企業(yè)數(shù)據(jù)保護(hù)與應(yīng)用合規(guī)建設(shè)思路探討

陳 杰，王 倩，王婷云，劉鯤鵬，劉志穎

（國家電網(wǎng)有限公司客戶服務(wù)中心，天津 300000）

1 研究背景

國家把數(shù)字經(jīng)濟(jì)的轉(zhuǎn)型升級作為未來十年關(guān)鍵的機會窗口，數(shù)字經(jīng)濟(jì)將成為整個中國經(jīng)濟(jì)轉(zhuǎn)型的核心部件[1]。

在數(shù)字化經(jīng)濟(jì)的大環(huán)境下，企業(yè)進(jìn)行數(shù)字化建設(shè)、發(fā)展數(shù)字經(jīng)濟(jì)已成為未來發(fā)展的重點與方向。數(shù)據(jù)已然成為推動企業(yè)發(fā)展最重要的生產(chǎn)要素之一，而數(shù)據(jù)價值的挖掘與利用也成為企業(yè)未來的核心競爭力之一。然而，數(shù)據(jù)保護(hù)工作不到位，不僅會使企業(yè)面臨罰款、行政處罰甚至是刑事處罰，還可能會造成企業(yè)名譽受損、喪失客戶信任，直接導(dǎo)致企業(yè)喪失數(shù)字化經(jīng)濟(jì)下的數(shù)據(jù)競爭優(yōu)勢[2]。因此在新形勢下，企業(yè)的數(shù)據(jù)保護(hù)與應(yīng)用合規(guī)工作意義重大，需要得到企業(yè)上下的一致重視。

2 建設(shè)思路

從組織構(gòu)建到持續(xù)改善，數(shù)據(jù)保護(hù)與應(yīng)用合規(guī)工作是一個系統(tǒng)化的建設(shè)過程。在整個建設(shè)過程中，企業(yè)需要有明確的體系建設(shè)規(guī)劃作為指導(dǎo)，有效的組織架構(gòu)進(jìn)行推進(jìn)落實，持續(xù)的培訓(xùn)、監(jiān)督指導(dǎo)保證建設(shè)效果，同時合理規(guī)劃落地推行方案、協(xié)調(diào)多方支持參與[3]。基于這一思路，提出以治理層、管理層、應(yīng)用層、監(jiān)督層為框架的建設(shè)思路，首先由治理層提出建設(shè)方針、數(shù)據(jù)保護(hù)工作原則，把握整體建設(shè)工作的大方向。其次在治理層的統(tǒng)一領(lǐng)導(dǎo)下，由管理層提出制度要求，落實人員培訓(xùn)。其后應(yīng)用層在實際工作層面逐項落實規(guī)范要求、優(yōu)化流程，同時識別具體業(yè)務(wù)場景中的應(yīng)用建設(shè)重點，場景化、規(guī)則化數(shù)據(jù)保護(hù)工作要求。在整個提升建設(shè)、落地推行的過程中，由監(jiān)督層負(fù)責(zé)監(jiān)控風(fēng)險，檢查管理應(yīng)用中出現(xiàn)的問題，及時探究解決方案，促進(jìn)數(shù)據(jù)保護(hù)與應(yīng)用合規(guī)工作目標(biāo)的實現(xiàn)。

2.1 治理層：提出工作方針，建設(shè)組織架構(gòu)

2.1.1 數(shù)據(jù)保護(hù)管理策略

構(gòu)建數(shù)據(jù)保護(hù)體系，夯實數(shù)據(jù)應(yīng)用根基。構(gòu)建以重要數(shù)據(jù)為核心的數(shù)據(jù)保護(hù)體系，以防范數(shù)據(jù)風(fēng)險，夯實數(shù)據(jù)應(yīng)用根基。

保障數(shù)據(jù)安全前提，釋放數(shù)據(jù)發(fā)展?jié)撃堋＜骖櫚l(fā)展與安全的平衡，在依法依規(guī)、保障數(shù)據(jù)安全的前提下深挖數(shù)據(jù)價值、釋放數(shù)據(jù)發(fā)展?jié)撃堋崿F(xiàn)數(shù)據(jù)多向賦能，推動服務(wù)高質(zhì)量發(fā)展。

