陈 杰,王 倩,王婷云,刘鲲鹏,刘志颖
(国家电网有限公司客户服务中心,天津 300000)
国家把数字经济的转型升级作为未来十年关键的机会窗口,数字经济将成为整个中国经济转型的核心部件[1]。
在数字化经济的大环境下,企业进行数字化建设、发展数字经济已成为未来发展的重点与方向。数据已然成为推动企业发展最重要的生产要素之一,而数据价值的挖掘与利用也成为企业未来的核心竞争力之一。然而,数据保护工作不到位,不仅会使企业面临罚款、行政处罚甚至是刑事处罚,还可能会造成企业名誉受损、丧失客户信任,直接导致企业丧失数字化经济下的数据竞争优势[2]。因此在新形势下,企业的数据保护与应用合规工作意义重大,需要得到企业上下的一致重视。
从组织构建到持续改善,数据保护与应用合规工作是一个系统化的建设过程。在整个建设过程中,企业需要有明确的体系建设规划作为指导,有效的组织架构进行推进落实,持续的培训、监督指导保证建设效果,同时合理规划落地推行方案、协调多方支持参与[3]。基于这一思路,提出以治理层、管理层、应用层、监督层为框架的建设思路,首先由治理层提出建设方针、数据保护工作原则,把握整体建设工作的大方向。其次在治理层的统一领导下,由管理层提出制度要求,落实人员培训。其后应用层在实际工作层面逐项落实规范要求、优化流程,同时识别具体业务场景中的应用建设重点,场景化、规则化数据保护工作要求。在整个提升建设、落地推行的过程中,由监督层负责监控风险,检查管理应用中出现的问题,及时探究解决方案,促进数据保护与应用合规工作目标的实现。
2.1.1 数据保护管理策略
构建数据保护体系,夯实数据应用根基。构建以重要数据为核心的数据保护体系,以防范数据风险,夯实数据应用根基。
保障数据安全前提,释放数据发展潜能。兼顾发展与安全的平衡,在依法依规、保障数据安全的前提下深挖数据价值、释放数据发展潜能、实现数据多向赋能,推动服务高质量发展。
增强数据责任意识,推进数据文化建设。定期组织开展数据安全宣传,强化员工数据安全意识;将数据安全培训融入业务培训中,细化在业务场景中相关岗位的数据安全职责分工,保障安全控制措施有效落实。
2.1.2 数据保护管理组织
明确组织架构建设、定义职责分工是推进数据保护建设工作顺利进行的首要条件之一。一个架构完善、权责清晰的组织架构,更是推行数据保护工作强有力的支撑。数据保护组织架构的设计从企业现有组织架构、数据架构出发,应遵循层次清晰,权责分明、分工明确,专业提升、沟通畅通,执行高效三个原则。
决策管理层是数据保护工作的领导小组,一般称为数据管理委员会,其职责是制定数据进行分类分级、保护使用和管理的原则和策略流程[4];组织协调层统一对数据保护工作进行安排、协调,主要负责数据保护和应用合规体系的建设、培训和运营维护工作;工作执行层履行数据保护的职责与义务,有效落实数据管理工作的开展,是数据主要的使用者、管理者、维护者、分发者,同时也是数据保护策略、规范和流程的重要执行者和管理对象;监督稽核层负责定期对数据保护方面的制度、策略、规范等的贯彻落实和执行遵守情况进行考查。
2.2.1 数据保护制度体系
制度体系是数据保护工作要求、管理策略以及操作规程等的集合,从数据保护需求、数据风险控制需要、合规性要求等几个方面进行梳理,形成全面的数据保护工作制度体系。相关制度文件可以分为四个层级,每一级都是上一级的支撑、细化和展开。
(1)一级文件是方针政策,是组织数据保护的战略指导,面向组织层面的管理总则。应在一级文件中明确数据保护与应用合规工作的重点。
(2)二级文件是管理制度,是数据保护工作的通用管理办法。应在二级文件中明确数据保护与应用合规工作的组织架构、职责分工、日常管理要求、应急响应、监测检查、合规评估、人员培训等制度。
(3)三级文件是实施细则,是日常工作的操作步骤和指南。作为制度要求下指导数据保护策略落地的指南文件,应按工作步骤对各操作环节的分工、流程、规范要求进行详细说明,指导具体工作的开展。
