數(shù)據(jù)安全合規(guī)研討會暨“數(shù)據(jù)安全共同體計劃”智享數(shù)安第八期圓滿落幕

摘要： 北京億賽通科技發(fā)展有限責任公司承辦的“數(shù)據(jù)安全合規(guī)研討會”順利召開

9月21日，由中國信息通信研究院指導，中國信息通信研究院安全研究所和《中國信息安全》雜志社主辦，北京億賽通科技發(fā)展有限責任公司承辦的“數(shù)據(jù)安全合規(guī)研討會”順利召開。研討會采取線上線下相結(jié)合的方式，線下參會嘉賓50余位，線上參會嘉賓近2000位。

本次數(shù)據(jù)安全合規(guī)研討會中國信息通信研究院安全研究所副所長魏薇、《中國信息安全》雜志社社長位華、北京億賽通科技發(fā)展有限責任公司總經(jīng)理崔培升、華北電力大學能源電力大數(shù)據(jù)研究院院長李建彬，中國信息通信研究院安全研究所研究員秦博陽、中國信息通信研究院安全研究所研究員樸鴻國、中國信息通信研究院安全研究所研究員葛鑫、北京億賽通科技發(fā)展有限責任公司高級總監(jiān)宋春嶺等多位業(yè)界權(quán)威專家圍繞數(shù)據(jù)安全合規(guī)治理、實踐成果分享、相關(guān)政策解讀、數(shù)據(jù)出境安全、個人信息安全等方向深入探討交流，開啟了一場精彩紛呈的對話。中國信息通信研究院安全研究所數(shù)據(jù)安全事業(yè)部主任陳湉、北京億賽通科技發(fā)展有限責任公司副總經(jīng)理張磊出席會議。

在數(shù)字經(jīng)濟的新業(yè)務(wù)形態(tài)下，各類組織日常運營產(chǎn)生的數(shù)據(jù)越來越多，數(shù)據(jù)已經(jīng)成為國民經(jīng)濟重要的生產(chǎn)要素，隨著數(shù)字化轉(zhuǎn)型和數(shù)據(jù)價值的提升，數(shù)據(jù)安全風險越來越高。去年《數(shù)據(jù)安全法》《個人信息保護法》的發(fā)布，各部門、各地區(qū)、各行業(yè)陸續(xù)推出政策文件，企業(yè)都面臨著合規(guī)監(jiān)管和安全風險雙重壓力。數(shù)據(jù)安全合規(guī)工作是企業(yè)的數(shù)據(jù)安全“深水區(qū)”，不僅要兼顧企業(yè)的商業(yè)發(fā)展，同時還將直接影響企業(yè)的商業(yè)價值，“合規(guī)創(chuàng)造價值”已然成為數(shù)據(jù)合規(guī)的工作重點。

《中國信息安全》雜志社社長位華

數(shù)據(jù)安全不可忽視的命題—數(shù)據(jù)合規(guī)
 

會議伊始，《中國信息安全》雜志社社長位華代表雜志社致辭。他表示國內(nèi)數(shù)據(jù)安全已經(jīng)進入強監(jiān)管時代，企業(yè)面臨合規(guī)壓力。業(yè)務(wù)運營、敏感數(shù)據(jù)保護帶來新的挑戰(zhàn)。構(gòu)建新形勢下數(shù)據(jù)安全體系迫在眉睫，跨境保護、數(shù)據(jù)合規(guī)成新焦點，一系列組合拳下，我國數(shù)據(jù)安全治理正進入快車道。去年，數(shù)字經(jīng)濟規(guī)模達到45.5萬億，同時數(shù)據(jù)安全不容忽視，數(shù)據(jù)安全合規(guī)成為不可忽視的命題。

中國信息通信研究院安全研究所副所長魏薇

 

 