增強數(shù)據(jù)責(zé)任意識，推進(jìn)數(shù)據(jù)文化建設(shè)。定期組織開展數(shù)據(jù)安全宣傳，強化員工數(shù)據(jù)安全意識；將數(shù)據(jù)安全培訓(xùn)融入業(yè)務(wù)培訓(xùn)中，細(xì)化在業(yè)務(wù)場景中相關(guān)崗位的數(shù)據(jù)安全職責(zé)分工，保障安全控制措施有效落實。

2.1.2 數(shù)據(jù)保護(hù)管理組織

明確組織架構(gòu)建設(shè)、定義職責(zé)分工是推進(jìn)數(shù)據(jù)保護(hù)建設(shè)工作順利進(jìn)行的首要條件之一。一個架構(gòu)完善、權(quán)責(zé)清晰的組織架構(gòu)，更是推行數(shù)據(jù)保護(hù)工作強有力的支撐。數(shù)據(jù)保護(hù)組織架構(gòu)的設(shè)計從企業(yè)現(xiàn)有組織架構(gòu)、數(shù)據(jù)架構(gòu)出發(fā)，應(yīng)遵循層次清晰，權(quán)責(zé)分明、分工明確，專業(yè)提升、溝通暢通，執(zhí)行高效三個原則。

決策管理層是數(shù)據(jù)保護(hù)工作的領(lǐng)導(dǎo)小組，一般稱為數(shù)據(jù)管理委員會，其職責(zé)是制定數(shù)據(jù)進(jìn)行分類分級、保護(hù)使用和管理的原則和策略流程[4]；組織協(xié)調(diào)層統(tǒng)一對數(shù)據(jù)保護(hù)工作進(jìn)行安排、協(xié)調(diào)，主要負(fù)責(zé)數(shù)據(jù)保護(hù)和應(yīng)用合規(guī)體系的建設(shè)、培訓(xùn)和運營維護(hù)工作；工作執(zhí)行層履行數(shù)據(jù)保護(hù)的職責(zé)與義務(wù)，有效落實數(shù)據(jù)管理工作的開展，是數(shù)據(jù)主要的使用者、管理者、維護(hù)者、分發(fā)者，同時也是數(shù)據(jù)保護(hù)策略、規(guī)范和流程的重要執(zhí)行者和管理對象；監(jiān)督稽核層負(fù)責(zé)定期對數(shù)據(jù)保護(hù)方面的制度、策略、規(guī)范等的貫徹落實和執(zhí)行遵守情況進(jìn)行考查。

2.2 管理層：搭建制度體系，加強人員培訓(xùn)

2.2.1 數(shù)據(jù)保護(hù)制度體系

制度體系是數(shù)據(jù)保護(hù)工作要求、管理策略以及操作規(guī)程等的集合，從數(shù)據(jù)保護(hù)需求、數(shù)據(jù)風(fēng)險控制需要、合規(guī)性要求等幾個方面進(jìn)行梳理，形成全面的數(shù)據(jù)保護(hù)工作制度體系。相關(guān)制度文件可以分為四個層級，每一級都是上一級的支撐、細(xì)化和展開。

（1）一級文件是方針政策，是組織數(shù)據(jù)保護(hù)的戰(zhàn)略指導(dǎo)，面向組織層面的管理總則。應(yīng)在一級文件中明確數(shù)據(jù)保護(hù)與應(yīng)用合規(guī)工作的重點。

（2）二級文件是管理制度，是數(shù)據(jù)保護(hù)工作的通用管理辦法。應(yīng)在二級文件中明確數(shù)據(jù)保護(hù)與應(yīng)用合規(guī)工作的組織架構(gòu)、職責(zé)分工、日常管理要求、應(yīng)急響應(yīng)、監(jiān)測檢查、合規(guī)評估、人員培訓(xùn)等制度。

（3）三級文件是實施細(xì)則，是日常工作的操作步驟和指南。作為制度要求下指導(dǎo)數(shù)據(jù)保護(hù)策略落地的指南文件，應(yīng)按工作步驟對各操作環(huán)節(jié)的分工、流程、規(guī)范要求進(jìn)行詳細(xì)說明，指導(dǎo)具體工作的開展。

