這本寫給DPO的白皮書終于來了！解讀企業級數據安全合規體系

“DPO需要幫助企業建設完整的數據安全技術體系、數據安全管理體系以及運營體系，才能在長期范圍內用更少的成本做到業務風險可控。”

StartDT Research Center，《DPO數據安全白皮書》

DPO，即Data Protection Officer，中文通譯為數據保護官。

【資料圖】

這個職位的設定最早來源于GDPR（《（歐盟）通用數據保護條例》）——要求企業必須設置數據安全責任人。在中國的《個人信息保護法》（下文簡稱PIPL）中，亦有類似規定。

出于對隱私保護、信息保護的重視，也有企業設置了DPO同類項職位，例如數據隱私官（Data Privacy Officer，同樣簡稱DPO）、首席信息安全官（Chief Information/Security Officer，簡稱CISO）等等。

為什么說DPO這個職位“挑戰重重”？

DPO如何開展工作？

如何建立高效的數據安全治理方針？

本文試從DPO視角呈現一二。

DPO面臨的挑戰：既要、又要、還要

創建一個企業級的數據安全和隱私保護體系，并保持其有效運轉，以保障數據資產的全鏈安全及業務的合規增長，是DPO最核心的職責。

簡而言之，既要合規，又要安全，還要生意。

因此，在DPO的日常工作中，必須與多方通力協作，來應對綜合性的挑戰：

首先，滿足合規需求、規避經營風險，這是企業順利開展業務的基線要求。從法律法規出發，DPO需與法務、律所等專業人員來探討并制定合規策略。

其二，找到安全投入與生意的動態平衡。一方面，確保安全合規的動作不影響業務正常進行，另一方面，也要控制成本，避免過度投入對企業經營造成的負擔。在這個層面，DPO需與業務部門保持緊密溝通，讓安全合規深入業務場景。

其三，實現數據安全的技術落地。DPO需與數據安全工程師及數據安全供應商協同，建立數據安全技術策略，從產品、架構等多維度落地實踐。

如果說DPO是企業的數據安全首要責任人，“數據安全合規”這個命題則值得企業每個環節、每個部門及企業的合作伙伴、相關服務商關注。

DPO開展工作三要素：管理、技術、基礎

拆解DPO極具綜合性和復雜度的工作，大致可以從管理、技術、基礎三大要素來規劃：

管理要素

包括但不限于隱私政策的設置（從文本擬定到功能實現）、經營備案與安全認證、企業安全管理制度等。旨在從管理層面滿足數據相關法律法規要求。

技術要素

主要有2個維度，其一，從技術上保障用戶（自然人）的權利，確保個人數據得到合法合規的處理，包括執行同意追蹤、被遺忘權、拒絕權等；其二，從技術上守護數據資產安全，保護數據免受未經授權的訪問和操作，例如身份驗證、訪問控制、安全傳輸、靜態加密等。

基礎要素

基礎設施的安全不僅包括IaaS層（云基礎設施），也包括數據平臺層（數據基礎設施）。前者由云廠商來保障，后者則通常由企業自有的平臺團隊保障。其中，存算安全、災備等都是不可忽視的。

從上圖我們可以發現，DPO向內需要數據全生命周期所涉部門的密切配合，從組織流程、管理制度等層面保障落地；向外，則需視所處階段，尋求不同的支持，例如律師、咨詢顧問、數據安全專家，及安全合規的數據產品和云基礎設施。

只有當管理、技術、基礎三要素均得到滿足，一家企業方能被認可為真正意義上的數據安全合規——側面也說明，這家企業大概率有一位非常稱職的DPO。

寫給DPO的數據安全治理方法論

開展數據安全治理，是企業數據安全合規可持續的基礎，也是DPO諸多工作中的重大工程。

綜合DSMM（國標數據安全能力成熟度模型）等評估要求，及StartDT奇點云的客戶實踐，數據安全治理大致可分為3個階段：戰略引領；藍圖設計；路徑規劃與實施。

1）戰略引領

Gartner強調，正確的起點是從需求調研開始，“千萬不要跨過數據摸底、治理優先級分析、制定治理整體策略等層級，直接從技術工具層面啟動安全治理”。

追溯企業的數據安全合規訴求，通常有2類：

· 僅為滿足監管合規要求而啟動數據安全治理。這類企業需拆解監管合規的條件，將現狀與要求一一比對，識別數據安全治理體系和數據安全技術使用上的差距，建立針對性的安全合規策略。

· 另一類企業傾向于建立更為長遠、可持續的數據安全戰略，則還需要理解業務和數據戰略，對風險容忍度進行評估，從而為平衡業務與數據安全投入提供依據。

藍圖設計

藍圖設計階段最為關鍵的步驟是“數據分級分類”。企業需明確數據分級分類的原則和標準，例如在所屬行業，通常哪些數據被視為重要數據，數據需要分為三級或五級。進一步，梳理企業數據資產清單，并對重要數據進行標識和管理。在金融、汽車等行業，還需基于盤點和監管要求，形成報送清單。

路徑規劃與實施

從戰略到藍圖，最終，數據安全治理需要有效的實施落地。簡化來看，共有4個步驟：

① 梳理全盤數據資產，繪制“數據地圖”。進一步，明確里程碑，本著高效原則，優先開展重要數據的安全治理工作。

② 制定安全策略。

③ 安全工具/技術選型。數據結構和形態會在數據生命周期中不斷變化，因此，通常需要結合多種安全工具和技術，來支撐安全策略的實施。

④ 從計劃、實施、檢查到處理，循環改進。

數據安全是什么？

是以數據為中心的安全。

是從采集、傳輸、存儲、處理到共享、銷毀，覆蓋數據全生命周期的安全。

是數據的隨身保鏢，數據流到哪里，安全就覆蓋到哪里。

是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

是大數據時代值得國家、企業和個體關注的安全。

從成立的第一天起，奇點云和GrowingIO就強烈主張企業要關注數據安全，并通過產品、組織等多層面投入和落地。我們認為，只有數據安全合規，數據才可能得到合理的使用與有效的分享，數據資產方能激發出更大的價值。

因此，我們將更多對企業級數據安全合規體系的解讀與實踐寫入了《DPO數據安全白皮書》，希望能為DPO們與關注數據安全合規的業界伙伴提供參考。

推薦DIY文章

解決macOS High Sierra無法正常安裝的問題 讓升級安裝一次成功-天天快看

Maya2014中文版安裝破解教程發布 注意安裝時千萬不要斷網-每日快訊

大白菜U盤啟動盤制作工具使用圖文教程 真正的硬盤識別全能王來了-每日消息

AE模板源文件中的文字該怎么修改?本篇教程將講解出經驗重點-當前最新

聯想筆記本怎么使用電池修復校正延長電池壽命?教你使用聯想電池管理軟件進行電池維護

讓dell筆記本電池智能保養 電池壽命延長功能該怎么使用最好-全球新資訊