這本寫(xiě)給DPO的白皮書(shū)終于來(lái)了!解讀企業(yè)級(jí)數(shù)據(jù)安全合規(guī)體系

“DPO需要幫助企業(yè)建設(shè)完整的數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全管理體系以及運(yùn)營(yíng)體系,才能在長(zhǎng)期范圍內(nèi)用更少的成本做到業(yè)務(wù)風(fēng)險(xiǎn)可控?!?/p>

StartDT Research Center,《DPO數(shù)據(jù)安全白皮書(shū)》

DPO,即Data Protection Officer,中文通譯為數(shù)據(jù)保護(hù)官。


【資料圖】

這個(gè)職位的設(shè)定最早來(lái)源于GDPR(《(歐盟)通用數(shù)據(jù)保護(hù)條例》)——要求企業(yè)必須設(shè)置數(shù)據(jù)安全責(zé)任人。在中國(guó)的《個(gè)人信息保護(hù)法》(下文簡(jiǎn)稱(chēng)PIPL)中,亦有類(lèi)似規(guī)定。

出于對(duì)隱私保護(hù)、信息保護(hù)的重視,也有企業(yè)設(shè)置了DPO同類(lèi)項(xiàng)職位,例如數(shù)據(jù)隱私官(Data Privacy Officer,同樣簡(jiǎn)稱(chēng)DPO)、首席信息安全官(Chief Information/Security Officer,簡(jiǎn)稱(chēng)CISO)等等。

為什么說(shuō)DPO這個(gè)職位“挑戰(zhàn)重重”?

DPO如何開(kāi)展工作?

如何建立高效的數(shù)據(jù)安全治理方針?

本文試從DPO視角呈現(xiàn)一二。

DPO面臨的挑戰(zhàn):既要、又要、還要

創(chuàng)建一個(gè)企業(yè)級(jí)的數(shù)據(jù)安全和隱私保護(hù)體系,并保持其有效運(yùn)轉(zhuǎn),以保障數(shù)據(jù)資產(chǎn)的全鏈安全及業(yè)務(wù)的合規(guī)增長(zhǎng),是DPO最核心的職責(zé)。

簡(jiǎn)而言之,既要合規(guī),又要安全,還要生意。

因此,在DPO的日常工作中,必須與多方通力協(xié)作,來(lái)應(yīng)對(duì)綜合性的挑戰(zhàn):

首先,滿(mǎn)足合規(guī)需求、規(guī)避經(jīng)營(yíng)風(fēng)險(xiǎn),這是企業(yè)順利開(kāi)展業(yè)務(wù)的基線(xiàn)要求。從法律法規(guī)出發(fā),DPO需與法務(wù)、律所等專(zhuān)業(yè)人員來(lái)探討并制定合規(guī)策略。

其二,找到安全投入與生意的動(dòng)態(tài)平衡。一方面,確保安全合規(guī)的動(dòng)作不影響業(yè)務(wù)正常進(jìn)行,另一方面,也要控制成本,避免過(guò)度投入對(duì)企業(yè)經(jīng)營(yíng)造成的負(fù)擔(dān)。在這個(gè)層面,DPO需與業(yè)務(wù)部門(mén)保持緊密溝通,讓安全合規(guī)深入業(yè)務(wù)場(chǎng)景。

其三,實(shí)現(xiàn)數(shù)據(jù)安全的技術(shù)落地。DPO需與數(shù)據(jù)安全工程師及數(shù)據(jù)安全供應(yīng)商協(xié)同,建立數(shù)據(jù)安全技術(shù)策略,從產(chǎn)品、架構(gòu)等多維度落地實(shí)踐。

如果說(shuō)DPO是企業(yè)的數(shù)據(jù)安全首要責(zé)任人,“數(shù)據(jù)安全合規(guī)”這個(gè)命題則值得企業(yè)每個(gè)環(huán)節(jié)、每個(gè)部門(mén)及企業(yè)的合作伙伴、相關(guān)服務(wù)商關(guān)注。

DPO開(kāi)展工作三要素:管理、技術(shù)、基礎(chǔ)

拆解DPO極具綜合性和復(fù)雜度的工作,大致可以從管理、技術(shù)、基礎(chǔ)三大要素來(lái)規(guī)劃:

