近日《中華人民共和國數據安全法》正式表決通過，將于自2021年9月1日起施行， “數據”不僅擁有“價值”屬性，也具備了“法律”屬性。很多單位數據安全合規(guī)工作也提上日程，單位管理者開始關注面臨的數據安全風險以及如何實現數據安全合規(guī)。

單位需要通過建立一套有效的數據安全合規(guī)體系來防范數據安全風險，避免遭受法律制裁和監(jiān)管處罰，減少財產和名譽損失。單位數據安全合規(guī)體系建設思路如下：

自上而下有認知、根據現狀找差距、圍繞業(yè)務識風險、評估風險出建議、根據建議做治理，合規(guī)成果要評價，持續(xù)整改靠文化。

自上而下有認知

組織內部自上而下從對合規(guī)工作意義達成統一共識，首先將數據安全合規(guī)當成一種長期投資，雖然合規(guī)需要投入很多資金，但是長遠來看能讓單位走的更穩(wěn)更遠。數據安全合規(guī)不能完全避免數據安全風險的發(fā)生，但是可以減少違規(guī)發(fā)生的風險，一旦發(fā)生數據安全事件，例如個人過度采集數據泄露、數據泄露，違規(guī)訪問等，單位通過數據安全合規(guī)體系可以減輕，豁免甚至民事責任抗辯等。

其次數據安全合規(guī)體系有效落地，離不開人的推動和執(zhí)行，需要單位高層重視，組建專門的數據安全管理合規(guī)團隊，由于數據安全與業(yè)務關聯度高，團隊成員可包括高層領導、業(yè)務部門、信息化部門、風控部門和法務部門等，并制定清晰的數據安全合規(guī)崗位責任，將合規(guī)體系融入到整個單位管理體系之中。

最后，數據安全合規(guī)不僅僅是《數據安全法》簡單應對，而是要有一定的高度，通過合規(guī)驅動數據安全建設，從數據的安全風險評估、監(jiān)測預警、應急處置和安全審查四個方面，將真正有效安全措施和檢查落地實施而不是浮于表面，只有這樣才不至于在在安全事件發(fā)生的時候非常被動。

分析現狀找差距

首先分析立法現狀。國際和國內出臺了許多數據安全相關的法律法規(guī)，例如國際上有名GDPR、CCPA、COPPA等，國內近期出臺的《數據安全法》和《個人信息安全規(guī)范》，結合之前頒布《網絡安全法》和等級保護等相關法律法規(guī)標準等，將之前亂象叢生的數據安全行業(yè)納入到一個合規(guī)性的規(guī)則和標準框架之下。

其次分析單位經營現狀。面對“產業(yè)數字化”轉型的趨勢，數據成為新的生產要素，單位分析并明確經營活動邊界，根據國家或行業(yè)相關分級分類標準，確認數據的類別和級別，哪些是內部數據？哪些是公開數據？哪些是一般數據？哪些是敏感數據？那些是涉及到國家安全的數據。在數據分級分類邊界明晰的情況下，單位將數據安全合規(guī)體系下進行生產經營活動，進而給整個行業(yè)帶來巨大改變。

全面梳理出應該遵循的義務，以及目前完成的現狀，找出兩者之間的差距，形成數據安全合規(guī)差距分析報告。

圍繞業(yè)務找風險

數據安全合規(guī)體系要深入了解業(yè)務，要圍繞業(yè)務識別出數據安全風險。如何了解業(yè)務？需要從人、架構、流程和數據四個維度對業(yè)務建模。

人與業(yè)務系統相關聯的干系人，常見使用者、維護者、管理者和監(jiān)管者等，梳理出這些人員業(yè)務職能和權限。

架構：承載業(yè)務系統運行的計算機系統結構，例如常見的網絡架構、軟件架構等和功能架構等。

流程：業(yè)務系統人員之間的業(yè)務關系，作業(yè)順序和管理信息流向的圖表，常用業(yè)務流程圖和功能流程圖表示。

數據：系統運行本質上是數據的加工和流轉，是系統運行的血脈。要了解業(yè)務系統中存儲哪些類型數據，這些數據存儲在什么地方？哪些有權限訪問數據？這些數據如何流轉和處理？常用數據分類分級表，敏感數據分布圖、數據流圖(DFD)等。

