根据权威数据显示,2022年世界范围的数据泄露事件比2021年增长了14%,这反映出当前个人信息安全所面临的严峻形势,亟待解决。针对数据泄露,中国电科数据安全高级专家就当前形势进行了分析解读,并给出了具体的“五步解决方案”。
【资料图】
当前形势
2021年,我国数据安全相关法规政策密集出台,包括《数据安全法》《个人信息保护法》等,逐步搭建起国家数据安全治理体系框架,并提出了对企业数据安全活动进行一系列的规范要求。与法律法规相伴随的是一系列坚决果断的数据安全合规执法,以确保相关的法律法规得到落实。
然而,与严峻的数据安全攻击形势和日益严格的数据安全监管形势不相匹配的是企业不成熟、不完备、不与业务发展相适应的安全管理防护体系和能力。由于多种原因,企业在开展安全合规工作时常采取点状建设、突击建设等方式,这种缺乏体系性合规建设的应对模式,很容易使得个人信息保护环节出现漏洞,这也是目前个人信息泄露事件频发的原因。
解决之道
电科网安针对目前企业个人信息保护的难点和痛点,为企业提出了一套个人信息合规体系性建议思路。面对节奏不一、维度不同的企业合规义务,统一维度,通过构建一套统一的合规基础来应对企业个人信息合规问题。总体上看,数据安全合规工作应以风险可控为目标,在扎实的合规对象识别基础上,通过开展详尽的风险识别,确立风险项清单,并对照清单,选定改进与增强措施,实现持续监控与提升。
第一步:通过建立详尽的数据清单和数据处理活动清单,厘清保护对象
数据安全法律法规管理和保护的对象是数据,是通过对不同的数据处理活动提出对应的要求来实现的。因此,电科网安在梳理企业数据安全合规体系时,不仅仅需要梳理出数据清单,同时也要梳理出数据处理活动清单,这样才能对标到法律法规的要求,开展相应的合规工作。
第二步:基于清单识别数据处理活动中的两类风险
可将企业存在的风险分为两类:一类是数据本身的机密性、完整性、可用性遭到破坏的安全风险;另一类是数据处理活动与法律法规要求不相符而造成的合规风险。
通过数据处理活动清单定位到数据处理的系统,从而识别安全风险。数据处理活动清单可直接定位到合规关注的活动,从而识别合规风险。
第三步:比对风险和已采取的措施,评价对风险的管控是否已经充分
风险识别是通过系统与活动存在的潜在风险源分析与已采取的安全增强措施相对比来实现的。可通过建立安全风险识别库、合规风险识别库作为分析的标靶,并结合已采取的安全增强或补救措施进行综合评估,识别现有风险。
第四步:依据场景和数据的特点为识别的风险选取恰当的改进措施
相同的技术手段,有不同的实现方式,其能够发挥的保护作用也不尽相同。企业应根据不同数据的不同特点,在成本允许的条件下尽可能地采取与该类数据及其处理活动的场景相适应的安全措施,最大限度地防范风险的发生。
应将评价标准从 “保障安全”转化为“风险充分可知可控”。在具体的评价场景中,时常遇到数据安全性和数据有用性相互冲突矛盾的场景。这时往往需要以风险或危害可控为基本原则进行权衡。在控制风险或危害的前提下,结合业务目标和数据特性,选择合适的措施来尽可能实现预期目的。这时,企业合规的路径已经转化:由原来保障数据的安全性不受破坏,转化成企业已在成本允许的条件下尽可能地采取了安全措施,将风险发生的可能或造成的危害限制在可控范围,也即风险充分可知可控。
第五步:为数据活动及其风险的识别与管控建立持续机制
合规体系的运行离不开良好的运营机制。在数据合规体系运营中,应以构建持续的合规对象识别、持续合规风险评估机制为重点。
在数字经济时代,电科网安致力于成为“以密码为核心的数据智能安全服务商”。基于密码思维,将数据安全业务覆盖互联网个人信息保护合规、政务及行业数据安全治理、数据流通等领域,切实肩负起电科网安“护航数字中国,守卫智慧社会”的使命。