(4)四级文件属于辅助文件,是具体制度执行时产生的过程性文档、工具表单、管理数据库等。作为数据保护与应用合规工作落地运行过程中产生的执行文件,一般包括法律法规库、合规案例库、资产清单、流转申请审批表、审计记录表、日志记录等。
2.2.2 数据保护培训
数据保护与应用合规工作离不开决策层的领导,各部门数据保护负责人的管理,以及相应执行人员在具体工作中的实践。因此企业应根据岗位职责、人员角色,明确相应的能力要求,并建立适配的数据安全人员能力提升机制,进一步提升人员数据保护能力。同时从整体层面加强数据安全意识的宣贯,在对相关岗位进行专项培训的同时,结合数据保护工作的实际场景,定期推送知识要点,提升全员的数据保护意识和对数据保护的重视程度。最后企业应通过设计相应的考核机制,促进培训计划的推进,达到最优的培训效果。
2.3.1 识别数据梳理清单
数据梳理是指对目标环境中的数据进行全面清查、摸排,通过了解数据的类型、数据分布、数据流转、数据使用场景、数据存储等情况信息,构建数据目录的过程。
数据基本信息应包括数据名称、主要内容、数据所有者、数据格式,数据收集信息应包括收集方式、收集系统[5]。数据流转信息应包括流转使用部门、流转系统、流转方式、是否出企业范围、是否出企业体系、是否出境等。数据存储信息应包括数据存储位置、存储方式、存储期限。数据标识类信息包括识别是否为个人信息、个人敏感信息、重要数据、国家涉密数据,以及基于企业未来管理发展所需要的数据标识等。
2.3.2 开展数据分类分级
为了保持数据安全和数据价值利用的平衡,应在梳理数据清单的基础上对数据开展分类分级管理。首先要建立数据分类分级管理体系,确定数据分类分级的划分的原则和标准,再针对不同类别和级别的数据制定相应的管理要求和技术措施;其次根据梳理的数据清单,开展数据定类定级工作,形成数据分类分级清单;最后落实对数据的分类分级的管理要求。要保证数据分类分级管理的有效性,应定期审阅数据分类分级标准的制定是否适用,数据管控手段是否满足当前数据保护的管理和技术需要,并定期修订和更新数据分类分级清单。
2.3.3 完善数据全生命周期管理工作流程
在数据分类分级管理的前提下,应围绕数据全生命周期开展数据保护工作,以收集、传输、存储、加工、使用、内部共享、对外开放、销毁各个环节为切入点,设置相应的管控节点和管理流程,以便于在不同的业务场景中进行组合复用。强化数据全生命周期安全防护,重点加强数据访问管理,研究数据脱敏、数据加密技术,实现数据在线识别、监视与分析,建立数据变现审查机制等。
2.4.1 风险评估
数据保护工作的主要目标之一是降低数据安全风险,因此建立有效的风险监控、防范手段,对于预防数据安全事件发生有重要作用[6]。数据保护风险评估基于企业的数据保护方针,从数据全生命周期出发,通过对业务环境中数据资产的重要程度、数据载体的安全状况、敏感数据的访问情况、数据保护相关管理制度和基础设施的安全性等方面的管理执行情况进行收集、统计和分析,从不同维度评估风险状况,从而更好地制定数据保护策略和进一步采取管理和技术手段,提升数据保护能力。
数据保护风险评估基于数据保护相关的法律法规、标准规范和企业内部数据管理要求设定具体的评估指标,覆盖数据全生命周期的各个环节。风险评估通常包括风险识别,风险评价,风险处置三个步骤:风险识别是数据保护风险评估的基础。通过搭建数据安全风险源数据库的方式,建立风险识别机制;风险评价是评定数据安全风险事件发生可能性和损失程度的过程,为后续的风险处置和结果应用提供判断依据;风险处置就是通过综合考虑企业的风险承受能力,基于风险偏好容忍度、成本效益、胜任能力和应对效果等确定相应的应对策略。
2.4.2 检查审计
建立完善的检查与审计机制是保障数据保护策略、制度和规范得到有效执行和落地、发现潜在风险和问题的重要手段和关键环节。一方面可以通过检查审计发现管理和执行的漏洞和薄弱环节,加大策略执行力度;另一方面可以促进管理层优化数据保护策略,不断动态地调整数据保护工作重点。
综上所述,数据保护和应用合规建设将是企业在数字化经济建设中的必经之路,通过治理层、管理层、应用层和监督层的建设思路框架,助力企业更系统化和有计划地建设数据保护和应用合规体系。