“DPO需要幫助企業(yè)建設完整的數(shù)據(jù)安全技術體系、數(shù)據(jù)安全管理體系以及運營體系,才能在長期范圍內用更少的成本做到業(yè)務風險可控?!?/p>
StartDT Research Center,《DPO數(shù)據(jù)安全白皮書》
DPO,即Data Protection Officer,中文通譯為數(shù)據(jù)保護官。
【資料圖】
這個職位的設定最早來源于GDPR(《(歐盟)通用數(shù)據(jù)保護條例》)——要求企業(yè)必須設置數(shù)據(jù)安全責任人。在中國的《個人信息保護法》(下文簡稱PIPL)中,亦有類似規(guī)定。
出于對隱私保護、信息保護的重視,也有企業(yè)設置了DPO同類項職位,例如數(shù)據(jù)隱私官(Data Privacy Officer,同樣簡稱DPO)、首席信息安全官(Chief Information/Security Officer,簡稱CISO)等等。
為什么說DPO這個職位“挑戰(zhàn)重重”?
DPO如何開展工作?
如何建立高效的數(shù)據(jù)安全治理方針?
本文試從DPO視角呈現(xiàn)一二。
DPO面臨的挑戰(zhàn):既要、又要、還要
創(chuàng)建一個企業(yè)級的數(shù)據(jù)安全和隱私保護體系,并保持其有效運轉,以保障數(shù)據(jù)資產(chǎn)的全鏈安全及業(yè)務的合規(guī)增長,是DPO最核心的職責。
簡而言之,既要合規(guī),又要安全,還要生意。
因此,在DPO的日常工作中,必須與多方通力協(xié)作,來應對綜合性的挑戰(zhàn):
首先,滿足合規(guī)需求、規(guī)避經(jīng)營風險,這是企業(yè)順利開展業(yè)務的基線要求。從法律法規(guī)出發(fā),DPO需與法務、律所等專業(yè)人員來探討并制定合規(guī)策略。
其二,找到安全投入與生意的動態(tài)平衡。一方面,確保安全合規(guī)的動作不影響業(yè)務正常進行,另一方面,也要控制成本,避免過度投入對企業(yè)經(jīng)營造成的負擔。在這個層面,DPO需與業(yè)務部門保持緊密溝通,讓安全合規(guī)深入業(yè)務場景。
其三,實現(xiàn)數(shù)據(jù)安全的技術落地。DPO需與數(shù)據(jù)安全工程師及數(shù)據(jù)安全供應商協(xié)同,建立數(shù)據(jù)安全技術策略,從產(chǎn)品、架構等多維度落地實踐。
如果說DPO是企業(yè)的數(shù)據(jù)安全首要責任人,“數(shù)據(jù)安全合規(guī)”這個命題則值得企業(yè)每個環(huán)節(jié)、每個部門及企業(yè)的合作伙伴、相關服務商關注。
DPO開展工作三要素:管理、技術、基礎
拆解DPO極具綜合性和復雜度的工作,大致可以從管理、技術、基礎三大要素來規(guī)劃:
管理要素
包括但不限于隱私政策的設置(從文本擬定到功能實現(xiàn))、經(jīng)營備案與安全認證、企業(yè)安全管理制度等。旨在從管理層面滿足數(shù)據(jù)相關法律法規(guī)要求。
技術要素
主要有2個維度,其一,從技術上保障用戶(自然人)的權利,確保個人數(shù)據(jù)得到合法合規(guī)的處理,包括執(zhí)行同意追蹤、被遺忘權、拒絕權等;其二,從技術上守護數(shù)據(jù)資產(chǎn)安全,保護數(shù)據(jù)免受未經(jīng)授權的訪問和操作,例如身份驗證、訪問控制、安全傳輸、靜態(tài)加密等。
基礎要素
基礎設施的安全不僅包括IaaS層(云基礎設施),也包括數(shù)據(jù)平臺層(數(shù)據(jù)基礎設施)。前者由云廠商來保障,后者則通常由企業(yè)自有的平臺團隊保障。其中,存算安全、災備等都是不可忽視的。
從上圖我們可以發(fā)現(xiàn),DPO向內需要數(shù)據(jù)全生命周期所涉部門的密切配合,從組織流程、管理制度等層面保障落地;向外,則需視所處階段,尋求不同的支持,例如律師、咨詢顧問、數(shù)據(jù)安全專家,及安全合規(guī)的數(shù)據(jù)產(chǎn)品和云基礎設施。
