En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>審計合規(guī)> 數(shù)據(jù)合規(guī)管理已成剛需,企業(yè)如何更好應(yīng)對相關(guān)風(fēng)險與挑戰(zhàn)?

數(shù)據(jù)合規(guī)管理已成剛需,企業(yè)如何更好應(yīng)對相關(guān)風(fēng)險與挑戰(zhàn)?

文章

2022-07-05瀏覽次數(shù):384
文章來源:數(shù)說安全
京東到家某員工離職當(dāng)天將平臺系統(tǒng)代碼刪除;
A1 Hrvatska數(shù)據(jù)泄露事件影響約20萬客戶;
英偉達遭受黑客入侵致部分系統(tǒng)癱瘓;
谷歌因違法收集生物識別數(shù)據(jù)將賠償1億美元;
……
這些真實存在的安全事件,映射出企業(yè)數(shù)據(jù)合規(guī)和風(fēng)險治理能力的不足。在企業(yè)數(shù)據(jù)合規(guī)逐漸成為剛需的當(dāng)下,如何加強企業(yè)數(shù)據(jù)安全和個人隱私保護已經(jīng)成為關(guān)系個人權(quán)益、社會穩(wěn)定和國家安全的核心議題。
 
 

企業(yè)合規(guī)現(xiàn)狀和痛點

近年來,我國迎來了個人信息保護以及數(shù)據(jù)安全領(lǐng)域的兩部專屬立法:《中華人民共和國個人信息保護法》與《中華人民共和國數(shù)據(jù)安全法》。這兩部法律與“網(wǎng)安法”共同構(gòu)建了中國數(shù)據(jù)合規(guī)及隱私保護的基礎(chǔ)法律框架,對數(shù)據(jù)安全和個人信息保護提出了方向性和基礎(chǔ)性指引及監(jiān)管要求。
一方面是國家在數(shù)據(jù)安全、網(wǎng)絡(luò)安全、個人信息保護層面的監(jiān)管力度持續(xù)增強,一方面是頻頻出現(xiàn)的企業(yè)數(shù)據(jù)安全事件,加強企業(yè)合規(guī)管理已成為當(dāng)下企業(yè)發(fā)展的必要性、基礎(chǔ)性內(nèi)容。然而,通過對企業(yè)合規(guī)管理現(xiàn)狀的分析,我們發(fā)現(xiàn)企業(yè)在合規(guī)管理方面,往往存在以下難點、痛點問題。

錯綜復(fù)雜的數(shù)據(jù)如何分類分級?

個人信息合規(guī)監(jiān)管環(huán)境日益嚴格,企業(yè)如何應(yīng)對?

海量的數(shù)據(jù),如何識別并掌握數(shù)據(jù)的流向和分布?

與監(jiān)管、同行、合作方多渠道數(shù)據(jù)交換如何保證安全?

數(shù)據(jù)多層級、多系統(tǒng)、多角色的使用、提取中,如何確保整個業(yè)務(wù)敏感數(shù)據(jù)合規(guī)使用?

……

這些都是當(dāng)前企業(yè)數(shù)據(jù)安全和個人信息保護層面面臨的風(fēng)險和挑戰(zhàn)。
 
 

數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案

針對當(dāng)前企業(yè)數(shù)據(jù)安全和個人信息保護層面臨的風(fēng)險和挑戰(zhàn),派拉云身份管理平臺(簡稱SSO360)從數(shù)據(jù)主體、數(shù)據(jù)處理者兩方面進行考量,提供完整、閉環(huán)的數(shù)據(jù)安全和數(shù)據(jù)生命周期的全鏈路個人信息合規(guī)解決方案,滿足安全等級保護合規(guī)建設(shè),提升數(shù)據(jù)安全能力,保障數(shù)據(jù)在流通與融合過程中的“可用不可見”,實現(xiàn)數(shù)據(jù)價值的轉(zhuǎn)化和釋放,促進數(shù)據(jù)開發(fā)利用。


 

            ▲數(shù)據(jù)安全與信息合規(guī)產(chǎn)品體系

破局角度一:數(shù)據(jù)主體角度

1、同意授權(quán)管理 

企業(yè)可以通過個人信息主體同意授權(quán)管理平臺(CMP),解決在收集、使用或共享過程處理用戶數(shù)據(jù)的合法記錄和管理用戶同意授權(quán)問題,保證數(shù)據(jù)在不同階段的處理活動均給予“告知-同意”的原則。CMP涵蓋三大功能:
1. 收集用戶同意
用戶首次使用某一產(chǎn)品或產(chǎn)品下某一功能時,若涉及到用戶信息的收集,必須以彈窗或其他形式通知用戶該產(chǎn)品收集哪些數(shù)據(jù)、如何使用這些數(shù)據(jù)等信息。用戶可以選擇同意或拒絕。
授權(quán)通常包括兩種類型:
1)將個人信息授權(quán)給當(dāng)前產(chǎn)品;

