一方面,确保安全合规的动作不影响业务正常进行,另一方面,也要控制成本,避免过度投入对企业经营造成的负担。在这个层面,DPO需与业务部门保持紧密沟通,让安全合规深入业务场景。
l 其三,实现数据安全的技术落地。DPO需与数据安全工程师及数据安全供应商协同,建立数据安全技术策略,从产品、架构等多维度落地实践。
如果说DPO是企业的数据安全首要责任人,“数据安全合规”这个命题则值得企业每个环节、每个部门及企业的合作伙伴、相关服务商关注。
DPO开展工作三要素:管理、技术、基础
拆解DPO极具综合性和复杂度的工作,大致可以从管理、技术、基础三大要素来规划:
1)管理要素
包括但不限于隐私政策的设置(从文本拟定到功能实现)、经营备案与安全认证、企业安全管理制度等。旨在从管理层面满足数据相关法律法规要求。
2)技术要素
主要有2个维度,其一,从技术上保障用户(自然人)的权利,确保个人数据得到合法合规的处理,包括执行同意追踪、被遗忘权、拒绝权等;其二,从技术上守护数据资产安全,保护数据免受未经授权的访问和操作,例如身份验证、访问控制、安全传输、静态加密等。
3)基础要素
基础设施的安全不仅包括IaaS层(云基础设施),也包括数据平台层(数据基础设施)。前者由云厂商来保障,后者则通常由企业自有的平台团队保障。其中,存算安全、灾备等都是不可忽视的。
从上图我们可以发现,DPO向内需要数据全生命周期所涉部门的密切配合,从组织流程、管理制度等层面保障落地;向外,则需视所处阶段,寻求不同的支持,例如律师、咨询顾问、数据安全专家,及安全合规的数据产品和云基础设施。
只有当管理、技术、基础三要素均得到满足,一家企业方能被认可为真正意义上的数据安全合规——侧面也说明,这家企业大概率有一位非常称职的DPO。
写给DPO的数据安全治理方法论
开展数据安全治理,是企业数据安全合规可持续的基础,也是DPO诸多工作中的重大工程。
综合DSMM(国标数据安全能力成熟度模型)等评估要求,及StartDT奇点云的客户实践,数据安全治理大致可分为3个阶段:战略引领;蓝图设计;路径规划与实施。
1)战略引领
Gartner强调,正确的起点是从需求调研开始,“千万不要跨过数据摸底、治理优先级分析、制定治理整体策略等层级,直接从技术工具层面启动安全治理”。
追溯企业的数据安全合规诉求,通常有2类:
· 仅为满足监管合规要求而启动数据安全治理。这类企业需拆解监管合规的条件,将现状与要求一一比对,识别数据安全治理体系和数据安全技术使用上的差距,建立针对性的安全合规策略。
· 另一类企业倾向于建立更为长远、可持续的数据安全战略,则还需要理解业务和数据战略,对风险容忍度进行评估,从而为平衡业务与数据安全投入提供依据。
2)蓝图设计
蓝图设计阶段最为关键的步骤是“数据分级分类”。企业需明确数据分级分类的原则和标准,例如在所属行业,通常哪些数据被视为重要数据,数据需要分为三级或五级。进一步,梳理企业数据资产清单,并对重要数据进行标识和管理。在金融、汽车等行业,还需基于盘点和监管要求,形成报送清单。
3)路径规划与实施
从战略到蓝图,最终,数据安全治理需要有效的实施落地。简化来看,共有4个步骤:
① 梳理全盘数据资产,绘制“数据地图”。进一步,明确里程碑,本着高效原则,优先开展重要数据的安全治理工作。
② 制定安全策略。
③ 安全工具/技术选型。数据结构和形态会在数据生命周期中不断变化,因此,通常需要结合多种安全工具和技术,来支撑安全策略的实施。
④ 从计划、实施、检查到处理,循环改进。
数据安全是什么?
是以数据为中心的安全。
是从采集、传输、存储、处理到共享、销毁,覆盖数据全生命周期的安全。
是数据的随身保镖,数据流到哪里,安全就覆盖到哪里。
是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
是大数据时代值得国家、企业和个体关注的安全。
从成立的第一天起,奇点云和GrowingIO就强烈主张企业要关注数据安全,并通过产品、组织等多层面投入和落地。我们认为,只有数据安全合规,数据才可能得到合理的使用与有效的分享,数据资产方能激发出更大的价值。
因此,我们将更多对企业级数据安全合规体系的解读与实践写入了《DPO数据安全白皮书》,希望能为DPO们与关注数据安全合规的业界伙伴提供参考。