《暂行规定》的出台,为企业开展数据资产化实践,参与数据要素市场流通,踩下了“加速键”。Gartner认为,正式的数据会计实践,具体来说,衡量数据的价值是大多数客户实现其可用数据资产的潜在利益的重要一步。基于《暂行规定》的发布,企业需要做出哪些改变呢?
一、法律法规解读
二、数据分类分级
企业开展数据资产管理经营之前,应先进行涉及数据要素的数据分级分类。《数据安全法》、《个人信息保护法》等法律法规都对数据分级分类提出了明确要求,数据资产涉及多种数据类型和标签属性,当识别数据隶属于本行业发布的核心数据、重要数据目录、或已有明确的核心数据、重要数据识别规则时,应按照监管已发布的数据目录或规则,可以将该类数据分类标签化处理为一般数据、重要数据、核心数据等,经营性企业一般不会拥有影响国家安全和社会稳定的核心数据类型。
当数据资产涉及的各类数据在收集、聚合、处理和流通等应用场景时,企业应建立数据台账化管理规范,以满足监管对企业拥有重要数据、个人信息等的台账化管理要求。通过数据台账化管理完成企业对自身拥有各类数据的权责界定,解决各数据资产在所属业务部门的权责归属问题。
三、数据风险评估
a)数据采集风险评估
评估数据资产处于数据处理阶段风险时,针对企业收集的个人信息,应评估个人信息类数据不能非法获取、满足最小化和必要性原则、获得数据主体同意并保留证据、隐私政策应简单和真实地反映个人信息采集和处理目的和方式等。当个人信息的收集,处理目的和处理方式发生变化时,应及时更新隐私政策,并重新获得用户同意。
当数据资产处于数据采集场景下,应识别数据资产涉及到的各数据类型,并重点评估重要数据或个人信息采集的合规风险。
b)数据存储风险评估
评估数据资产在数据存储阶段的风险时,应重点评估各类型数据的存储位置,例如存储各类数据的应用系统、数据库或文件夹、虚拟机或服务器的地理和物理位置等真实信息。并评估各类存储数据的密级、保留期限、数据分级的差异化存储要求、以及数据脱敏、敏感数据加密、用户权限最小化等安全要求。当数据存储在数据库时,应重点评估用户账号权限、访问控制、日志管理、加密处理等关键控制。当数据存储在介质时,应重点评估介质加密、用户访问和使用介质行为的记录以及定期审计等关键控制。
当数据资产处于数据存储场景下,所有数据资产以及资产涉及的资产主数据、资产明细账数据都需基于相应数据密级对应的存储加密规则完成数据加密、并确保每类数据已经设置了正确的用户访问权限等。
c)数据传输风险评估
评估数据资产在数据传输阶段的风险时,应按照涉及数据类型的密级要求,重点评估每类数据的网络安全传输策略、传输加密、链路通道的身份鉴别、安全配置、密码算法配置、密钥管理、传输协议处理等网络加密要求。当在公司内进行数据传输时,应确保数据传输前已获得了业务责任人的审批。当对外传输数据时,应确保数据传输的发送方和接收方都已签署了数据传输协议,内容包括账号权限、访问控制、日志管理、加密处理、保密协议等要求,并且API接口已通过渗透测试。
d)数据跨境风险评估
在华跨国企业以及中国企业出海,数据跨境是必须面临的挑战。评估数据资产的数据跨境传输阶段风险时,针对个人信息,应评估个人信息跨境传输的数据规模和数据量是否达到跨境申报监管要求的临界值。如已达到临界值,企业应开展数据跨境申报,获得监管部门批准方可进行跨境传输。否则企业只需执行个人信息保护影响评估(PIA),保留跨境评估记录以备监管检查。还应获得相应数据主体的同意,方可签署数据跨境传输协议。针对重要数据跨境,原则上重要数据需本地化存储,除非遇到特殊需求时,应申报监管以获得批准,重要数据跨境申报细则还待发布。
e)数据处理风险评估
f)数据交换风险评估
当数据资产处于数据交换场景下,应重点评估数据交换技术举措的安全性,如采取数据脱敏、数据加密等其他技术,以避免数据在交换过程中,发生数据被篡改或数据泄露事件。
g)数据销毁风险评估
评估数据资产在数据销毁阶段的风险时,应重点评估数据销毁结果是否达到监管规定的信息不可还原要求。对于存储数据的介质或者物理设备,应评估适用的介质销毁技术让介质上的数据无法恢复,如物理粉碎、消磁或多次擦写等。还应评估涉及的个人信息是否采用了匿名化技术,保证无法识别回主体自然人。
四、数据安全合规运营
数据资产存在许多不同于传统固定资产、无形资产的特性,例如数据具有流动性、多样性、时效性特点,企业只有通过数据合规与安全治理、评估潜在风险、制定数据有序化管理策略、健全安全防护技术举措,以保证数据资产的业务运营合规。
优化数据合规与安全治理
企业应选派责任领导牵头、各业务部门共同参与,协同制定数据资产的合规安全策略、制度和流程规范。随着数据资产经营的逐步规范,以及建立或接入的系统越来越多,企业应建立由业务、财务、IT等组成的合规第一道防线;数据资产经营日常执行时,落实策略与规范;应建立由内控、法务、合规等组成的安全与合规第二道防线,有序管理数资产并监控风险和预警事件;应定期由内部审计或外部审计组成安全与合规第三道防线,定期审计和收集证据,基于结果识别安全漏洞或合规风险,及时汇报管理层推动解决。
在数据资产管理与经营过程中,优化治理机制、加强审计力度、确保业务合规。
五、有序化管理数据资产
数据合规与安全防护是一个动态优化过程,针对不同系统与环境的特点,应结合具体业务需求及系统特性,建立数据资产的数据应急预案,保证预案的全面性和可行性。应定期进行预案演练,让参与演练的团队真正地掌握要领。还应建立安全监控与事件预警机制,及时收集安全威胁情报、关联分析问题、快速上报安全事件等。
六、健全安全防护举措
本文作者:
江玮
德勤中国网络安全风险合伙人
电邮:davidjiang@deloitte.com.cn
金洪斌
德勤中国网络安全风险副总监
电邮:kenjin@deloitte.com.hk
详细信息,欢迎垂询德勤中国各地办公室:
北京
上海
重庆
香港
信任、韧性、安全-助力企业行稳致远,适变长青。
德勤风险咨询帮助客户抓住当前和未来机遇,将信任、韧性、安全有机互联,实现更好的发展。