2)將個人信息授權(quán)給第三方應(yīng)用或SDK(如當(dāng)前產(chǎn)品的服務(wù)提供方、當(dāng)前產(chǎn)品關(guān)聯(lián)方、合作方)


 

2. 同意記錄
征得用戶同意后,需保存用戶同意記錄。例如“誰同意(電子郵件、cookie、設(shè)備 ID) ,何時給予同意(時間戳), 用戶同意的內(nèi)容(使用個人數(shù)據(jù)的特定目的列表) ,是否以及何時撤回或更改同意”。企業(yè)可查看同意記錄的數(shù)據(jù)庫,也可導(dǎo)出記錄數(shù)據(jù)用于監(jiān)管機構(gòu)的安全審查。
3. 提供查看、撤銷授權(quán)入口
根據(jù)個人信息保護法規(guī)定,同意不是永久性的,用戶可以隨時撤回他們的同意。用戶應(yīng)該有權(quán)查看、撤銷授權(quán)。



 

2、個人信息主體權(quán)利管理

根據(jù)個人信息保護法規(guī)定,個人在信息處理活動中的享有:

a. 享有知情權(quán)、決定權(quán),有權(quán)限制或者拒絕他人對其個人信息進行處理

b. 個人有權(quán)向個人信息處理者查閱、復(fù)制其個人信息
c. 個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者,符合國家網(wǎng)信部門規(guī)定條件的,個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑
d. 個人發(fā)現(xiàn)其個人信息不準確或者不完整的,有權(quán)請求個人信息處理者更正、補充。
 


 

數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案圍繞個人信息保護法規(guī)定的個人信息主體權(quán)利,制定個人行權(quán)響應(yīng)與行權(quán)機制,滿足個人信息合規(guī)要求,維護個人信息主體權(quán)益。
 
破局角度二:數(shù)據(jù)處理者角度
數(shù)據(jù)生命周期覆蓋數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié),針對數(shù)據(jù)全生命周期的安全管理也是企業(yè)開展數(shù)據(jù)安全管理的核心工作。數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案從數(shù)據(jù)的“采、存、管、用”展開 ,提供從技術(shù)到產(chǎn)品,產(chǎn)品到流程的全流程數(shù)據(jù)安全管理解決方案,助力企業(yè)挖掘數(shù)據(jù)最大化價值。
1、數(shù)據(jù)收集—數(shù)據(jù)自動化發(fā)現(xiàn)、分類分級與標識
數(shù)據(jù)自動化分析、分類分級與標識是企業(yè)急需解決的數(shù)據(jù)安全需求之一。它打破了數(shù)據(jù)黑盒,幫助企業(yè)發(fā)現(xiàn)各類數(shù)據(jù),根據(jù)事先制定好的數(shù)據(jù)分類分級標準,通過自動化數(shù)據(jù)掃描和策略識別的方式進行數(shù)據(jù)分類,并打上相應(yīng)標識,實現(xiàn)數(shù)據(jù)分類分級保護,并有效降低了數(shù)據(jù)安全風(fēng)險和管控成本。
近些年來,金融行業(yè)、醫(yī)療行業(yè)、汽車行業(yè)等相繼發(fā)布了針對各行業(yè)數(shù)據(jù)分類分級的指導(dǎo)建議和法律法規(guī)。數(shù)據(jù)分級的標準不僅需考慮到數(shù)據(jù)共享、開放的類型、數(shù)據(jù)影響的范圍,還需考慮到行業(yè)法律法規(guī)等相關(guān)管理要求。此外,數(shù)據(jù)體量、時效性、數(shù)據(jù)脫敏處理等因素,也會影響數(shù)據(jù)安全級別的升高或降低。
數(shù)據(jù)分類分級后,生成數(shù)據(jù)分類分級報告和可視化圖表,即數(shù)據(jù)資產(chǎn)地圖。資產(chǎn)發(fā)現(xiàn)和分類分級的結(jié)果通過標準接口的方式,提供給安全產(chǎn)品和大數(shù)據(jù)給其他數(shù)據(jù)資源管理平臺,完成對數(shù)據(jù)資產(chǎn)的安全訪問和高效管理。
2、數(shù)據(jù)存儲—數(shù)據(jù)加密存儲

