今日视点:这本写给DPO的白皮书终于来了!解读企业级数据安全合规体系
“DPO需要帮助企业建设完整的数据安全技术体系、数据安全管理体系以及运营体系,才能在长期范围内用更少的成本做到业务风险可控。”
StartDT Research Center,《DPO数据安全白皮书》
(资料图)
DPO,即Data Protection Officer,中文通译为数据保护官。
这个职位的设定最早来源于GDPR(《(欧盟)通用数据保护条例》)——要求企业必须设置数据安全责任人。在中国的《个人信息保护法》(下文简称PIPL)中,亦有类似规定。
出于对隐私保护、信息保护的重视,也有企业设置了DPO同类项职位,例如数据隐私官(Data Privacy Officer,同样简称DPO)、首席信息安全官(Chief Information/Security Officer,简称CISO)等等。
为什么说DPO这个职位“挑战重重”?
DPO如何开展工作?
如何建立高效的数据安全治理方针?
本文试从DPO视角呈现一二。
DPO面临的挑战:既要、又要、还要
创建一个企业级的数据安全和隐私保护体系,并保持其有效运转,以保障数据资产的全链安全及业务的合规增长,是DPO最核心的职责。
简而言之,既要合规,又要安全,还要生意。
因此,在DPO的日常工作中,必须与多方通力协作,来应对综合性的挑战:
首先,满足合规需求、规避经营风险,这是企业顺利开展业务的基线要求。从法律法规出发,DPO需与法务、律所等专业人员来探讨并制定合规策略。
其二,找到安全投入与生意的动态平衡。一方面,确保安全合规的动作不影响业务正常进行,另一方面,也要控制成本,避免过度投入对企业经营造成的负担。在这个层面,DPO需与业务部门保持紧密沟通,让安全合规深入业务场景。
其三,实现数据安全的技术落地。DPO需与数据安全工程师及数据安全供应商协同,建立数据安全技术策略,从产品、架构等多维度落地实践。
如果说DPO是企业的数据安全首要责任人,“数据安全合规”这个命题则值得企业每个环节、每个部门及企业的合作伙伴、相关服务商关注。
DPO开展工作三要素:管理、技术、基础
拆解DPO极具综合性和复杂度的工作,大致可以从管理、技术、基础三大要素来规划:
管理要素
包括但不限于隐私政策的设置(从文本拟定到功能实现)、经营备案与安全认证、企业安全管理制度等。旨在从管理层面满足数据相关法律法规要求。
技术要素
主要有2个维度,其一,从技术上保障用户(自然人)的权利,确保个人数据得到合法合规的处理,包括执行同意追踪、被遗忘权、拒绝权等;其二,从技术上守护数据资产安全,保护数据免受未经授权的访问和操作,例如身份验证、访问控制、安全传输、静态加密等。
基础要素
基础设施的安全不仅包括IaaS层(云基础设施),也包括数据平台层(数据基础设施)。前者由云厂商来保障,后者则通常由企业自有的平台团队保障。其中,存算安全、灾备等都是不可忽视的。
从上图我们可以发现,DPO向内需要数据全生命周期所涉部门的密切配合,从组织流程、管理制度等层面保障落地;向外,则需视所处阶段,寻求不同的支持,例如律师、咨询顾问、数据安全专家,及安全合规的数据产品和云基础设施。
只有当管理、技术、基础三要素均得到满足,一家企业方能被认可为真正意义上的数据安全合规——侧面也说明,这家企业大概率有一位非常称职的DPO。
写给DPO的数据安全治理方法论
开展数据安全治理,是企业数据安全合规可持续的基础,也是DPO诸多工作中的重大工程。