（4）四級文件屬于輔助文件，是具體制度執(zhí)行時產(chǎn)生的過程性文檔、工具表單、管理數(shù)據(jù)庫等。作為數(shù)據(jù)保護(hù)與應(yīng)用合規(guī)工作落地運行過程中產(chǎn)生的執(zhí)行文件，一般包括法律法規(guī)庫、合規(guī)案例庫、資產(chǎn)清單、流轉(zhuǎn)申請審批表、審計記錄表、日志記錄等。

2.2.2 數(shù)據(jù)保護(hù)培訓(xùn)

數(shù)據(jù)保護(hù)與應(yīng)用合規(guī)工作離不開決策層的領(lǐng)導(dǎo)，各部門數(shù)據(jù)保護(hù)負(fù)責(zé)人的管理，以及相應(yīng)執(zhí)行人員在具體工作中的實踐。因此企業(yè)應(yīng)根據(jù)崗位職責(zé)、人員角色，明確相應(yīng)的能力要求，并建立適配的數(shù)據(jù)安全人員能力提升機制，進(jìn)一步提升人員數(shù)據(jù)保護(hù)能力。同時從整體層面加強數(shù)據(jù)安全意識的宣貫，在對相關(guān)崗位進(jìn)行專項培訓(xùn)的同時，結(jié)合數(shù)據(jù)保護(hù)工作的實際場景，定期推送知識要點，提升全員的數(shù)據(jù)保護(hù)意識和對數(shù)據(jù)保護(hù)的重視程度。最后企業(yè)應(yīng)通過設(shè)計相應(yīng)的考核機制，促進(jìn)培訓(xùn)計劃的推進(jìn)，達(dá)到最優(yōu)的培訓(xùn)效果。

2.3 應(yīng)用層：梳理工作流程，明確合規(guī)應(yīng)用

2.3.1 識別數(shù)據(jù)梳理清單

數(shù)據(jù)梳理是指對目標(biāo)環(huán)境中的數(shù)據(jù)進(jìn)行全面清查、摸排，通過了解數(shù)據(jù)的類型、數(shù)據(jù)分布、數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)使用場景、數(shù)據(jù)存儲等情況信息，構(gòu)建數(shù)據(jù)目錄的過程。

數(shù)據(jù)基本信息應(yīng)包括數(shù)據(jù)名稱、主要內(nèi)容、數(shù)據(jù)所有者、數(shù)據(jù)格式，數(shù)據(jù)收集信息應(yīng)包括收集方式、收集系統(tǒng)[5]。數(shù)據(jù)流轉(zhuǎn)信息應(yīng)包括流轉(zhuǎn)使用部門、流轉(zhuǎn)系統(tǒng)、流轉(zhuǎn)方式、是否出企業(yè)范圍、是否出企業(yè)體系、是否出境等。數(shù)據(jù)存儲信息應(yīng)包括數(shù)據(jù)存儲位置、存儲方式、存儲期限。數(shù)據(jù)標(biāo)識類信息包括識別是否為個人信息、個人敏感信息、重要數(shù)據(jù)、國家涉密數(shù)據(jù)，以及基于企業(yè)未來管理發(fā)展所需要的數(shù)據(jù)標(biāo)識等。

2.3.2 開展數(shù)據(jù)分類分級

為了保持?jǐn)?shù)據(jù)安全和數(shù)據(jù)價值利用的平衡，應(yīng)在梳理數(shù)據(jù)清單的基礎(chǔ)上對數(shù)據(jù)開展分類分級管理。首先要建立數(shù)據(jù)分類分級管理體系，確定數(shù)據(jù)分類分級的劃分的原則和標(biāo)準(zhǔn)，再針對不同類別和級別的數(shù)據(jù)制定相應(yīng)的管理要求和技術(shù)措施；其次根據(jù)梳理的數(shù)據(jù)清單，開展數(shù)據(jù)定類定級工作，形成數(shù)據(jù)分類分級清單；最后落實對數(shù)據(jù)的分類分級的管理要求。要保證數(shù)據(jù)分類分級管理的有效性，應(yīng)定期審閱數(shù)據(jù)分類分級標(biāo)準(zhǔn)的制定是否適用，數(shù)據(jù)管控手段是否滿足當(dāng)前數(shù)據(jù)保護(hù)的管理和技術(shù)需要，并定期修訂和更新數(shù)據(jù)分類分級清單。

