由数据安全推进计划发起，全知科技深度参编的行业研究成果《汽车数据安全若干问题合规实践指南》已于日前正式发布。

在此契机下，2月24日，全知科技举办了“大全小知话数安——《汽车数据安全若干问题合规实践指南》解读”线上直播活动。全知科技数据安全咨询专家-宫昊针对汽车数据安全合规问题，从技术层面和管理层面深度剖析，为车企带来一些汽车数据安全合规体系建设的相关思考和建议。

一、《指南》相关解读

和别的行业不一样，汽车行业数据安全具有一定的差异性。汽车作为新型的智能终端，涉及的数据交互场景非常复杂：从供应、制造、销售到运营维护、出行服务等上下游产业链，都不可避免的收集和使用数据。

在车联网环境下，数据会在各个场景中频繁流动的过程中，覆盖数据量大、种类复杂，同时，也会涉及到数据协同访问涉及面广、承载形式多样的问题，汽车行业的数据安全问题相对于其他行业来说，很新，也很难解决。

在严峻的数据安全背景下，《汽车数据安全若干问题合规实践指南》依据国家法律法规和标准，针对汽车数据安全的重要合规内容，结合汽车行业特有场景，提出了若干合规实践建议，能够为车企提供具体落地指引。

• 汽车数据安全风险评估思路

汽车数据安全风险评估流程和其他行业的数据风险评估流程无异，流程上一共分为6个阶段，即：风险评估准备、风险要素识别、风险分析、风险评价、报告编写、风险处置。

而对于评估内容和评估方法来说就大有不同。对于数据风险评估来说，其最终的落脚点是数据，因此车企在做风险评估之前需要知道数据在哪，怎么找到数据以及找到和数据相关联的风险。

在车联网的业务场景里，无论是汽车端、设备端、用户端还是后端数据库，数据分散在各个端口，面临的数据风险无处不在 。如何快速找到落脚点的数据？以下3种风险评估思路可以参考。

• 以系统为单位，识别系统内的数据，关注不同系统之间数据流动情况，理清流动过程中的相关联风险
• 以数据级别为单位，以数据分级为基础，企业需要关注不同级别的数据在内部的分布情况及相关风险
• 以数据类别为单位，关注企业内部销售数据、财务数据、运营数据等不同分类数据的分布情况及其关联风险

针对汽车行业的风险评估内容，主要包括“数据生命周期”及“基础安全”两方面。数据生命周期安全是包括数据从采集、存储到销毁的整个全生命周期各个阶段安全；而基础安全则是数据治理工作的基础保障，涵盖范围广泛，包括“数据分类分级”、“权限管理”、“合作方管理”等6个模块。

三、汽车数据安全体系建设思路

围绕“让数据安全、有序、合规流动”的管理目标，结合实际的数据安全防护情况，数据安全治理能力划分为“组织建设、制度流程、技术工具”三个核心能力领域。

• 组织建设：建立多方协同的数据安全团队，并明确团队中各成员的管理职责

• 制度流程：制度上设定相关方法总则、管理策略及操作指南，规范数据行为

• 技术工具：平台能力支撑，形成事前监测、事中防御、事后审计完整技术体系

在落地数据安全体系建设方面，全知科技基于数据与风险视角，形成了一套完善有效的思路体系。首先需要结合企业现状，通过现状调研、风险分析，综合考量风险评估报告成果、合规环境、数字化业务发展目标，梳理企业核心需求。

其次，对齐企业目标要求，帮助企业绘制企业数据安全技术体系建设蓝图，构建企业数据安全建设路线规划和行动计划，明确企业资源投入，平衡业务发展和数据安全；同时，帮助企业拟定技术集成策略、明确落地职责分工，保证落地效果。

四、全知科技数据咨询服务落地实践

对于汽车企业来说，由于数据环境复杂、分布杂乱、量级庞大，数据的高频流动带来的数据风险异常严峻，远远超过了企业能够应对的范围。因此，需要专业的技术手段支撑现状调研和后续风险评估的开展。

全知科技是专精于数据安全领域的数据安全服务厂商，拥有领先的数据安全技术硬实力和服务软实力，旗下数据安全咨询服务与产品已在政务、金融、车联网、运营商、医疗等各个行业广泛应用。

结合行业和环境，全知科技能够为企业提供包括制度建设、体系规划、风险评估、专项评估、合规咨询、安全运营、分类分级、技术检测等在内的数据安全咨询和服务，为企业制定可切实落地的数据安全规划。