在了解業(yè)務模型后根據針對數據生命周期各階段面臨的威脅，結合業(yè)務自身的脆弱性和實際應用場景進行分析，識別出數據安全風險。

風險評估出建議

評估數據安全合規(guī)風險識別合規(guī)風險的基礎上，需要對合規(guī)風險進行的分析與評價。數據安全合規(guī)風險分析，考慮不合規(guī)發(fā)生的原因、后果及發(fā)生可能性等因素，最后形成合規(guī)風險清單。對合規(guī)風險的分析，內容描述應包括以下內容：按照數據安全全生命周期簡要描述可能存在威脅源，系統本身存在脆弱性，可能在什么場景下以什么方式發(fā)生風險概率、影響范圍和造成影響。

風險評價是利用風險分析過程中獲得的對風險的認識，對未來的行動進行決策。將合規(guī)風險分析結果與單位能承受風險比較，確定風險的級別。合規(guī)團隊通過已發(fā)生安全事件、基于安全專家和業(yè)務專家經驗，采用頭腦風暴等方式給出風險處置建議，常見風險處置建議有風險消除、緩解、轉嫁和接受等。

根據建議做治理

在數據風險識別和合規(guī)風險評估之后，就要開始考慮如何根據整改建議制定治理方案。

數據安全治理需要從風險評估結果出發(fā)，通過對組織制度建設、數據資產梳理、安全策略制定、安全風險監(jiān)測、用戶行為審計和持續(xù)整改，不斷尋找合規(guī)路徑，落實合規(guī)政策，以滿足業(yè)務數據保護和安全合規(guī)為目標，讓數據使用更方便更安全。

首先，合規(guī)組織制度建設，首先是確認最高負責機構，制定合規(guī)管理的目標、方針和政策，統領公司合規(guī)管理工作。第二層是協調機構，在合規(guī)委員會之下設合規(guī)管理小組，負責內部資源協調。第三層是日常工作機構，即數據合規(guī)部。

然后制定數據安全合規(guī)管理制度。合規(guī)管理制度一般包括合規(guī)行為準則、制度規(guī)范、合規(guī)專項管理辦法、合規(guī)管理流程、合規(guī)管理表單。

合規(guī)成果要評價

數據安全合規(guī)性評價是數據安全合規(guī)體系一項重要要求，定期對數據安全相關法律法規(guī)的遵從情況進行評價?！稊祿踩ā纺壳耙?guī)定支持數據安全檢測評估、認證等專業(yè)機構依法開展服務活動，但是相關評估標準和制度尚未完善，暫時可以參考等級保護、關鍵基礎設施保護和其他行業(yè)相關監(jiān)管制度等。

持續(xù)整改靠文化

數據安全合規(guī)文化是數據安全風險防范的最后一道防線，數據安全合規(guī)文化包括合規(guī)價值認同，全員意識培養(yǎng)和高層領導認可和推動等內容。要打造數據安全合規(guī)文化，就要在單位推行數據安全管理制度和行為規(guī)范。

樹立正確的數據安全合規(guī)價值觀，認同并相信數據安全合規(guī)所帶來的的巨大價值。第二，高層領導帶頭遵守制定的各項合規(guī)制度和規(guī)范。第三，堅持不斷的培訓。合規(guī)部門自上而下地進行宣傳和講解合規(guī)的價值、管理制度和行為規(guī)范，讓每個崗位員工知道合規(guī)底線和基線。最后，將合規(guī)加入到績效考核。合格合規(guī)管理行為獎勵，違規(guī)的行為將受到相關懲罰。

總結

數據安全合規(guī)體系是單位網絡安全合規(guī)體系其中的一部分，但是相對于網絡安全有特殊之處，與業(yè)務和管理結合更緊密，目前數據安全法剛剛頒布，雖然配套還未齊全，但是各單位應該提前布局開始構建數據安全合規(guī)體系，不僅僅能應對現有的數據安全法律法規(guī)，而是要有一定的前瞻性，通過合規(guī)驅動數據安全治理體系建設，只有這樣在應對越來越遠的數據安全監(jiān)管要求，才能游刃有余。