9月21日,由中国信息通信研究院指导,中国信息通信研究院安全研究所和《中国信息安全》杂志社主办,北京亿赛通科技发展有限责任公司承办的“数据安全合规研讨会”顺利召开。研讨会采取线上线下相结合的方式,线下参会嘉宾50余位,线上参会嘉宾近2000位。
本次数据安全合规研讨会中国信息通信研究院安全研究所副所长魏薇、《中国信息安全》杂志社社长位华、北京亿赛通科技发展有限责任公司总经理崔培升、华北电力大学能源电力大数据研究院院长李建彬,中国信息通信研究院安全研究所研究员秦博阳、中国信息通信研究院安全研究所研究员朴鸿国、中国信息通信研究院安全研究所研究员葛鑫、北京亿赛通科技发展有限责任公司高级总监宋春岭等多位业界权威专家围绕数据安全合规治理、实践成果分享、相关政策解读、数据出境安全、个人信息安全等方向深入探讨交流,开启了一场精彩纷呈的对话。中国信息通信研究院安全研究所数据安全事业部主任陈湉、北京亿赛通科技发展有限责任公司副总经理张磊出席会议。
在数字经济的新业务形态下,各类组织日常运营产生的数据越来越多,数据已经成为国民经济重要的生产要素,随着数字化转型和数据价值的提升,数据安全风险越来越高。去年《数据安全法》《个人信息保护法》的发布,各部门、各地区、各行业陆续推出政策文件,企业都面临着合规监管和安全风险双重压力。数据安全合规工作是企业的数据安全“深水区”,不仅要兼顾企业的商业发展,同时还将直接影响企业的商业价值,“合规创造价值”已然成为数据合规的工作重点。
《中国信息安全》杂志社社长位华
数据安全不可忽视的命题—数据合规
会议伊始,《中国信息安全》杂志社社长位华代表杂志社致辞。他表示国内数据安全已经进入强监管时代,企业面临合规压力。业务运营、敏感数据保护带来新的挑战。构建新形势下数据安全体系迫在眉睫,跨境保护、数据合规成新焦点,一系列组合拳下,我国数据安全治理正进入快车道。去年,数字经济规模达到45.5万亿,同时数据安全不容忽视,数据安全合规成为不可忽视的命题。
中国信息通信研究院安全研究所副所长魏薇
监管到位,守住安全底线
中国信息通信研究院安全研究所副所长魏薇在致辞中提到国家越来越重视数据安全工作,随着法律的颁布,国内对数据安全的重视上升到空前高度。习总书记强调要维护国家数据安全,保护个人信息和商业秘密,守住安全底线,把必须管住的重点管到位。我国数据安全顶层设计已经基本明确。各行各业、地区、领域的数据安全监管工作进入实施阶段。信通院致力于网络安全、数据安全方面的研究和实施,在支撑政府和服务行业方面,安全所积极开展工作。同时,牵头研制了数据安全标准,包括数据安全评估、分类分级、重要数据识别、数据安全体系建设等标准,开展电信和互联网行业标准贯标的工作,指导企业落地实践。
北京亿赛通科技发展有限责任公司总经理崔培升
数据安全合规治理建设是根本
北京亿赛通科技发展有限责任公司总经理崔培升在致辞中谈到在大数据、云计算、人工智能、5G、物联网蓬勃发展的数字经济时代,数据成为新型生产要素,而且由于其特殊属性已然成为社会发展倾力前行的“石油”。但数据要素对于其所有者、使用者来说是一柄双刃剑,它既是重要的信息,也是重要资产,对于数据信息泄露、违规使用以及数据资产流失都会造成不可承受的后果。国家近些年陆续出台法律法规,不断完善数据所有者和使用者权利,对数据合规做出明确指引,法律法规的细化对促进网络和数据安全合规建设提供了强有力保障。从数据安全角度来看,数据贯穿业务全生命周期,数据安全就是业务安全。
因此,在数据合规建设中,数据和人是两个重要元素。其中,数据层面,要对数据本身进行分类分级,合规治理,针对不同的数据采用不同技术手段来保证数据安全。人为层面,要建立数据安全意识,区分人的职责权限。利用技术手段对数据分类分级,使技术服务于制度,形成技术和制度不断迭代的正循环,建立全面综合数据安全管理能力。这也是亿赛通不断倡导 “分·放·管·服”数据安全建设理念的灵魂所在。
中国信息通信研究院安全研究所研究员秦博阳
国家政策新指引—数据出境安全
主题分享环节,首先由中国信息通信研究院安全研究所研究员秦博阳对《数据出境安全政策解读》展开探讨。她针对近期发布的一系列国家数据出境合规制度作出了解读,通过梳理数据出境相关法律、主管部门规定和标准,分析了重要数据出境安全评估、个人信息保护认证、个人信息出境标准合同、个人信息出境安全评估4条合规路径,并对数据出境合规工作提供了指导性建议。
华北电力大学能源电力大数据研究院院长李建彬
从学术研究视角看数据安全合规治理
