直播分享|关于“汽车数据安全合规体系“建设的一些思考和建议
作者: 日期:2023年02月28日 阅:2,762

由数据安全推进计划发起,全知科技深度参编的行业研究成果《汽车数据安全若干问题合规实践指南》已于日前正式发布。

在此契机下,2月24日,全知科技举办了“大全小知话数安——《汽车数据安全若干问题合规实践指南》解读”线上直播活动。全知科技数据安全咨询专家-宫昊针对汽车数据安全合规问题,从技术层面和管理层面深度剖析,为车企带来一些汽车数据安全合规体系建设的相关思考和建议。

一、《指南》相关解读

和别的行业不一样,汽车行业数据安全具有一定的差异性。汽车作为新型的智能终端,涉及的数据交互场景非常复杂:从供应、制造、销售到运营维护、出行服务等上下游产业链,都不可避免的收集和使用数据。

在车联网环境下,数据会在各个场景中频繁流动的过程中,覆盖数据量大、种类复杂,同时,也会涉及到数据协同访问涉及面广、承载形式多样的问题,汽车行业的数据安全问题相对于其他行业来说,很新,也很难解决。

在严峻的数据安全背景下,《汽车数据安全若干问题合规实践指南》依据国家法律法规和标准,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,提出了若干合规实践建议,能够为车企提供具体落地指引。

  • 汽车数据安全风险评估思路

汽车数据安全风险评估流程和其他行业的数据风险评估流程无异,流程上一共分为6个阶段,即:风险评估准备、风险要素识别、风险分析、风险评价、报告编写、风险处置。

而对于评估内容和评估方法来说就大有不同。对于数据风险评估来说,其最终的落脚点是数据,因此车企在做风险评估之前需要知道数据在哪,怎么找到数据以及找到和数据相关联的风险。

在车联网的业务场景里,无论是汽车端、设备端、用户端还是后端数据库,数据分散在各个端口,面临的数据风险无处不在 。如何快速找到落脚点的数据?以下3种风险评估思路可以参考。

  • 以系统为单位,识别系统内的数据,关注不同系统之间数据流动情况,理清流动过程中的相关联风险
  • 以数据级别为单位,以数据分级为基础,企业需要关注不同级别的数据在内部的分布情况及相关风险
  • 以数据类别为单位,关注企业内部销售数据、财务数据、运营数据等不同分类数据的分布情况及其关联风险

针对汽车行业的风险评估内容,主要包括“数据生命周期”及“基础安全”两方面。数据生命周期安全是包括数据从采集、存储到销毁的整个全生命周期各个阶段安全;而基础安全则是数据治理工作的基础保障,涵盖范围广泛,包括“数据分类分级”、“权限管理”、“合作方管理”等6个模块。

三、汽车数据安全体系建设思路

围绕“让数据安全、有序、合规流动”的管理目标,结合实际的数据安全防护情况,数据安全治理能力划分为“组织建设、制度流程、技术工具”三个核心能力领域。

  • 组织建设:建立多方协同的数据安全团队,并明确团队中各成员的管理职责
  • 制度流程:制度上设定相关方法总则、管理策略及操作指南,规范数据行为
  • 技术工具:平台能力支撑,形成事前监测、事中防御、事后审计完整技术体系

在落地数据安全体系建设方面,全知科技基于数据与风险视角,形成了一套完善有效的思路体系。首先需要结合企业现状,通过现状调研、风险分析,综合考量风险评估报告成果、合规环境、数字化业务发展目标,梳理企业核心需求。

其次,对齐企业目标要求,帮助企业绘制企业数据安全技术体系建设蓝图,构建企业数据安全建设路线规划和行动计划,明确企业资源投入,平衡业务发展和数据安全;同时,帮助企业拟定技术集成策略、明确落地职责分工,保证落地效果。

四、全知科技数据咨询服务落地实践

对于汽车企业来说,由于数据环境复杂、分布杂乱、量级庞大,数据的高频流动带来的数据风险异常严峻,远远超过了企业能够应对的范围。因此,需要专业的技术手段支撑现状调研和后续风险评估的开展。

全知科技是专精于数据安全领域的数据安全服务厂商,拥有领先的数据安全技术硬实力和服务软实力,旗下数据安全咨询服务与产品已在政务、金融、车联网、运营商、医疗等各个行业广泛应用。

结合行业和环境,全知科技能够为企业提供包括制度建设、体系规划、风险评估、专项评估、合规咨询、安全运营、分类分级、技术检测等在内的数据安全咨询和服务,为企业制定可切实落地的数据安全规划。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章