11月10日,佛山市网络安全和信息化协会(以下简称“协会”)举办“数据创造未来,合规创造价值”数字经济时代下企业数据合规网信沙龙,聚焦企业数据合规管理和数据安全防护等方面的热点话题,邀请了2位专业嘉宾和近30家企业共同探索新知、寻求更优的管理路径和方式。
数据合规创造价值,实战指南来助力
活动现场,协会会员、汇业律师事务所合伙人邓燕,以《数据合规管理实战指南:解析风险、优化成本、构建管理体系》为题,分析了数据合规的基本概念、梳理了中国数据保护法律框架以及从不同领域数据治理合规要点进行总结,帮助企业在理解数据合规的同时做好自身数据合规工作。
在数字经济时代背景下,数据资源已成为国力较量、企业竞争优势的重要衡量标准。而企业数据合规的重要性也在严格的监管环境下日益凸显。那么,什么是数据合规呢?邓燕解释道:“数据合规,即从数据的收集、储存、传输、使用到最后的消费,它的整个生命周期必须要符合法律法规对个人信息保护以及网络安全和数据安全的要求”。目前,需要遵守数据合规的行业与领域已遍及社会的方方面面,其中重点涉及的有通信、金融、政务、工业、医疗等行业。
然而数据合规需要成本,企业如何在合规成本与效益之间找到平衡点?邓燕分享了一些相关的经验,共分为四个步骤。
1.从业务出发进行数据盘点。从业务端出发,明确企业的业务及管理模块。
2. 梳理合规业务。结合企业的业务活动,明确要遵循的法律法规,梳理合规义务。
3.评估合规风险。针对企业的各个经营内容,分析违规风险,同时对违规风险进行评级。
4.制定风险控制措施。根据所评估的结果,匹配以相应的安全防护措施。
现场,邓燕也对中国的数据保护的整体法律框架进行了梳理和解读,包括《数据安全法》《网络安全法》《个人信息保护法》。对于从未系统化做过数据合规管理的企业,邓燕提醒首先关注这三部法律,并从中了解数据合规的相关基础法律知识,其次再进行整体的规划。
邓燕以工业数据、汽车数据、政务数据这三个领域为代表,结合具体的案例分析不同领域数据治理合规要点。其中,关于工业企业方面的数据和治理,需根据《工业和信息化领域数据安全管理办法(试行)》(以下简称《办法》)进行指引和规范。
在《办法》之下,各个省市也出台了符合各省市实际情况的数据安全管理措施,例如佛山市就出台了《佛山市工业企业网络安全分类分级建设指引》(以下简称《指引》),指引佛山企业制定更科学的网络安全政策。
邓燕指出:“分类分级是整个数据合规和数据保护的起点”。为了帮助企业制定合适的网络安全策略,构建相对完善的网络安全分类分级体系,协会还特别邀请了佛山市委网信办网络空间安全高级工程师杨乐为大家作《指引》的详细解读。
建设网络安全体系 ,《指引》来解答
“没有网络安全就没有国家安全”,杨乐指出网络安全的重要意义,结合国内外网络安全形势,以及多个网络安全事件,指出佛山工业企业网络安全目前存在三大痛点:一是企业网络安全意识有待提高,网络安全建设意愿不强;二是网络安全技术力量不足;三是存在不会建、不敢建、盲目建等问题。杨乐说,《指引》就是为了有效解决这些痛点。同时,他从以下三个方面进行逐一分析和作使用说明。
1.企业定级
《指引》中根据分类分级标准,从所属行业、企业规模以及应用互联网水平等维度,将企业网络安全等级分为一级、二级、三级,3个级别,企业在日常工作中可根据附件中的附录《信息安全风险自查表》进行自查和定级。
2.企业网络安全防护
《指引》依据不同的级别,制定了相对应的安全建设标准,技术防护级别与防护措施,企业可根据自身的级别对应的防护标准,开展网络安全建设。
3.企业网络安全体系的完善
《指引》根据企业构建自身的网络安全体系后,需要定期开展网络安全效果的评估及风险排查,使得企业的网络安全体系能持续、有效地发挥作用。
做完分类分级指引介绍之后,杨乐还给企业介绍了维护企业网络空间安全的拓展平台——佛山市态势感知平台。
双向互动 共同探讨
在交流互动环节,参会企业积极互动。如新明珠集团股份有限公司信息总监李继湛对本次网信沙龙讲解内容提出了疑问,即态势感知平台对于工业企业内部是可以构建在一起的吗?平台是否需要在企业内部安装一些软件,对数据安全是否有影响?
面对其疑问,杨乐给出了答案:“对于企业内部数据是否会受到平台影响,答案是否定的,平台会在公司软件终端安装相应的软件,对危险的报警数据进行采集,帮助企业及时发现攻击,进一步分析、管理和存储,从而起到防护的作用。”同时他强调,发现攻击是非常重要的一个环节,但想要切实做好企业网络安全分类分级工作,仅发现攻击是不够的,后期的防护以及完善的制度建设都是不可或缺的一环。
问题探讨
同时,在现场大家还一起探讨了数据出境的相关问题,邓燕、杨乐都发表了各自的见解。
邓燕指出,数据跨境两种方式,一种是把数据传输出去;另一种是数据存在境内、境外的接收方有权限进行到境内来访问。
杨乐提醒企业如果涉及数据跨境传输方面,注意传输量的问题,做好安全审查的工作后再进行传输。
持续发挥桥梁纽带作用
“这是一场十分精彩的知识盛宴。”协会秘书长唐物华说,相信通过今天的网信沙龙,在场的企业对如何在深挖企业数据价值的同时切实保障数据合规、数据安全的内容有了进一步的认识和了解。协会一直在组织开展这样的网络安全主题活动,为企业赋能,在党委政府和企业之间发挥桥梁和纽带作用,积极推动佛山网信事业的发展,欢迎大家积极参与,共同进步。