数据合规工作简述 - 挖洞的土拨鼠
2022-8-2 10:1:0 Author: www.cnblogs.com(查看原文) 阅读量:43 收藏

数据合规

最近数据安全和数据合规的领域非常火,薪资也是因为这岗位需求大而人才奇缺日益水涨船高,从国际大趋势来看,无论是中国、美国、欧盟甚至印度都在建设自己的数据安全和个人信息及隐私保护体系,所以说数据领域的安全与合规的未来一定是非常光明的,这一点毋容置疑。从概念来看,很多人都在疑虑之前的信息安全,后来的网络安全,再到网络空间安全,现在又是数据安全,到底那个大呢?谁包含谁呢?这恐怕是大家都在问的一个问题?从道理上来看,攻击渗透信息系统和网络空间,其目标就是针对目标方的数据进行窃取、破坏、改变等目的而进行的,所以说保护数据安全就是保护渗透攻击的核心目标的安全,做到数据合规就是做到核心保护目标的合规。因此说数据安全与合规应该是包含之前的网络空间安全及其合规工作的,正所谓你要保护一个人,怎么可能不保护他住的房子,他开的车子呢,网络空间就是承载数据进行各种活动的空间,保护目标安全,当然也要保护其外在空间的安全,数据要合规,那么其外在空间当然也要合规。从现实来看,企业在面临数据合规领域的严格监管和高额罚款下,数据安全与合规工作推动相对轻松顺利,企业内部阻力较小,原来的信息安全、网络安全工作也大有借机一并开展的趋势,甚至在有些传统企业,新建的团队就叫数据安全与合规团队,包含了原来信息安全部门的工作。

在这里我一般会将数据安全和数据合规定义为更大的概念,数据安全包含所谓的信息安全、网络安全、网络空间安全等概念,数据合规也包含这传统的安全合规的相关工作,例如等保、ISO27001等。从过去的经验看,安全工作的驱动走向是先合规后技术,传统安全走过这个过程,很多企业安全工作以前就是等保、ISO27000系列,所谓过关,过等保、过ISO27001等,而后在2010年前后WEB渗透火起来了,2016年前后随着国家级年度大型攻防实战演练的开展,内网渗透、域渗透也越来越火,企业的安全工作走过了先合规后技术的过程,安全产品和服务也从应付合规交差逐步发展到实战对抗高效。我预测未来数据领域的安全工作也会走过这一个过程,先合规后技术,目前已经有一些数据安全领域的攻防对抗了,例如加解密的对抗、联邦学习算法还原数据的对抗等,这些领域对数学、算法能力要求很高,此领域的的高学历高能力要求,导致大量以前的传统安全攻防技术人员无法转型。数据合规本身也是需要深厚法学背景,但依然是安全从业者可以把握住的一个好的赛道和机会。

数据合规的工作流程

数据合规一般分为法学和政府关系部分的工作,以及技术落地方向的工作,其中绝大多数企业目前还处于法学与政府关系工作阶段,我们下面分别来说说这两种主要包含的工作内容:

法学与政府关系工作部分:

  • 政策跟踪:这部分主要是打通与监管单位,立法单位的联系渠道,及时了解和把握立法动向,甚至参与到标准的制订当中,从而及时准确的获取监管立法的主要监管意图,和标准的技术要求,从而赢得充裕的合规治理时间。
  • 政策研读:这部分工作主要是组织法务部、信息安全部、合规部门等相关法务、合规、数据治理、数据安全等领域专家、律师、工程师对法律、法规、条例、规定、标准、指南等文件进行解读,并形成合规要求矩阵框架。
  • 合规评估:根据合规要求矩阵与技术人员一起根据企业现有情况进行合规评估,寻找不合规(待治理)项,对已合规项的存证工作进行审查,确认证据的法律效力。
  • 管理体系:结合合规矩阵要求,设计企业数据合规领域的管理体系,制订数据合规方针、各类要求、规定等文档。

技术落地工作部分:

  • 技术研究与方案:根据合规要求矩阵框架设计技术方案,突破技术落点重点难点,针对各类型的具体场景形成一套可落地可执行的合规技术方案,指南、操作手册及附属记录表等文档。
  • 技术实施:根据技术方案,针对各类应用、系统进行变更算法设计、存储传输技术改造、系统重构等各类技术治理手段。
  • 技术工具研发:根据合规方案的需求,研发相应的自动化合规工具,例如数据自动分级分类工具(打标签)、数据脱敏工具、水印工具等。
  • 技术存证:根据合规矩阵要求,进行合规证据存证,将日志、系统输出、其他电子或物理证据材料妥善存储。

这里特别强调存证是因为,在数据合规相关监管工作甚至应诉工作中,举证责任是倒置的,应有数据处理者或数据控制者自证清白。

合规流程图

近期数据合规相关及推荐参考的法律法规、条例、指南

非网络与智能领域的相关法律法规:

  • 《中华人民共和国民法典》(2020.5.20)
  • 《中华人民共和国刑法》(2017年修订)
  • 《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》(中央网信办 2018.11.15)
  • 《儿童个人信息网络保护规定》(国家互联网信息办公室 2019.6.1)
  • 《中华人民共和国密码法》(2019.10.26)
  • 《APP违法违规收集使用个人信息行为认定方法》(2019.11.28)
  • 《网络安全审查办法》(2020.4.13)
  • 《金融消费者权益保护实施办法》(2020.9.15)
  • 《网络安全交易监督管理办法》(2021.3.15)
  • 《常见类型移动互联网应用程序必要个人信息范�

文章来源: https://www.cnblogs.com/KevinGeorge/p/16541297.html
如有侵权请联系:admin#unsafe.sh