監(jiān)管到位，守住安全底線
 

中國信息通信研究院安全研究所副所長魏薇在致辭中提到國家越來越重視數(shù)據(jù)安全工作，隨著法律的頒布，國內(nèi)對數(shù)據(jù)安全的重視上升到空前高度。習總書記強調(diào)要維護國家數(shù)據(jù)安全，保護個人信息和商業(yè)秘密，守住安全底線，把必須管住的重點管到位。我國數(shù)據(jù)安全頂層設(shè)計已經(jīng)基本明確。各行各業(yè)、地區(qū)、領(lǐng)域的數(shù)據(jù)安全監(jiān)管工作進入實施階段。信通院致力于網(wǎng)絡(luò)安全、數(shù)據(jù)安全方面的研究和實施，在支撐政府和服務(wù)行業(yè)方面，安全所積極開展工作。同時，牽頭研制了數(shù)據(jù)安全標準，包括數(shù)據(jù)安全評估、分類分級、重要數(shù)據(jù)識別、數(shù)據(jù)安全體系建設(shè)等標準，開展電信和互聯(lián)網(wǎng)行業(yè)標準貫標的工作，指導企業(yè)落地實踐。

北京億賽通科技發(fā)展有限責任公司總經(jīng)理崔培升

 

數(shù)據(jù)安全合規(guī)治理建設(shè)是根本
 

北京億賽通科技發(fā)展有限責任公司總經(jīng)理崔培升在致辭中談到在大數(shù)據(jù)、云計算、人工智能、5G、物聯(lián)網(wǎng)蓬勃發(fā)展的數(shù)字經(jīng)濟時代，數(shù)據(jù)成為新型生產(chǎn)要素，而且由于其特殊屬性已然成為社會發(fā)展傾力前行的“石油”。但數(shù)據(jù)要素對于其所有者、使用者來說是一柄雙刃劍，它既是重要的信息，也是重要資產(chǎn)，對于數(shù)據(jù)信息泄露、違規(guī)使用以及數(shù)據(jù)資產(chǎn)流失都會造成不可承受的后果。國家近些年陸續(xù)出臺法律法規(guī)，不斷完善數(shù)據(jù)所有者和使用者權(quán)利，對數(shù)據(jù)合規(guī)做出明確指引，法律法規(guī)的細化對促進網(wǎng)絡(luò)和數(shù)據(jù)安全合規(guī)建設(shè)提供了強有力保障。從數(shù)據(jù)安全角度來看，數(shù)據(jù)貫穿業(yè)務(wù)全生命周期，數(shù)據(jù)安全就是業(yè)務(wù)安全。
因此，在數(shù)據(jù)合規(guī)建設(shè)中，數(shù)據(jù)和人是兩個重要元素。其中，數(shù)據(jù)層面，要對數(shù)據(jù)本身進行分類分級，合規(guī)治理，針對不同的數(shù)據(jù)采用不同技術(shù)手段來保證數(shù)據(jù)安全。人為層面，要建立數(shù)據(jù)安全意識，區(qū)分人的職責權(quán)限。利用技術(shù)手段對數(shù)據(jù)分類分級，使技術(shù)服務(wù)于制度，形成技術(shù)和制度不斷迭代的正循環(huán)，建立全面綜合數(shù)據(jù)安全管理能力。這也是億賽通不斷倡導 “分·放·管·服”數(shù)據(jù)安全建設(shè)理念的靈魂所在。
 

中國信息通信研究院安全研究所研究員秦博陽
 

 

國家政策新指引—數(shù)據(jù)出境安全
 

主題分享環(huán)節(jié)，首先由中國信息通信研究院安全研究所研究員秦博陽對《數(shù)據(jù)出境安全政策解讀》展開探討。她針對近期發(fā)布的一系列國家數(shù)據(jù)出境合規(guī)制度作出了解讀，通過梳理數(shù)據(jù)出境相關(guān)法律、主管部門規(guī)定和標準，分析了重要數(shù)據(jù)出境安全評估、個人信息保護認證、個人信息出境標準合同、個人信息出境安全評估4條合規(guī)路徑，并對數(shù)據(jù)出境合規(guī)工作提供了指導性建議。

