专业研究
企业数据合规体检要点之四:内部安全管理措施
发布时间:
2024-09-05
作者:
陈嘉伟 张功俐
来源:
至融至泽
企业数据合规体检专题系面向企业内部人员提供开展数据合规核查及整改工作的指引,本专题总结了企业开展数据合规体检工作的十大要点,希望帮助企业内部人员了解数据合规工作所包含的具体内容,通俗而言,即数据合规工作到底需要做什么以及需要做到什么程度。
本篇系本专题第四篇,继第三篇关于企业内部数据合规管理制度建设基础上,本篇主要介绍企业需采取的各项安全管理措施,并就实操中企业较为关注的定期安全教育培训、数据分类分级和个人信息保护影响评估工作的重点和难点进行解析。
一、安全管理措施概览
我们结合法律法规要求以及行业实践情况,对企业需落实的重点内部安全管理措施汇总如下:
二、定期安全教育培训
《数据安全法》、《个人信息保护法》均对企业组织开展相关安全教育培训工作有所要求,实操中,也发生过企业因未组织开展安全教育培训等而被监管处罚的案例。因此,企业应当对定期组织开展安全教育培训工作提高重视。
关于定期安全教育培训的频率,当前法律法规并无明确的强制性规定,实践中,大多企业一般每年至少开展一次安全教育培训工作。此外,实操中部分企业也会在新员工入职时组织面向新员工的安全教育培训。培训内容一般包括法律法规、标准规范、内部管理制度和工作要求、知识技能、信息安全保护意识等。
部分地区、行业可能对培训时间有进一步要求,例如根据《北京地区电信领域数据安全管理实施细则》第十五条规定,电信领域数据处理者应定期组织开展内部数据安全教育培训,培训对象覆盖数据安全岗位人员,年度培训时长不小于30学时,电信领域重要数据和核心数据处理者还应针对处理重要数据和核心数据的重点岗位人员定期开展教育培训,年度培训时长不少于45学时。因此,企业在制定年度培训计划时,应当关注该等地方性、行业性要求。
此外,企业在开展安全教育培训工作时,应注意留痕,例如留存培训现场照片或者参加培训的人员签到记录等以作为合规佐证。
三、数据分类分级
数据分类分级的核心目的是建立数据全生命周期管理机制,针对不同类别、级别的数据,制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体防护要求和操作规程。当前实操中,企业在开展数据分类分级工作时普遍面临一定的困难。一则数据分类分级工作本身较为复杂,底层数据的梳理、打标等各项工作都较为耗时耗力,特别是对于数据量大、业务场景较为复杂的企业而言,需投入较大的工作量。二则数据分类分级工作是一个动态更新的过程,企业需持续投入,且通常数据分类分级工作需企业内部多个部门协同参与,也较为考验企业的组织管理能力。
2024年3月发布的国家标准《数据安全技术 数据分类分级规则》(GB/T 43697-2024)详细规定了数据分类分级的规则和流程等,可为各数据处理者开展数据分类分级工作提供指导。除该规定外,其他可参考的数据分类分级规则主要包括《网络安全标准实践指南——网络数据分类分级指引》(TC260-PG-20212A)、《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号)、《基础电信企业数据分类分级方法》(YD/T3813-2020)、《个人金融信息保护技术规范》(JR/T 0171—2020)、《金融数据安全 数据安全分级指南》(JR/T 0197—2020)、《证券期货业数据分类分级指引》(JR/T 0158— 2018)、《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)等。
结合《数据安全技术 数据分类分级规则》的要求,我们对数据分类分级的工作流程梳理如下:
从实操角度,建议企业在开展数据分类分级工作时,首先需明确内部牵头部门,以统筹不同部门之间协调分工推进。如果企业内部数据、业务场景较为复杂,也建议考虑先从部分场景或实体出发进行分类分级工作,积累相关经验,之后再逐步扩展合并其他场景、实体的数据分类分级情况。