2.3.3 完善數(shù)據(jù)全生命周期管理工作流程

在數(shù)據(jù)分類分級管理的前提下，應(yīng)圍繞數(shù)據(jù)全生命周期開展數(shù)據(jù)保護(hù)工作，以收集、傳輸、存儲、加工、使用、內(nèi)部共享、對外開放、銷毀各個環(huán)節(jié)為切入點，設(shè)置相應(yīng)的管控節(jié)點和管理流程，以便于在不同的業(yè)務(wù)場景中進(jìn)行組合復(fù)用。強化數(shù)據(jù)全生命周期安全防護(hù)，重點加強數(shù)據(jù)訪問管理，研究數(shù)據(jù)脫敏、數(shù)據(jù)加密技術(shù)，實現(xiàn)數(shù)據(jù)在線識別、監(jiān)視與分析，建立數(shù)據(jù)變現(xiàn)審查機制等。

2.4 監(jiān)督層：事前風(fēng)險評估，事后檢查審計

2.4.1 風(fēng)險評估

數(shù)據(jù)保護(hù)工作的主要目標(biāo)之一是降低數(shù)據(jù)安全風(fēng)險，因此建立有效的風(fēng)險監(jiān)控、防范手段，對于預(yù)防數(shù)據(jù)安全事件發(fā)生有重要作用[6]。數(shù)據(jù)保護(hù)風(fēng)險評估基于企業(yè)的數(shù)據(jù)保護(hù)方針，從數(shù)據(jù)全生命周期出發(fā)，通過對業(yè)務(wù)環(huán)境中數(shù)據(jù)資產(chǎn)的重要程度、數(shù)據(jù)載體的安全狀況、敏感數(shù)據(jù)的訪問情況、數(shù)據(jù)保護(hù)相關(guān)管理制度和基礎(chǔ)設(shè)施的安全性等方面的管理執(zhí)行情況進(jìn)行收集、統(tǒng)計和分析，從不同維度評估風(fēng)險狀況，從而更好地制定數(shù)據(jù)保護(hù)策略和進(jìn)一步采取管理和技術(shù)手段，提升數(shù)據(jù)保護(hù)能力。

數(shù)據(jù)保護(hù)風(fēng)險評估基于數(shù)據(jù)保護(hù)相關(guān)的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范和企業(yè)內(nèi)部數(shù)據(jù)管理要求設(shè)定具體的評估指標(biāo)，覆蓋數(shù)據(jù)全生命周期的各個環(huán)節(jié)。風(fēng)險評估通常包括風(fēng)險識別，風(fēng)險評價，風(fēng)險處置三個步驟：風(fēng)險識別是數(shù)據(jù)保護(hù)風(fēng)險評估的基礎(chǔ)。通過搭建數(shù)據(jù)安全風(fēng)險源數(shù)據(jù)庫的方式，建立風(fēng)險識別機制；風(fēng)險評價是評定數(shù)據(jù)安全風(fēng)險事件發(fā)生可能性和損失程度的過程，為后續(xù)的風(fēng)險處置和結(jié)果應(yīng)用提供判斷依據(jù)；風(fēng)險處置就是通過綜合考慮企業(yè)的風(fēng)險承受能力，基于風(fēng)險偏好容忍度、成本效益、勝任能力和應(yīng)對效果等確定相應(yīng)的應(yīng)對策略。

2.4.2 檢查審計

建立完善的檢查與審計機制是保障數(shù)據(jù)保護(hù)策略、制度和規(guī)范得到有效執(zhí)行和落地、發(fā)現(xiàn)潛在風(fēng)險和問題的重要手段和關(guān)鍵環(huán)節(jié)。一方面可以通過檢查審計發(fā)現(xiàn)管理和執(zhí)行的漏洞和薄弱環(huán)節(jié)，加大策略執(zhí)行力度；另一方面可以促進(jìn)管理層優(yōu)化數(shù)據(jù)保護(hù)策略，不斷動態(tài)地調(diào)整數(shù)據(jù)保護(hù)工作重點。

3 結(jié)束語

綜上所述，數(shù)據(jù)保護(hù)和應(yīng)用合規(guī)建設(shè)將是企業(yè)在數(shù)字化經(jīng)濟(jì)建設(shè)中的必經(jīng)之路，通過治理層、管理層、應(yīng)用層和監(jiān)督層的建設(shè)思路框架，助力企業(yè)更系統(tǒng)化和有計劃地建設(shè)數(shù)據(jù)保護(hù)和應(yīng)用合規(guī)體系。