综合DSMM(国标数据安全能力成熟度模型)等评估要求,及StartDT奇点云的客户实践,数据安全治理大致可分为3个阶段:战略引领;蓝图设计;路径规划与实施。
1)战略引领
Gartner强调,正确的起点是从需求调研开始,“千万不要跨过数据摸底、治理优先级分析、制定治理整体策略等层级,直接从技术工具层面启动安全治理”。
追溯企业的数据安全合规诉求,通常有2类:
· 仅为满足监管合规要求而启动数据安全治理。这类企业需拆解监管合规的条件,将现状与要求一一比对,识别数据安全治理体系和数据安全技术使用上的差距,建立针对性的安全合规策略。
· 另一类企业倾向于建立更为长远、可持续的数据安全战略,则还需要理解业务和数据战略,对风险容忍度进行评估,从而为平衡业务与数据安全投入提供依据。
蓝图设计
蓝图设计阶段最为关键的步骤是“数据分级分类”。企业需明确数据分级分类的原则和标准,例如在所属行业,通常哪些数据被视为重要数据,数据需要分为三级或五级。进一步,梳理企业数据资产清单,并对重要数据进行标识和管理。在金融、汽车等行业,还需基于盘点和监管要求,形成报送清单。
路径规划与实施
从战略到蓝图,最终,数据安全治理需要有效的实施落地。简化来看,共有4个步骤:
① 梳理全盘数据资产,绘制“数据地图”。进一步,明确里程碑,本着高效原则,优先开展重要数据的安全治理工作。
② 制定安全策略。
③ 安全工具/技术选型。数据结构和形态会在数据生命周期中不断变化,因此,通常需要结合多种安全工具和技术,来支撑安全策略的实施。
④ 从计划、实施、检查到处理,循环改进。
数据安全是什么?
是以数据为中心的安全。
是从采集、传输、存储、处理到共享、销毁,覆盖数据全生命周期的安全。
是数据的随身保镖,数据流到哪里,安全就覆盖到哪里。
是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
是大数据时代值得国家、企业和个体关注的安全。
从成立的第一天起,奇点云和GrowingIO就强烈主张企业要关注数据安全,并通过产品、组织等多层面投入和落地。我们认为,只有数据安全合规,数据才可能得到合理的使用与有效的分享,数据资产方能激发出更大的价值。
因此,我们将更多对企业级数据安全合规体系的解读与实践写入了《DPO数据安全白皮书》,希望能为DPO们与关注数据安全合规的业界伙伴提供参考。
标签: 新闻资讯
相关推荐:
最新新闻:
- 引领跨界创新潮流 360智慧商业斩获2022金触点三项大奖_天天聚看点
- 欧米茄的冬日奇境
- 今日视点:这本写给DPO的白皮书终于来了!解读企业级数据安全合规体系
- 极致性价比,东芝“小钢炮”拉低大牌智能马桶消费门槛!:当前视点
- 在《最终幻想7:重生》中 扎克斯的表现十分活跃
- 环球热议:单人流程长达100小时 《逆水寒》手游想要做什么?
- 天天最新:借“病假”之名,新冠感染者工资遭“打折”合法吗?
- 【世界报资讯】IMAX官方暗示:诺兰新片《奥本海默》预告将亮相《阿凡达2》IMAX片头
- 全球微头条丨高德地图导航定位已全面实现北斗主导 其他维度同样领先
- 黑人作家质疑阿根廷队黑人球员太少 球迷们狂吐槽:环球头条
- 本周FAMI通新作评分 《极品飞车:不羁》32分|快看
- 《赵云传重制版》三大女主设定公开 12月29日定向封测 环球热门
- 居家办公的我,管不住上网课的“小淘气”
- 炸鸡叔偷天换日 网飞新剧《万花筒》公布预告:世界视讯
- 热文:世界杯冠军,义乌老板早就知道了?