華北電力大學能源電力大數(shù)據(jù)研究院院長李建彬

從學術(shù)研究視角看數(shù)據(jù)安全合規(guī)治理

華北電力大學能源電力大數(shù)據(jù)研究院院長李建彬表示合規(guī)不僅是數(shù)據(jù)安全，在企業(yè)運營中，合規(guī)始終是正常運營的底線和保障，是企業(yè)運營的有機部分。法律體系三法一條例的完善對國家網(wǎng)絡(luò)空間安全治理提供了準則，使得個人在網(wǎng)絡(luò)安全中有法可依。數(shù)據(jù)作為生產(chǎn)要素是數(shù)字經(jīng)濟的核心資料，是推動數(shù)字經(jīng)濟發(fā)展的核心要素。數(shù)據(jù)安全防護日益重要，但同時也存在很多問題。從運營層面看，業(yè)務(wù)動態(tài)變化下按需管控的運營機制尚不健全，技術(shù)角度來說，單點安全防護能力無法有效應對復雜數(shù)據(jù)流動風險，管理層缺乏一致性的合規(guī)治理手段。數(shù)據(jù)安全合規(guī)治理體系框架以內(nèi)部或準內(nèi)部人員為主要安全管控對象，平衡業(yè)務(wù)需求與安全風險；以分級分類為基礎(chǔ)，以數(shù)據(jù)合理、安全流動為目標，以數(shù)據(jù)使用過程的安全管理和技術(shù)支撐為手段，對數(shù)據(jù)安全產(chǎn)品的技術(shù)應用和管理流程進行深度整合，在保障數(shù)據(jù)安全的前提下，實現(xiàn)數(shù)據(jù)開放共享。

中國信息通信研究院安全研究所研究員樸鴻國

 

構(gòu)建數(shù)據(jù)安全生態(tài)共同體，數(shù)據(jù)安全合規(guī)體系建設(shè)專項行動計劃
 

中國信息通信研究院安全研究所研究員樸鴻國以《數(shù)據(jù)安全法》的解讀為切入點，詳細介紹了《數(shù)據(jù)安全法解讀和數(shù)據(jù)安全合規(guī)體系建設(shè)專項行動介紹》。他提出，雖然在《數(shù)據(jù)安全法》中，數(shù)據(jù)定義的范圍是寬泛的，但是在實際的數(shù)據(jù)保護工作過程中，要綜合考慮經(jīng)費和人員投入等因素，通過分類分級來明確需要重點投入保護工作的那部分數(shù)據(jù)，從而充分利用資源，實現(xiàn)更為合理、有效的合規(guī)落地工作。對于已經(jīng)做了數(shù)據(jù)分類分級工作的企業(yè)而言，在銜接《數(shù)據(jù)安全法》中的一般、重要、核心數(shù)據(jù)分級要求時，首先需要根據(jù)各部門、各行業(yè)、各領(lǐng)域即將出臺的重要數(shù)據(jù)具體目錄結(jié)合已有的數(shù)據(jù)資產(chǎn)清單識別出重要數(shù)據(jù)，在按照重要數(shù)據(jù)監(jiān)管要求進行單獨保護，除重要數(shù)據(jù)外的一般數(shù)據(jù)還是可以使用企業(yè)原有的分級策略，如企業(yè)自身合法權(quán)益、商業(yè)秘密、業(yè)務(wù)重要性等方面考慮，進行更細化的差異化管控，實現(xiàn)資源投入、業(yè)務(wù)發(fā)展、合規(guī)落地三者的平衡。

北京億賽通科技發(fā)展有限責任公司高級總監(jiān)宋春嶺
 

 

數(shù)據(jù)安全必不可少的一步：數(shù)據(jù)安全合規(guī)建設(shè)
 

北京億賽通科技發(fā)展有限責任公司高級總監(jiān)宋春嶺從廠商視角對數(shù)據(jù)安全合規(guī)的建設(shè)思路做了梳理，據(jù)IBM Security發(fā)布的《2021年數(shù)據(jù)泄露成本報告》顯示，2021年全球數(shù)據(jù)泄露的平均總成本達到了424萬美元，數(shù)據(jù)安全問題影響范圍逐漸擴大。企業(yè)在新數(shù)字經(jīng)濟時代下，面臨了全新的挑戰(zhàn)，如：IT環(huán)境復雜、數(shù)據(jù)交互多、合規(guī)監(jiān)管嚴、敏感數(shù)據(jù)分散、綜合竊密手段層出不窮等，亟需體系化的數(shù)據(jù)安全技術(shù)框架來應對數(shù)據(jù)安全新挑戰(zhàn)。億賽通潛心研究的數(shù)據(jù)安全合規(guī)治理體系，總結(jié)出一個中心、四個領(lǐng)域、五個階段，即以數(shù)據(jù)安全為中心，從組織建設(shè)、制度流程、技術(shù)工具、人員能力入手，分業(yè)務(wù)梳理、分類分級、策略制定、技術(shù)管控、優(yōu)化改進五個階段。從技術(shù)棧構(gòu)建縱深防御，實現(xiàn)攻防兼?zhèn)?、網(wǎng)數(shù)一體。同時，億賽通公司在數(shù)據(jù)安全合規(guī)建設(shè)中，不僅提供全面的安全解決方案，并面向規(guī)模企業(yè)免費推出“重要數(shù)據(jù)識別計劃”，幫助企業(yè)進行數(shù)據(jù)掃描識別、分類分級、血緣分析、追蹤溯源、態(tài)勢服務(wù)，助力企業(yè)數(shù)據(jù)合規(guī)。