只有當管理、技術、基礎三要素均得到滿足,一家企業(yè)方能被認可為真正意義上的數(shù)據(jù)安全合規(guī)——側面也說明,這家企業(yè)大概率有一位非常稱職的DPO。
寫給DPO的數(shù)據(jù)安全治理方法論
開展數(shù)據(jù)安全治理,是企業(yè)數(shù)據(jù)安全合規(guī)可持續(xù)的基礎,也是DPO諸多工作中的重大工程。
綜合DSMM(國標數(shù)據(jù)安全能力成熟度模型)等評估要求,及StartDT奇點云的客戶實踐,數(shù)據(jù)安全治理大致可分為3個階段:戰(zhàn)略引領;藍圖設計;路徑規(guī)劃與實施。
1)戰(zhàn)略引領
Gartner強調,正確的起點是從需求調研開始,“千萬不要跨過數(shù)據(jù)摸底、治理優(yōu)先級分析、制定治理整體策略等層級,直接從技術工具層面啟動安全治理”。
追溯企業(yè)的數(shù)據(jù)安全合規(guī)訴求,通常有2類:
· 僅為滿足監(jiān)管合規(guī)要求而啟動數(shù)據(jù)安全治理。這類企業(yè)需拆解監(jiān)管合規(guī)的條件,將現(xiàn)狀與要求一一比對,識別數(shù)據(jù)安全治理體系和數(shù)據(jù)安全技術使用上的差距,建立針對性的安全合規(guī)策略。
· 另一類企業(yè)傾向于建立更為長遠、可持續(xù)的數(shù)據(jù)安全戰(zhàn)略,則還需要理解業(yè)務和數(shù)據(jù)戰(zhàn)略,對風險容忍度進行評估,從而為平衡業(yè)務與數(shù)據(jù)安全投入提供依據(jù)。
藍圖設計
藍圖設計階段最為關鍵的步驟是“數(shù)據(jù)分級分類”。企業(yè)需明確數(shù)據(jù)分級分類的原則和標準,例如在所屬行業(yè),通常哪些數(shù)據(jù)被視為重要數(shù)據(jù),數(shù)據(jù)需要分為三級或五級。進一步,梳理企業(yè)數(shù)據(jù)資產(chǎn)清單,并對重要數(shù)據(jù)進行標識和管理。在金融、汽車等行業(yè),還需基于盤點和監(jiān)管要求,形成報送清單。
路徑規(guī)劃與實施
從戰(zhàn)略到藍圖,最終,數(shù)據(jù)安全治理需要有效的實施落地。簡化來看,共有4個步驟:
① 梳理全盤數(shù)據(jù)資產(chǎn),繪制“數(shù)據(jù)地圖”。進一步,明確里程碑,本著高效原則,優(yōu)先開展重要數(shù)據(jù)的安全治理工作。
② 制定安全策略。
③ 安全工具/技術選型。數(shù)據(jù)結構和形態(tài)會在數(shù)據(jù)生命周期中不斷變化,因此,通常需要結合多種安全工具和技術,來支撐安全策略的實施。
④ 從計劃、實施、檢查到處理,循環(huán)改進。
數(shù)據(jù)安全是什么?
是以數(shù)據(jù)為中心的安全。
是從采集、傳輸、存儲、處理到共享、銷毀,覆蓋數(shù)據(jù)全生命周期的安全。
是數(shù)據(jù)的隨身保鏢,數(shù)據(jù)流到哪里,安全就覆蓋到哪里。
是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
是大數(shù)據(jù)時代值得國家、企業(yè)和個體關注的安全。
從成立的第一天起,奇點云和GrowingIO就強烈主張企業(yè)要關注數(shù)據(jù)安全,并通過產(chǎn)品、組織等多層面投入和落地。我們認為,只有數(shù)據(jù)安全合規(guī),數(shù)據(jù)才可能得到合理的使用與有效的分享,數(shù)據(jù)資產(chǎn)方能激發(fā)出更大的價值。
因此,我們將更多對企業(yè)級數(shù)據(jù)安全合規(guī)體系的解讀與實踐寫入了《DPO數(shù)據(jù)安全白皮書》,希望能為DPO們與關注數(shù)據(jù)安全合規(guī)的業(yè)界伙伴提供參考。