- 小米13系列首销火爆 官方宣布线上渠道已售罄
- 《人格解体》新预告公开 12月20日开启EA发售
- 每日热讯!《阿凡达:水之道》M站69分 烂番茄新鲜度83%
- 【环球聚看点】Steam现已登陆特斯拉多款车型 每月9.99美元
- 小米迷你主机准系统版开启众筹:2799元 超小机身 全球热闻
- 拒绝被击败的球队,随时准备一路走到最后-快资讯
- 快报:一轮来自理财的信用冲击
- 全球观热点:《罪恶装备:STRIVE》12月15日更新补丁 跨平台联机功能上线
- 天天头条:无法被超越的添可 懂得如何用创新与用户对话
- 苹果CEO库克访日 盛赞木村拓哉女儿Cocomi长笛表演
- 全场景DC调光 神奇的劲哥爆料moto X40市售最强护眼屏
- 每日快播:找到了对的人,连空气都是对的
- 《刺客信条:英灵殿》X《命运2》史诗联动背后的灵思碰撞
- GSC:《史莱姆牧场2》主角黏土人预购开启 环球百事通
- 今日关注:苹果让步!iPhone将开放第三方应用商店
- 明日发布!摩托罗拉moto X40采用“165Hz变奏高斯四曲面臻彩屏”
- Aruba CX交换机系列,帮助打造面向未来的高性能网络
- 如何实现远程唤醒惠普商用机?实现远程唤醒惠普商用机方法
- 教你了解1TB等于多少GB? 1PB等于多少TB容量?
- wmv用什么播放器播放?wmv播放器播放方法
- 系统丢失gdiplus.dll文件错误怎么解决?系统丢失gdiplus.dll文件错误解决方法
- 电脑自动更新到win10有影响吗?电脑自动更新到win10方法
- 酷狗输入法怎么样?酷狗输入法功能使用介绍详解
- 什么是.rar文件?如何打开rar文件教程?
- 电脑如何修改桌面应用的图标?桌面应用图标修改方法
- qsv格式是什么的文件?qsv文件如何转换成其他格式?
- 如何用PS制作火焰字?PS制作火焰字步骤
- 电脑安装软件提示系统找不到指定文件怎么解决?
- BIOS怎么设置USB启动?进入BIOS设置程序通常有三种方法
- word大括号怎么输入?特殊大括号怎么输入?
- tts是什么意思?tts有什么功能作用?
- admin是什么?administrator又是什么?
- 如何修改360浏览器首页?360浏览器首页修改方法
- OTG线是什么? OTG数据线分类
- 如何解决电脑无法访问此网站问题?电脑无法访问此网站解决方法
- 如何安装PS滤镜插件?PS滤镜插件安装方法
- 如何用注册表修复word文件关联关系?注册表修复word文件关联关系步骤
- 怎样才能使pdf文件分开?pdf文件分开方法
- 怎样手动清除磁碟机病毒木马?手动清除磁碟机病毒木马方法
- 路由器怎么设置自动拨号上网?路由器自动拨号上网设置方法
- NTFS格式分区是什么意思?ntfs分区有什么好处?
- 如何提高笔记本电脑游戏性能?笔记本电脑游戏性能提高方法
- 惠普一体机该怎么打印复印文件?打印复印文件方法
- real解码器是什么?real解码器介绍
- 网速限制怎么设置?常用网速限制设置方法
- m4a是什么格式?M4A文件怎么打开?
- qq显示错误码0x00000001是什么原因?QQ登录提示0X00000001错误解决方法
- “蔻墨杯”第六届世界女神大赛深圳赛区总决赛五彩纷呈
- 懂收藏的人,都在悄悄行动!
- 《霍格沃茨之遗》PS4/X1版跳票 NS版发售日确定
- 加息挤压利润 1.4万亿美元的垃圾贷款危险了_世界快看
- 全球观察:《ONI:鬼族武者立志传》欧美主机实体版4月21日发售
- 在播出两季后 《修女战士》剧集被网飞砍掉 全球观焦点
- 《龙珠超:超级人造人》国内定档 1月6日上映_快看
- Gamespot公布年度奖项 《艾尔登法环》再次斩获年度最佳游戏_滚动
- 《P3P》《P4G》官方售价确定 税后各1980日元|每日看点
- 世界热点!卢伟冰6字评价小米13系列:彻底脱胎换骨
- 小米13今日开售:3999元 手感比iPhone 14 Pro还好:今日快看
- 国产CPU单核性能持平11代酷睿和Zen3 已完成流片 世界短讯
- 要闻速递:Redmi K60或将12月发布:小米13 Pro都不是对手