管理要素

包括但不限于隱私政策的設(shè)置(從文本擬定到功能實(shí)現(xiàn))、經(jīng)營(yíng)備案與安全認(rèn)證、企業(yè)安全管理制度等。旨在從管理層面滿(mǎn)足數(shù)據(jù)相關(guān)法律法規(guī)要求。

技術(shù)要素

主要有2個(gè)維度,其一,從技術(shù)上保障用戶(hù)(自然人)的權(quán)利,確保個(gè)人數(shù)據(jù)得到合法合規(guī)的處理,包括執(zhí)行同意追蹤、被遺忘權(quán)、拒絕權(quán)等;其二,從技術(shù)上守護(hù)數(shù)據(jù)資產(chǎn)安全,保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)和操作,例如身份驗(yàn)證、訪(fǎng)問(wèn)控制、安全傳輸、靜態(tài)加密等。

基礎(chǔ)要素

基礎(chǔ)設(shè)施的安全不僅包括IaaS層(云基礎(chǔ)設(shè)施),也包括數(shù)據(jù)平臺(tái)層(數(shù)據(jù)基礎(chǔ)設(shè)施)。前者由云廠(chǎng)商來(lái)保障,后者則通常由企業(yè)自有的平臺(tái)團(tuán)隊(duì)保障。其中,存算安全、災(zāi)備等都是不可忽視的。

從上圖我們可以發(fā)現(xiàn),DPO向內(nèi)需要數(shù)據(jù)全生命周期所涉部門(mén)的密切配合,從組織流程、管理制度等層面保障落地;向外,則需視所處階段,尋求不同的支持,例如律師、咨詢(xún)顧問(wèn)、數(shù)據(jù)安全專(zhuān)家,及安全合規(guī)的數(shù)據(jù)產(chǎn)品和云基礎(chǔ)設(shè)施。

只有當(dāng)管理、技術(shù)、基礎(chǔ)三要素均得到滿(mǎn)足,一家企業(yè)方能被認(rèn)可為真正意義上的數(shù)據(jù)安全合規(guī)——側(cè)面也說(shuō)明,這家企業(yè)大概率有一位非常稱(chēng)職的DPO。

寫(xiě)給DPO的數(shù)據(jù)安全治理方法論

開(kāi)展數(shù)據(jù)安全治理,是企業(yè)數(shù)據(jù)安全合規(guī)可持續(xù)的基礎(chǔ),也是DPO諸多工作中的重大工程。

綜合DSMM(國(guó)標(biāo)數(shù)據(jù)安全能力成熟度模型)等評(píng)估要求,及StartDT奇點(diǎn)云的客戶(hù)實(shí)踐,數(shù)據(jù)安全治理大致可分為3個(gè)階段:戰(zhàn)略引領(lǐng);藍(lán)圖設(shè)計(jì);路徑規(guī)劃與實(shí)施。

1)戰(zhàn)略引領(lǐng)

Gartner強(qiáng)調(diào),正確的起點(diǎn)是從需求調(diào)研開(kāi)始,“千萬(wàn)不要跨過(guò)數(shù)據(jù)摸底、治理優(yōu)先級(jí)分析、制定治理整體策略等層級(jí),直接從技術(shù)工具層面啟動(dòng)安全治理”。

追溯企業(yè)的數(shù)據(jù)安全合規(guī)訴求,通常有2類(lèi):

· 僅為滿(mǎn)足監(jiān)管合規(guī)要求而啟動(dòng)數(shù)據(jù)安全治理。這類(lèi)企業(yè)需拆解監(jiān)管合規(guī)的條件,將現(xiàn)狀與要求一一比對(duì),識(shí)別數(shù)據(jù)安全治理體系和數(shù)據(jù)安全技術(shù)使用上的差距,建立針對(duì)性的安全合規(guī)策略。

· 另一類(lèi)企業(yè)傾向于建立更為長(zhǎng)遠(yuǎn)、可持續(xù)的數(shù)據(jù)安全戰(zhàn)略,則還需要理解業(yè)務(wù)和數(shù)據(jù)戰(zhàn)略,對(duì)風(fēng)險(xiǎn)容忍度進(jìn)行評(píng)估,從而為平衡業(yè)務(wù)與數(shù)據(jù)安全投入提供依據(jù)。

