随着数字化经济发展,数据资产已成为我国第五大生产要素,其所带来的安全问题也不容忽视。为保障数据安全和个人隐私,规范各类数据处理活动,数据处理者可以通过检测评估、安全认证、合规审计等方式发现数据安全风险,提升自身数据安全保护能力。
图1 当前主要数据安全风险识别手段
数据安全风险评估主要围绕数据和数据处理活动,从数据的保密性、完整性和可用性,以及数据处理活动的合理性等方面掌握数据安全总体状况,识别可能存在的安全风险和隐患,并据此提出有效的防护对策和措施。
《数据安全法》第三十条提出“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”;《网络数据安全管理条例》第三十三条提出“重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关”。
数据安全风险评估实施流程主要包括评估准备、信息调研、风险识别、综合分析和评估总结五个阶段,如图2所示。
图2 数据安全风险评估实施流程
数据安全认证是指由专业技术验证机构基于客观的标准和程序,对认证对象的安全保护能力进行评估和认定,并为符合认证要求的对象颁发认证证书的机制。目前数据安全领域(含个人信息保护)已相继颁布数据安全管理认证、个人信息保护认证、移动互联网应用程序(App)安全认证等认证服务。
《网络安全法》第十七条提出“鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”,第二十六条提出“开展网络安全认证、检测、风险评估等活动”;《数据安全法》第十八条提出“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动”;《个人信息保护法》第六十二条提出“支持有关机构开展个人信息保护评估、认证工作”。
数据安全认证实施流程主要包括认证委托、技术验证、现场审核、认证结果评价和批准以及获证后监督等环节,如图3所示。
图3 数据安全认证实施流程
个人信息保护合规审计是指对个人信息处理者的个人信息处理活动是否符合个人信息保护相关法律法规、标准规范以及内部政策等要求进行审查和评估的活动。
《个人信息保护法》第五十四条提出“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”;《网络数据安全管理条例》第二十七条提出“网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计”;《个人信息保护合规审计管理办法》(征求意见稿)第四条提出“处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计”。
审计准备阶段包括建立审计组、编制审计计划和审计方案,并与被审计方沟通审计进度和安排;审计实施阶段指审计人员现场收集审计证据,并形成审计记录、审计底稿,确认审计发现;审计报告阶段指审计人员根据审计实施情况编制审计报告;问题整改与跟踪阶段是指被审计方对审计发现问题进行整改并持续跟踪,以确保整改措施有效执行。
图4 个人信息保护合规审计实施流程
综上所述,无论是开展数据安全风险评估、数据安全认证还是个人信息保护合规审计,都是发现数据安全和个人信息保护风险的重要手段,有助于提升数据处理者的数据安全保护能力和整体数据安全防护水平。
— 欢迎关注 往期回顾 —
——数据安全
——错与罚