 

中國信息通信研究院安全研究所研究員葛鑫

 

個人信息保護影響評估制度解讀及實踐指引

中國信息通信研究院安全研究所研究員葛鑫對《個人信息保護影響評估制度解讀及實踐指引》 提出個人的見解。參照歐盟GDPR標準要求和實施細則，對我國個人信息保護影響評估制度進行了解讀。她提出，我國個人信息保護評估制度的最終目標在于考核企業(yè)個人信息保護安全措施的有效性。對于個人而言，個人信息保護影響評估是確保個人在大數(shù)據(jù)時代的個人權(quán)利和自由的保障。對于企業(yè)或組織而言，個人評估具有建立合規(guī)、證明合規(guī)、預防損失、增進透明度等多重價值。


航天開元科技有限公司畢志華
 

在會議的開放討論環(huán)節(jié)，部分與會嘉賓分享了自己企業(yè)在數(shù)據(jù)安全合規(guī)、重要數(shù)據(jù)識別、商業(yè)秘密保護三方面的問題與挑戰(zhàn)，針對數(shù)據(jù)安全合規(guī)，來自航天開元科技有限公司畢志華提出數(shù)據(jù)安全在未來是重要的一環(huán)，需要國家政策法規(guī)的支持。信通院研究員樸鴻國表示數(shù)據(jù)安全的落地需要明確目標和范圍，從業(yè)務(wù)角度做到定性，根據(jù)制度梳理合規(guī)文件和評估要點。

中國外運股份有限公司陳非
 

中國外運股份有限公司陳非提出數(shù)據(jù)安全主要存在三個層面挑戰(zhàn)，國家層面符合國家相關(guān)規(guī)定，客戶層面數(shù)據(jù)安全需求明確，自身層面是能力的提升。億賽通高級總監(jiān)宋春嶺認為重要數(shù)據(jù)識別對技術(shù)積累有要求，企業(yè)數(shù)據(jù)繁多，涉及范圍廣，不同場景識別需要多個產(chǎn)品結(jié)合梳理，完成識別后才能進行防護。
 

 

中國水利水電科學研究院何耘
 

中國水利水電科學研究院何耘提出，商業(yè)秘密保護多數(shù)存在數(shù)據(jù)跨專業(yè)、跨業(yè)務(wù)的界定存在困難問題，需要實操性措施，針對能源行業(yè)而言難度較大。但是商業(yè)秘密保護最主要為識別，企業(yè)內(nèi)部秘密數(shù)據(jù)，通過網(wǎng)絡(luò)、終端的掃描識別達到建立數(shù)據(jù)資產(chǎn)全生命周期保護。

 

 
本次數(shù)據(jù)安全合規(guī)研討會圍繞新形勢下數(shù)據(jù)安全合規(guī)體系建設(shè)，對數(shù)據(jù)安全監(jiān)管制度進行深度剖析，并圍繞重要數(shù)據(jù)識別、個人信息保護、數(shù)據(jù)出境、商業(yè)秘密保護等熱點問題展開熱烈探討，針對金融、電信、物流等行業(yè)特點和用戶需求，探討體系化、可落地的數(shù)據(jù)安全合規(guī)治理解決方案。
作為本次研討會的承辦單位，北京億賽通科技發(fā)展有限責任公司將繼續(xù)依托“數(shù)據(jù)安全共同體推進計劃”等與業(yè)界各類組織圍繞數(shù)據(jù)安全政策、標準、技術(shù)、人才培養(yǎng)、產(chǎn)業(yè)發(fā)展等方面開展廣泛深入的交流與合作，共同為國家安全體系建設(shè)助力、共同推進數(shù)據(jù)安全產(chǎn)業(yè)蓬勃發(fā)展。

詳情請關(guān)注安在新媒體—人物、熱點、互動、傳播，有內(nèi)涵的信息安全新媒體。