前 言
2021年12月20日,广州市国资委发布了《广州市国资委监管企业数据安全合规管理指南》(试行2021年版),这是地方国资监管机构在数据安全和个人信息保护方面的一大步。此后,国务院国资委于同月发布《国有企业数字化转型行动计划》,明确了到2025年国有企业应实现数字化转型的具体目标,即管理体系的持续优化、数据赋能效果的显著提升,并在关键领域实现数字化转型的重大突破。
国有企业在实现数字化转型过程中普遍存在的一个关键问题是数据安全防护能力不足,这主要体现在数据存储和管理的混乱、数据共享和使用的非规范性以及数据传输的缺乏有效审计。这些问题反映出国有企业在制度和手段上的双重缺失。因此,国有企业迫切需要依靠建立一套全面的数据安全管理框架,制订实用的数据安全政策,并创建有效的管理标准,以保证信息系统、网络、个人终端等的数据安全稳定运行。
一套完整的数据安全合规管理体系涉及到组织结构、制度建设、合规要求(涵盖数据安全、个人信息保护和合作伙伴管理)、技术应用和责任监督等方面。该指南首先将数据安全合规管理融入现有的国企合规管理体系中,并将其作为一个关键领域进行重点建设,这样既利用了现有体系的优势,也避免了机构设置的重叠。
并且可以采用“清单管理”和“三重一大”事项的管理策略来控制重大数据合规事项。将关键数据安全合规事项归入“三重一大”管理范畴,并执行清单管理,对国家机密、产业策划、战略布局、重大项目和核心技术的数据交易、输出和共享等进行精确控制。
在国有企业合规体系中发挥“三道防线”的作用,具体为承担数据管理、信息系统或IT技术等职责的部门以及业务部门构成第一道防线,合规管理部门作为第二道防线,纪检和审计部门构成第三道防线,并明确了各自的职责和责任。
在推动国企数字化转型的过程中,除了实施数字化措施外,还必须严格遵守数据合规法规,特别是在法律风险的预防和应对方面。因此,在数字化转型过程中,国企必须严格遵循相关法律法规,确保转型的合法性和合规性。
一、国企数据安全合规管理的痛难点
(一)核心数据的管理难题
国有企业中的数据广泛分布于电脑、手机、笔记本、业务系统和数据库等,形式包括结构化、半结构化和非结构化数据,这些数据因难以识别和分类,使得核心数据的确定和保护变得复杂;标准化定义的缺失导致无法有效进行数据分类和分级;缺乏对国企中核心数据分布的全面了解以及对其生命周期内的风险评估,这些因素共同导致数据安全现状的不明确。
(二)数据安全与业务效率的矛盾
在数据安全和工作效率之间难以寻找平衡之法,目标是最大化安全防护的价值;办公数据和关键信息的混存缺乏有效的分类和分级策略;保护措施与数据重要性的不匹配导致保护效率低下;依赖用户主动性的文档权限管理方式易导致安全措施失效。
(三)控制内部数据泄露的困难
因没有完整数据合规管理体系,数据安全的整体防护仍难以实现紧密整合。例如,单位间的文件交换频繁,导致文件外发后存在被无限复制和滥用的风险;数据的非受控传输方式(如刻录光盘、内部邮件等)增加了数据失控的风险;在日常工作中,敏感数据的传输方式多样,难以有效管理,进而难以防止涉密文件的扩散。
(四)追踪泄密事件的复杂性
涉密数据在流转过程中缺乏有效的监控和审计,使得责任追溯变得复杂;数据通过移动存储设备轻易被携带外出,专用存储介质的使用难以限制并追溯;缺少完善的行为安全审计制度在安全事件发生后无法进行及时的告警响应和事件源头定位,造成了极大的管理困扰和安全隐患。