华北电力大学能源电力大数据研究院院长李建彬表示合规不仅是数据安全,在企业运营中,合规始终是正常运营的底线和保障,是企业运营的有机部分。法律体系三法一条例的完善对国家网络空间安全治理提供了准则,使得个人在网络安全中有法可依。数据作为生产要素是数字经济的核心资料,是推动数字经济发展的核心要素。数据安全防护日益重要,但同时也存在很多问题。从运营层面看,业务动态变化下按需管控的运营机制尚不健全,技术角度来说,单点安全防护能力无法有效应对复杂数据流动风险,管理层缺乏一致性的合规治理手段。数据安全合规治理体系框架以内部或准内部人员为主要安全管控对象,平衡业务需求与安全风险;以分级分类为基础,以数据合理、安全流动为目标,以数据使用过程的安全管理和技术支撑为手段,对数据安全产品的技术应用和管理流程进行深度整合,在保障数据安全的前提下,实现数据开放共享。
中国信息通信研究院安全研究所研究员朴鸿国
构建数据安全生态共同体,数据安全合规体系建设专项行动计划
中国信息通信研究院安全研究所研究员朴鸿国以《数据安全法》的解读为切入点,详细介绍了《数据安全法解读和数据安全合规体系建设专项行动介绍》。他提出,虽然在《数据安全法》中,数据定义的范围是宽泛的,但是在实际的数据保护工作过程中,要综合考虑经费和人员投入等因素,通过分类分级来明确需要重点投入保护工作的那部分数据,从而充分利用资源,实现更为合理、有效的合规落地工作。对于已经做了数据分类分级工作的企业而言,在衔接《数据安全法》中的一般、重要、核心数据分级要求时,首先需要根据各部门、各行业、各领域即将出台的重要数据具体目录结合已有的数据资产清单识别出重要数据,在按照重要数据监管要求进行单独保护,除重要数据外的一般数据还是可以使用企业原有的分级策略,如企业自身合法权益、商业秘密、业务重要性等方面考虑,进行更细化的差异化管控,实现资源投入、业务发展、合规落地三者的平衡。
北京亿赛通科技发展有限责任公司高级总监宋春岭
数据安全必不可少的一步:数据安全合规建设
北京亿赛通科技发展有限责任公司高级总监宋春岭从厂商视角对数据安全合规的建设思路做了梳理,据IBM Security发布的《2021年数据泄露成本报告》显示,2021年全球数据泄露的平均总成本达到了424万美元,数据安全问题影响范围逐渐扩大。企业在新数字经济时代下,面临了全新的挑战,如:IT环境复杂、数据交互多、合规监管严、敏感数据分散、综合窃密手段层出不穷等,亟需体系化的数据安全技术框架来应对数据安全新挑战。亿赛通潜心研究的数据安全合规治理体系,总结出一个中心、四个领域、五个阶段,即以数据安全为中心,从组织建设、制度流程、技术工具、人员能力入手,分业务梳理、分类分级、策略制定、技术管控、优化改进五个阶段。从技术栈构建纵深防御,实现攻防兼备、网数一体。同时,亿赛通公司在数据安全合规建设中,不仅提供全面的安全解决方案,并面向规模企业免费推出“重要数据识别计划”,帮助企业进行数据扫描识别、分类分级、血缘分析、追踪溯源、态势服务,助力企业数据合规。
中国信息通信研究院安全研究所研究员葛鑫
个人信息保护影响评估制度解读及实践指引
中国信息通信研究院安全研究所研究员葛鑫对《个人信息保护影响评估制度解读及实践指引》 提出个人的见解。参照欧盟GDPR标准要求和实施细则,对我国个人信息保护影响评估制度进行了解读。她提出,我国个人信息保护评估制度的最终目标在于考核企业个人信息保护安全措施的有效性。对于个人而言,个人信息保护影响评估是确保个人在大数据时代的个人权利和自由的保障。对于企业或组织而言,个人评估具有建立合规、证明合规、预防损失、增进透明度等多重价值。
航天开元科技有限公司毕志华
在会议的开放讨论环节,部分与会嘉宾分享了自己企业在数据安全合规、重要数据识别、商业秘密保护三方面的问题与挑战,针对数据安全合规,来自航天开元科技有限公司毕志华提出数据安全在未来是重要的一环,需要国家政策法规的支持。信通院研究员朴鸿国表示数据安全的落地需要明确目标和范围,从业务角度做到定性,根据制度梳理合规文件和评估要点。
中国外运股份有限公司陈非
中国外运股份有限公司陈非提出数据安全主要存在三个层面挑战,国家层面符合国家相关规定,客户层面数据安全需求明确,自身层面是能力的提升。亿赛通高级总监宋春岭认为重要数据识别对技术积累有要求,企业数据繁多,涉及范围广,不同场景识别需要多个产品结合梳理,完成识别后才能进行防护。
中国水利水电科学研究院何耘
中国水利水电科学研究院何耘提出,商业秘密保护多数存在数据跨专业、跨业务的界定存在困难问题,需要实操性措施,针对能源行业而言难度较大。但是商业秘密保护最主要为识别,企业内部秘密数据,通过网络、终端的扫描识别达到建立数据资产全生命周期保护。
本次数据安全合规研讨会围绕新形势下数据安全合规体系建设,对数据安全监管制度进行深度剖析,并围绕重要数据识别、个人信息保护、数据出境、商业秘密保护等热点问题展开热烈探讨,针对金融、电信、物流等行业特点和用户需求,探讨体系化、可落地的数据安全合规治理解决方案。
作为本次研讨会的承办单位,北京亿赛通科技发展有限责任公司将继续依托“数据安全共同体推进计划”等与业界各类组织围绕数据安全政策、标准、技术、人才培养、产业发展等方面开展广泛深入的交流与合作,共同为国家安全体系建设助力、共同推进数据安全产业蓬勃发展。