藍(lán)圖設(shè)計(jì)

藍(lán)圖設(shè)計(jì)階段最為關(guān)鍵的步驟是“數(shù)據(jù)分級(jí)分類(lèi)”。企業(yè)需明確數(shù)據(jù)分級(jí)分類(lèi)的原則和標(biāo)準(zhǔn),例如在所屬行業(yè),通常哪些數(shù)據(jù)被視為重要數(shù)據(jù),數(shù)據(jù)需要分為三級(jí)或五級(jí)。進(jìn)一步,梳理企業(yè)數(shù)據(jù)資產(chǎn)清單,并對(duì)重要數(shù)據(jù)進(jìn)行標(biāo)識(shí)和管理。在金融、汽車(chē)等行業(yè),還需基于盤(pán)點(diǎn)和監(jiān)管要求,形成報(bào)送清單。

路徑規(guī)劃與實(shí)施

從戰(zhàn)略到藍(lán)圖,最終,數(shù)據(jù)安全治理需要有效的實(shí)施落地。簡(jiǎn)化來(lái)看,共有4個(gè)步驟:

① 梳理全盤(pán)數(shù)據(jù)資產(chǎn),繪制“數(shù)據(jù)地圖”。進(jìn)一步,明確里程碑,本著高效原則,優(yōu)先開(kāi)展重要數(shù)據(jù)的安全治理工作。

② 制定安全策略。

③ 安全工具/技術(shù)選型。數(shù)據(jù)結(jié)構(gòu)和形態(tài)會(huì)在數(shù)據(jù)生命周期中不斷變化,因此,通常需要結(jié)合多種安全工具和技術(shù),來(lái)支撐安全策略的實(shí)施。

④ 從計(jì)劃、實(shí)施、檢查到處理,循環(huán)改進(jìn)。

數(shù)據(jù)安全是什么?

是以數(shù)據(jù)為中心的安全。

是從采集、傳輸、存儲(chǔ)、處理到共享、銷(xiāo)毀,覆蓋數(shù)據(jù)全生命周期的安全。

是數(shù)據(jù)的隨身保鏢,數(shù)據(jù)流到哪里,安全就覆蓋到哪里。

是指通過(guò)采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。

是大數(shù)據(jù)時(shí)代值得國(guó)家、企業(yè)和個(gè)體關(guān)注的安全。

從成立的第一天起,奇點(diǎn)云和GrowingIO就強(qiáng)烈主張企業(yè)要關(guān)注數(shù)據(jù)安全,并通過(guò)產(chǎn)品、組織等多層面投入和落地。我們認(rèn)為,只有數(shù)據(jù)安全合規(guī),數(shù)據(jù)才可能得到合理的使用與有效的分享,數(shù)據(jù)資產(chǎn)方能激發(fā)出更大的價(jià)值。

因此,我們將更多對(duì)企業(yè)級(jí)數(shù)據(jù)安全合規(guī)體系的解讀與實(shí)踐寫(xiě)入了《DPO數(shù)據(jù)安全白皮書(shū)》,希望能為DPO們與關(guān)注數(shù)據(jù)安全合規(guī)的業(yè)界伙伴提供參考。

推薦DIY文章
解決macOS High Sierra無(wú)法正常安裝的問(wèn)題 讓升級(jí)安裝一次成功-天天快看
Maya2014中文版安裝破解教程發(fā)布 注意安裝時(shí)千萬(wàn)不要斷網(wǎng)-每日快訊
大白菜U盤(pán)啟動(dòng)盤(pán)制作工具使用圖文教程 真正的硬盤(pán)識(shí)別全能王來(lái)了-每日消息
AE模板源文件中的文字該怎么修改?本篇教程將講解出經(jīng)驗(yàn)重點(diǎn)-當(dāng)前最新
聯(lián)想筆記本怎么使用電池修復(fù)校正延長(zhǎng)電池壽命?教你使用聯(lián)想電池管理軟件進(jìn)行電池維護(hù)
讓dell筆記本電池智能保養(yǎng) 電池壽命延長(zhǎng)功能該怎么使用最好-全球新資訊
精彩新聞

超前放送