台湾佬精品一区二区三区,在线精品亚洲欧美日韩国产,亚色AV

這本寫給DPO的白皮書終于來了！解讀企業(yè)級數(shù)據(jù)安全合規(guī)體系

來源：中關(guān)村在線　2022-12-14 16:57:58

“DPO需要幫助企業(yè)建設(shè)完整的數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全管理體系以及運營體系，才能在長期范圍內(nèi)用更少的成本做到業(yè)務(wù)風(fēng)險可控?！?/p>

StartDT Research Center，《DPO數(shù)據(jù)安全白皮書》

DPO，即Data Protection Officer，中文通譯為數(shù)據(jù)保護官。

【資料圖】

這個職位的設(shè)定最早來源于GDPR（《（歐盟）通用數(shù)據(jù)保護條例》）——要求企業(yè)必須設(shè)置數(shù)據(jù)安全責(zé)任人。在中國的《個人信息保護法》（下文簡稱PIPL）中，亦有類似規(guī)定。

出于對隱私保護、信息保護的重視，也有企業(yè)設(shè)置了DPO同類項職位，例如數(shù)據(jù)隱私官（Data Privacy Officer，同樣簡稱DPO）、首席信息安全官（Chief Information/Security Officer，簡稱CISO）等等。

為什么說DPO這個職位“挑戰(zhàn)重重”？

DPO如何開展工作？

如何建立高效的數(shù)據(jù)安全治理方針？

本文試從DPO視角呈現(xiàn)一二。

DPO面臨的挑戰(zhàn)：既要、又要、還要

創(chuàng)建一個企業(yè)級的數(shù)據(jù)安全和隱私保護體系，并保持其有效運轉(zhuǎn)，以保障數(shù)據(jù)資產(chǎn)的全鏈安全及業(yè)務(wù)的合規(guī)增長，是DPO最核心的職責(zé)。

簡而言之，既要合規(guī)，又要安全，還要生意。

因此，在DPO的日常工作中，必須與多方通力協(xié)作，來應(yīng)對綜合性的挑戰(zhàn)：

首先，滿足合規(guī)需求、規(guī)避經(jīng)營風(fēng)險，這是企業(yè)順利開展業(yè)務(wù)的基線要求。從法律法規(guī)出發(fā)，DPO需與法務(wù)、律所等專業(yè)人員來探討并制定合規(guī)策略。

其二，找到安全投入與生意的動態(tài)平衡。一方面，確保安全合規(guī)的動作不影響業(yè)務(wù)正常進行，另一方面，也要控制成本，避免過度投入對企業(yè)經(jīng)營造成的負擔(dān)。在這個層面，DPO需與業(yè)務(wù)部門保持緊密溝通，讓安全合規(guī)深入業(yè)務(wù)場景。

其三，實現(xiàn)數(shù)據(jù)安全的技術(shù)落地。DPO需與數(shù)據(jù)安全工程師及數(shù)據(jù)安全供應(yīng)商協(xié)同，建立數(shù)據(jù)安全技術(shù)策略，從產(chǎn)品、架構(gòu)等多維度落地實踐。

如果說DPO是企業(yè)的數(shù)據(jù)安全首要責(zé)任人，“數(shù)據(jù)安全合規(guī)”這個命題則值得企業(yè)每個環(huán)節(jié)、每個部門及企業(yè)的合作伙伴、相關(guān)服務(wù)商關(guān)注。

DPO開展工作三要素：管理、技術(shù)、基礎(chǔ)

拆解DPO極具綜合性和復(fù)雜度的工作，大致可以從管理、技術(shù)、基礎(chǔ)三大要素來規(guī)劃：

管理要素

包括但不限于隱私政策的設(shè)置（從文本擬定到功能實現(xiàn)）、經(jīng)營備案與安全認證、企業(yè)安全管理制度等。旨在從管理層面滿足數(shù)據(jù)相關(guān)法律法規(guī)要求。

技術(shù)要素

主要有2個維度，其一，從技術(shù)上保障用戶（自然人）的權(quán)利，確保個人數(shù)據(jù)得到合法合規(guī)的處理，包括執(zhí)行同意追蹤、被遺忘權(quán)、拒絕權(quán)等；其二，從技術(shù)上守護數(shù)據(jù)資產(chǎn)安全，保護數(shù)據(jù)免受未經(jīng)授權(quán)的訪問和操作，例如身份驗證、訪問控制、安全傳輸、靜態(tài)加密等。

基礎(chǔ)要素

基礎(chǔ)設(shè)施的安全不僅包括IaaS層（云基礎(chǔ)設(shè)施），也包括數(shù)據(jù)平臺層（數(shù)據(jù)基礎(chǔ)設(shè)施）。前者由云廠商來保障，后者則通常由企業(yè)自有的平臺團隊保障。其中，存算安全、災(zāi)備等都是不可忽視的。

