企业如何进行数据安全和合规建设？

脑残梦

2022-07-20

当前，国家层面正积极推进依法治数，坚持发展和安全并重。在此形势下，企业作为最主要的数据处理者，挑战和机遇并存，“保护数据安全、确保数据合规”并举。

STEP1：搭建数据安全和合规组织架构

企业可建立数据安全与合规委员会，作为数据安全的管理机构。其组成人员不一定需要外部招聘，可由内部各层级、各部门选调合适人员组建而成。委员会的总负责人可由首席数据安全官担任，也可由公司CTO担任。如有必要，亦可由公司CEO担任。委员会成员中至少应具备信息安全、法律、统计、审计、保密等相关专业人才。如果公司处于健康医疗等特殊行业，团队中还应包括医学方面专业人员。



STEP2：梳理企业数据资产及数据风险

企业在构建数据安全和合规体系时，首先梳理出企业所掌握的数据资产，构建细颗粒度数据资产信息，理清数据面临的潜在风险，可为企业数据安全制度建设奠定基础。企业可从如下维度梳理数据资产和潜在风险。

1. 梳理适用自身业务的法律法规、监管要求

2. 梳理涉及数据的业务场景

3. 梳理数据种类、数量、收集方式、使用情况等

4. 梳理涉及数据的合作方

5. 梳理企业内部现有组织架构在数据保护层面的适用性

6. 梳理现有数据安全和合规措施

7. 梳理数据面临风险的节点、场景等



STEP3：建立精细化数据安全和合规治理体系

企业可从数据分类分级建设、全流程数据处理管理制度建设与数据安全体系建设三个维度展开数据安全体系建设。

数据分类分级建设：依照企业所属不同行业，根据国家、地方行业标准或部分行业已出台的参考标准，对企业数据进行分类分级，实现差异化精准化的安全防护。

全流程数据处理管理制度建设 ：数据处理安全体系建设围绕数据全生命周期而展开，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开、销毁等环节。因不同环节面临的数据安全威胁不尽相同，存在的风险亦不尽相同，因此企业可将每个环节作为切入点，采取侧重点不同的安全合规措施。

数据安全体系建设：企业保障数据安全可从数据安全目标制定、数据等级保护制度建设、数据安全事件应急处理机制、数据安全事件事后复盘完善、定期风险评估几方面着手，打造数据安全的闭环系统。