今年6月份頒發的《中華人民共和國資料安全法》對企業與機構的責任、義務有了更加細緻的規範和要求,其中第一章明确提出,“應建立健全資料安全治理體系,提高資料安全保障能力”。
《資料安全法》将于9月1日起正式實施。對于企業而言,資料安全合規工作是題中之義,但實操層面也可能的确存在一些現實困難,例如如何能快速、準确的排查目前的合規差距?如何能最小成本、最小影響的完成合規工作?
為幫助企事業機關順利開展資料安全合規工作,騰訊安全結合大量資料安全治理實踐經驗,釋出資料安全合規能力圖譜。根據《資料安全法》的具體内容,騰訊安全将資料合規要求歸納成四類14項51個内容,供企事業機關參考。

(企業級資料安全合規能力圖譜)
01
技術建設類
技術建設類可分為技術措施建設和風險監測能力建設,技術措施根據實際資料活動情況,采取相應的技術措施即可,比較常用的技術措施有動态脫敏技術、通路控制、電子認證技術、資料加密存儲技術和敏感資料發現技術。
傳統的建設方式是直接采購相應的資料安全産品,資料場景不複雜的情況下比較适用,反之,則會造成功能備援、産品堆砌、運維工作加重等附加工作。是以,在開展資料安全技術建設時建議采用平台化的方式,靈活、簡捷,擴充能力強,在新法律法規不斷頒布的同時,可以通過配置調整予以應對。
資料安全技術的運用,應做到精準化管控,“一杆子”的方式不利于資料活動的發展和資料價值發揮,精準化管控可基于分類分級進行設計。
02
排查與整改類
排查與整改類主要包括合理性、業務完善、資料跨境三個方面。該類的工作主要是排查自身業務是否存在違法違規的情況,主要應對手段是業務的整改和應用功能的整改。
通過資料資産自動發現技術能夠快速、準确的輔助排查出合規風險點,節省大量的人力投入。整改工作完成後,還可以通過資料資産發現技術對資料的使用和變化情況進行實時監控,及時發現違規情況,降低違規風險。
合理性主要是指資料的采集應遵循最小夠用原則,并在國家或行業規定的範圍内開展資料活動,在開展資料活動前應當告知資料主體,并得到其授權,并嚴格按照約定管理資料,保障資料主體的合法權益。
03
管理完善類
切實可行的管理制度是保障資料安全的基礎和依據,《數安法》中所提到的管理要求可歸納為管理制度、資料交易管理、資料認責、重要資料目錄和分類分級五項。
管理制度可以基于資料活動進行制定,考慮事前、事中、事後三個次元,明确角色和義務,落實到人。
資料認責可以通過資料的擁有量、通路量、新增量、更新量等次元作為依據進行劃分,認責的同時還要建設相應的自動化管理工具,輔助資料責任人管理資料。
資料交易管理首先要明确目前業務下所有資料的來源是否合法,大體可分為自采集和外購兩類。外購類則應留存來源的相關證明材料。如果是從事資料交易的機構,則需要對買賣雙方的身份進行驗證,并在協定中說明資料用途、使用時長、使用形式等内容。
重要資料目錄和分類分級是實作資料安全精準防護的基礎和目标,是以,需要在資料安全技術建設前開展。為達到資料安全防護的最佳效果,重要資料目錄的建立和分類分級應遵循全面性、合理性、明确性原則。
04
機制建設類
常态化資料安全管控需要相關的機制作為保障,包括安全教育訓練機制、安全補救機制、應急處置機制和風險評估機制四類。
資料安全教育訓練的目的是加強企業内部人員的意識,提升技術人員的技能水準,進而實作整體的資料安全防護水準提升。教育訓練工作要有計劃、有目的、有考核的開展,方可保證教育訓練效果。
安全補救和應急處置是應對安全漏洞和安全事件的預案,應定期開展演練工作,確定真正發生時能快速應對,必要時可以聘請相關機構和專家共同開展。
對于重要資料的處理,應定期開展風險評估工作,確定資料處理是在可信、可靠的環境下開展,對于潛在的風險能夠盡早發現、盡早防範。
騰訊安全基于20多年資料安全實踐經驗,結合《資料安全法》條款,輸出資料安全合規能力,助力企事業機關開展資料安全合規工作。
騰訊安全秉承“讓資料遵規守序”的理念,聯合生态夥伴,共同讓資料管理遵循法規,讓資料流動遵守秩序。歡迎各行業專家加入騰訊資料安全合規交流群,共話合規,分享實踐。
添加小秘書時請備注姓名和公司、職位資訊,小秘書确認之後邀請加入交流群。