從上圖我們可以發(fā)現(xiàn)，DPO向內(nèi)需要數(shù)據(jù)全生命周期所涉部門的密切配合，從組織流程、管理制度等層面保障落地；向外，則需視所處階段，尋求不同的支持，例如律師、咨詢顧問、數(shù)據(jù)安全專家，及安全合規(guī)的數(shù)據(jù)產(chǎn)品和云基礎(chǔ)設(shè)施。

只有當(dāng)管理、技術(shù)、基礎(chǔ)三要素均得到滿足，一家企業(yè)方能被認可為真正意義上的數(shù)據(jù)安全合規(guī)——側(cè)面也說明，這家企業(yè)大概率有一位非常稱職的DPO。

寫給DPO的數(shù)據(jù)安全治理方法論

開展數(shù)據(jù)安全治理，是企業(yè)數(shù)據(jù)安全合規(guī)可持續(xù)的基礎(chǔ)，也是DPO諸多工作中的重大工程。

綜合DSMM（國標數(shù)據(jù)安全能力成熟度模型）等評估要求，及StartDT奇點云的客戶實踐，數(shù)據(jù)安全治理大致可分為3個階段：戰(zhàn)略引領(lǐng)；藍圖設(shè)計；路徑規(guī)劃與實施。

1）戰(zhàn)略引領(lǐng)

Gartner強調(diào)，正確的起點是從需求調(diào)研開始，“千萬不要跨過數(shù)據(jù)摸底、治理優(yōu)先級分析、制定治理整體策略等層級，直接從技術(shù)工具層面啟動安全治理”。

追溯企業(yè)的數(shù)據(jù)安全合規(guī)訴求，通常有2類：

· 僅為滿足監(jiān)管合規(guī)要求而啟動數(shù)據(jù)安全治理。這類企業(yè)需拆解監(jiān)管合規(guī)的條件，將現(xiàn)狀與要求一一比對，識別數(shù)據(jù)安全治理體系和數(shù)據(jù)安全技術(shù)使用上的差距，建立針對性的安全合規(guī)策略。

· 另一類企業(yè)傾向于建立更為長遠、可持續(xù)的數(shù)據(jù)安全戰(zhàn)略，則還需要理解業(yè)務(wù)和數(shù)據(jù)戰(zhàn)略，對風(fēng)險容忍度進行評估，從而為平衡業(yè)務(wù)與數(shù)據(jù)安全投入提供依據(jù)。

藍圖設(shè)計

藍圖設(shè)計階段最為關(guān)鍵的步驟是“數(shù)據(jù)分級分類”。企業(yè)需明確數(shù)據(jù)分級分類的原則和標準，例如在所屬行業(yè)，通常哪些數(shù)據(jù)被視為重要數(shù)據(jù)，數(shù)據(jù)需要分為三級或五級。進一步，梳理企業(yè)數(shù)據(jù)資產(chǎn)清單，并對重要數(shù)據(jù)進行標識和管理。在金融、汽車等行業(yè)，還需基于盤點和監(jiān)管要求，形成報送清單。

路徑規(guī)劃與實施

從戰(zhàn)略到藍圖，最終，數(shù)據(jù)安全治理需要有效的實施落地。簡化來看，共有4個步驟：

① 梳理全盤數(shù)據(jù)資產(chǎn)，繪制“數(shù)據(jù)地圖”。進一步，明確里程碑，本著高效原則，優(yōu)先開展重要數(shù)據(jù)的安全治理工作。

② 制定安全策略。

③ 安全工具/技術(shù)選型。數(shù)據(jù)結(jié)構(gòu)和形態(tài)會在數(shù)據(jù)生命周期中不斷變化，因此，通常需要結(jié)合多種安全工具和技術(shù)，來支撐安全策略的實施。

④ 從計劃、實施、檢查到處理，循環(huán)改進。

數(shù)據(jù)安全是什么？

是以數(shù)據(jù)為中心的安全。

是從采集、傳輸、存儲、處理到共享、銷毀，覆蓋數(shù)據(jù)全生命周期的安全。

是數(shù)據(jù)的隨身保鏢，數(shù)據(jù)流到哪里，安全就覆蓋到哪里。

是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

是大數(shù)據(jù)時代值得國家、企業(yè)和個體關(guān)注的安全。

從成立的第一天起，奇點云和GrowingIO就強烈主張企業(yè)要關(guān)注數(shù)據(jù)安全，并通過產(chǎn)品、組織等多層面投入和落地。我們認為，只有數(shù)據(jù)安全合規(guī)，數(shù)據(jù)才可能得到合理的使用與有效的分享，數(shù)據(jù)資產(chǎn)方能激發(fā)出更大的價值。

因此，我們將更多對企業(yè)級數(shù)據(jù)安全合規(guī)體系的解讀與實踐寫入了《DPO數(shù)據(jù)安全白皮書》，希望能為DPO們與關(guān)注數(shù)據(jù)安全合規(guī)的業(yè)界伙伴提供參考。

推薦DIY文章