文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

这本写给DPO的白皮书终于来了!解读企业级数据安全合规体系

2024-12-01 01:11

关注

StartDT Research Center,《DPO数据安全白皮书》



DPO,即Data Protection Officer,中文通译为数据保护官。

这个职位的设定最早来源于GDPR(《(欧盟)通用数据保护条例》)——要求企业必须设置数据安全责任人。在中国的《个人信息保护法》(下文简称PIPL)中,亦有类似规定。

出于对隐私保护、信息保护的重视,也有企业设置了DPO同类项职位,例如数据隐私官(Data Privacy Officer,同样简称DPO)、首席信息安全官(Chief Information/Security Officer,简称CISO)等等。


为什么说DPO这个职位“挑战重重”?

DPO如何开展工作?

如何建立高效的数据安全治理方针?

本文试从DPO视角呈现一二。


DPO面临的挑战:既要、又要、还要

创建一个企业级的数据安全和隐私保护体系,并保持其有效运转,以保障数据资产的全链安全及业务的合规增长,是DPO最核心的职责。

简而言之,既要合规,又要安全,还要生意。


因此,在DPO的日常工作中,必须与多方通力协作,来应对综合性的挑战:

l 首先,满足合规需求、规避经营风险,这是企业顺利开展业务的基线要求。从法律法规出发,DPO需与法务、律所等专业人员来探讨并制定合规策略。

l 其二,找到安全投入与生意的动态平衡。一方面,确保安全合规的动作不影响业务正常进行,另一方面,也要控制成本,避免过度投入对企业经营造成的负担。在这个层面,DPO需与业务部门保持紧密沟通,让安全合规深入业务场景。

l 其三,实现数据安全的技术落地。DPO需与数据安全工程师及数据安全供应商协同,建立数据安全技术策略,从产品、架构等多维度落地实践。


如果说DPO是企业的数据安全首要责任人,“数据安全合规”这个命题则值得企业每个环节、每个部门及企业的合作伙伴、相关服务商关注。



DPO开展工作三要素:管理、技术、基础

拆解DPO极具综合性和复杂度的工作,大致可以从管理、技术、基础三大要素来规划:

1)管理要素

包括但不限于隐私政策的设置(从文本拟定到功能实现)、经营备案与安全认证、企业安全管理制度等。旨在从管理层面满足数据相关法律法规要求。

2)技术要素

主要有2个维度,其一,从技术上保障用户(自然人)的权利,确保个人数据得到合法合规的处理,包括执行同意追踪、被遗忘权、拒绝权等;其二,从技术上守护数据资产安全,保护数据免受未经授权的访问和操作,例如身份验证、访问控制、安全传输、静态加密等。

3)基础要素

基础设施的安全不仅包括IaaS层(云基础设施),也包括数据平台层(数据基础设施)。前者由云厂商来保障,后者则通常由企业自有的平台团队保障。其中,存算安全、灾备等都是不可忽视的。

从上图我们可以发现,DPO向内需要数据全生命周期所涉部门的密切配合,从组织流程、管理制度等层面保障落地;向外,则需视所处阶段,寻求不同的支持,例如律师、咨询顾问、数据安全专家,及安全合规的数据产品和云基础设施。


只有当管理、技术、基础三要素均得到满足,一家企业方能被认可为真正意义上的数据安全合规——侧面也说明,这家企业大概率有一位非常称职的DPO。



写给DPO的数据安全治理方法论

开展数据安全治理,是企业数据安全合规可持续的基础,也是DPO诸多工作中的重大工程。


综合DSMM(国标数据安全能力成熟度模型)等评估要求,及StartDT奇点云的客户实践,数据安全治理大致可分为3个阶段:战略引领;蓝图设计;路径规划与实施。

1)战略引领

Gartner强调,正确的起点是从需求调研开始,“千万不要跨过数据摸底、治理优先级分析、制定治理整体策略等层级,直接从技术工具层面启动安全治理”。

追溯企业的数据安全合规诉求,通常有2类:

· 仅为满足监管合规要求而启动数据安全治理。这类企业需拆解监管合规的条件,将现状与要求一一比对,识别数据安全治理体系和数据安全技术使用上的差距,建立针对性的安全合规策略。

· 另一类企业倾向于建立更为长远、可持续的数据安全战略,则还需要理解业务和数据战略,对风险容忍度进行评估,从而为平衡业务与数据安全投入提供依据。


2)蓝图设计

蓝图设计阶段最为关键的步骤是“数据分级分类”。企业需明确数据分级分类的原则和标准,例如在所属行业,通常哪些数据被视为重要数据,数据需要分为三级或五级。进一步,梳理企业数据资产清单,并对重要数据进行标识和管理。在金融、汽车等行业,还需基于盘点和监管要求,形成报送清单。


3)路径规划与实施

从战略到蓝图,最终,数据安全治理需要有效的实施落地。简化来看,共有4个步骤:

① 梳理全盘数据资产,绘制“数据地图”。进一步,明确里程碑,本着高效原则,优先开展重要数据的安全治理工作。

② 制定安全策略。

③ 安全工具/技术选型。数据结构和形态会在数据生命周期中不断变化,因此,通常需要结合多种安全工具和技术,来支撑安全策略的实施。

④ 从计划、实施、检查到处理,循环改进。




数据安全是什么?

是以数据为中心的安全。

是从采集、传输、存储、处理到共享、销毁,覆盖数据全生命周期的安全。

是数据的随身保镖,数据流到哪里,安全就覆盖到哪里。

是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

是大数据时代值得国家、企业和个体关注的安全。


从成立的第一天起,奇点云和GrowingIO就强烈主张企业要关注数据安全,并通过产品、组织等多层面投入和落地。我们认为,只有数据安全合规,数据才可能得到合理的使用与有效的分享,数据资产方能激发出更大的价值。

因此,我们将更多对企业级数据安全合规体系的解读与实践写入了《DPO数据安全白皮书》,希望能为DPO们与关注数据安全合规的业界伙伴提供参考。


阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