四、个人信息保护影响评估(PIA)
《个人信息保护法》第五十五条和第五十六条规定了个人信息保护影响评估工作的相关要求。涉及处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息或其他对个人权益有重大影响的个人信息处理活动时,企业应当事前进行个人信息保护影响评估,留存个人信息保护影响评估报告。
当前实操中企业开展个人信息保护影响评估工作面临的难点包括:
1、业务实际中难以精准控制PIA工作流程的发起。
虽《个人信息保护法》规定了触发PIA的情形,但在业务实际当中,PIA的发起很大程度上依赖于业务一线人员能否精准识别触发情形、是否主动发起PIA工作流程,这也造成难免有可能遗漏进行PIA工作的情况。特别是针对个人信息处理活动链路复杂、业务场景丰富、数据合作方多元的相关企业,确保能够准确识别并且发起PIA流程则更加困难。
2、《信息安全技术 个人信息安全影响评估指南》规定的评估流程较为复杂,可操作性不强。
当前实践中,不少企业系参考国家标准《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)开展个人信息保护影响评估工作,但该指南规定的评估流程相对复杂,完全按照该指南要求开展个人信息保护影响评估工作,将给企业带来较大负担。
3、评估报告内容缺乏明确指引和参考。
《个人信息保护法》规定企业开展个人信息保护影响评估工作需留存个人信息保护影响评估报告至少三年,但并未明确规定评论报告应当包括的具体内容。因此,对于如何撰写评估报告、应当包括哪些内容、是否满足合规要求,不少企业也存在一定困惑。
总体而言,对于PIA应该怎么做,要做到什么程度,当前并没有一个比较清晰的标准。针对上述实操中的难点,结合实践经验,我们总结了以下开展个人信息保护影响评估的建议供各企业参考:
1、指定牵头部门负责PIA工作。确定牵头部门后,在实际工作中,可通过工单加签等形式纳入其他相关部门参与评估,如可考虑由法务合规部门牵头、安全部门协同开展评估工作。
2、开展预评估工作。对企业内部可能触发PIA的业务、场景进行摸底,以便在后续工作中,重点关注该等业务、场景,避免遗漏进行PIA。
3、将PIA工作嵌入企业内部流程。通过工单等形式,设置流程卡点,将PIA流程纳入业务审批流中,对于部分较为简单的场景,可直接通过线上完成PIA工作。部分较为复杂的业务场景,可通过线下访谈、测试、检查、联合评审等方式进行PIA。
4、PIA报告的详简程度可根据具体评估情况而定。对于PIA报告,如果是线上完成的,可考虑通过在线模板直接生成PIA报告的内容,减少工作量。对于较为复杂/重要的业务场景,可考虑起草形成专门的PIA报告进行留存。
关于PIA报告的内容,《信息安全技术 个人信息安全影响评估指南》第5.7条规定了评估报告的内容通常包括:个人信息保护专员的审批页面、评估报告适用范围、实施评估及撰写报告的人员信息、参考的法律、法规和标准、个人信息影响评估对象(明确涉及的个人敏感信息)、评估内容、涉及的相关方等,以及个人权益影响分析结果,安全保护措施分析结果、安全事件发生的可能性分析结果、风险判定的准则、合规性分析结果、风险分析过程及结果、风险处置建议等。该指南规定的评估报告内容相对完善,但并非强制性规定,实操中评估报告的详简程度建议根据具体评估情况而定,但一般建议至少包括:评估时间、评估组织和人员、评估业务场景和个人信息处理情况介绍、评估结论(个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应)。
企业必须采取一系列内部安全管理措施,以确保数据的完整性、可用性和保密性,同时满足日益严格的数据保护法规要求。内部安全管理措施和企业数据合规制度体系建设相辅相成,一定程度上实施内部安全管理措施也是在落实企业内部制度的要求。另一方面,企业数据合规制度,安全管理措施的施行也离不开技术措施的保障。在本专题第五篇文章中,我们将继续给大家解析企业数据合规内部技术措施保障,敬请期待。
相关推荐