用戶數(shù)據(jù)存儲到數(shù)據(jù)庫中,如果不采取加密存儲等手段,那么只要有權(quán)限訪問數(shù)據(jù)庫的人,都能直接看到數(shù)據(jù)庫中所有數(shù)據(jù),包括重要的業(yè)務(wù)數(shù)據(jù)、用戶隱私數(shù)據(jù)。尤其是在中小型企業(yè)中,數(shù)據(jù)庫權(quán)限的管理基本是是由開發(fā)人員直接進行維護管理,數(shù)據(jù)安全性存在很大隱患。數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案基于用戶數(shù)據(jù)安全,以及合規(guī)性考量,采取AES、3DES、SM4方式對用戶敏感數(shù)據(jù)進行安全傳輸和存儲加密。比如用戶的登錄和注冊操作、數(shù)據(jù)返回前端、數(shù)據(jù)同步、以及接口調(diào)用、敏感數(shù)據(jù)加密傳輸?shù)取?/span>

 

 
 

3、細粒度數(shù)據(jù)訪問權(quán)限
企業(yè)應(yīng)根據(jù)業(yè)務(wù)實際情況和內(nèi)部管理要求,配備相關(guān)人員。并且,根據(jù)不同崗位權(quán)限和職能,對可接觸數(shù)據(jù)的人員角色進行分離,避免出現(xiàn)權(quán)責(zé)不清、責(zé)任不明等現(xiàn)象。權(quán)限的設(shè)置應(yīng)遵循符合業(yè)務(wù)安全需求和最小夠用原則。數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案基于RBAC、ABAC模型,明確數(shù)據(jù)操作權(quán)限,支持將數(shù)據(jù)操作權(quán)限分配給指定用戶/角色/崗位/第三方應(yīng)用,并對數(shù)據(jù)操作日志留存記錄,嚴格執(zhí)行內(nèi)部登記、審批制度。
4、數(shù)據(jù)安全審計&監(jiān)測預(yù)警

數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案通過日志采集和記錄,實現(xiàn)內(nèi)部員工關(guān)于數(shù)據(jù)的操作行為審計,從海量日志中抽取關(guān)鍵信息,并以用戶為維度將操作行為匯總建模,建立數(shù)據(jù)安全風(fēng)險監(jiān)測機制。對嚴重偏離模型的行為進行告警和發(fā)布,幫助管理員發(fā)現(xiàn)內(nèi)部泄密的威脅。
 

 

 

 

解決方案價值

1、滿足合規(guī)要求
隨著數(shù)據(jù)量的爆發(fā)性增長及數(shù)據(jù)處理場景的多元化,傳統(tǒng)人工識別隱私合規(guī)風(fēng)險的方式已無法滿足需求,數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案以自動化/智能化手段為組織展示隱私數(shù)據(jù)在組織內(nèi)部的全貌,幫助企業(yè)識別合規(guī)風(fēng)險,合法合規(guī)地處理數(shù)據(jù)。
2、保護數(shù)據(jù)安全
數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案從數(shù)據(jù)生命周期全鏈路出發(fā),助力企業(yè)在數(shù)據(jù)收集、存儲、權(quán)限管控、安全審計等方面做到數(shù)據(jù)的全方面保護,避免企業(yè)遭遇數(shù)據(jù)盜用、泄露等安全事件,確保隱私數(shù)據(jù)安全。
3、挖掘數(shù)據(jù)價值
在兼顧合規(guī)安全的前提下,數(shù)據(jù)安全與信息合規(guī)產(chǎn)品解決方案可幫助企業(yè)打通不同組織/企業(yè)間的數(shù)據(jù)壁壘,打破各應(yīng)用間的數(shù)據(jù)孤島現(xiàn)象,促進數(shù)據(jù)開發(fā)利用,挖掘數(shù)據(jù)價值,為企業(yè)提供數(shù)據(jù)決策支持。
 

結(jié)語

云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新一代信息技術(shù)群落的興起,數(shù)據(jù)成為關(guān)鍵生產(chǎn)要素的時代已然來臨。在企業(yè)數(shù)字化、數(shù)據(jù)化發(fā)展的同時,也要注意對于數(shù)據(jù)的合規(guī)處理以及個人信息的保護。這是國家法律法規(guī)下的明確要求,也是企業(yè)自身發(fā)展的趨勢使然,而對于企業(yè)合規(guī)的重視也將為企業(yè)提供發(fā)展的安全支撐以及更多數(shù)據(jù)價值的挖掘。
(本文作者:派拉軟件 李媛媛)