挑战|企业该如何应对新时代下的网络安全挑战？( 二 ) 知识科普|工作|业

文章图片

网络安全合规体系可基于PDCA（戴明环）的理念，建立动态调整机制以满足不断变化的合规环境。
03. 推动网络安全管理落地，体现价值
网络安全最大的威胁还是来自于人，例如安全意识不足而被利用、人员疏忽或其他人为原因导致网络安全工作未能有效执行等。
在数字化应用覆盖企业方方面面的今天，人为因素构成的威胁也进一步放大。新的时代下，网络安全技术防御体系依然十分关键。但良好的防护能力中，起关键性作用的仍然是有效的安全管理体系。在数字化转型时代，安全管理体系需具备新的特质：

成为企业的一级管理体系。安全管理体系不应当从属于IT ，因为安全涉及到企业经营的方方方面，管理层必须提升安全管理组织及体系的地位并予以充分支持；
将安全管理执行项与各项运营流程整合；
建立奖惩措施保证执行情况保障执行效果。

文章图片

04. 重点打造数据安全与隐私保护
数据安全保护工作应遵循如下管理逻辑：

文章图片

基于以上管理逻辑，企业搭建数据安全保护框架时，应综合考虑合规性、价值输出、利益保障等方面从以下几点入手：

底线管控能力。数据场景每一天都在变化，包括数据的收集、字段的变化、业务场景的更新，决定了数据安全管控需具备一定的灵活度，在明确底线与职责分工的前提下，给予不同角色合适的自主决策权；
差异化的管控能力。企业应结合其实际情况建立分级分类机制及其配套的管控手段，包括流程、决策权分配、使用条件、技术手段等；
动态监控与自动化控制能力。随着数据使用场景激增与场景复杂化，例如数据识别、标签、处理（脱敏、匿名化等）、使用监控（如异常的数据访问、数据下载与外发行为）等管控工作，越来越依赖技术控制手段。企业应在确立发展规划后，逐步通过技术手段解决问题，而非进行革命性改革，以免适得其反；
持续的宣导与提升。企业需持续宣导，明确数据安全是各部门最大化实现数据价值的驱动者，而非反对者。此外，由于数据场景的多变性，数据安全比一般的安全管控工作更需要持续的优化机制。

隐私保护与网络安全合规、基础性的安全管理、数据安全管控均有较大关联。在以上基础上，企业应在隐私保护方面额外关注以下方面：

隐私保护组织架构保障。隐私保护组织既可独立存在，也可与网络安全合规体系，或网络安全管理架构融合，在充分保证独立性的前提下，具体的实现方式可依据企业实际情况而定。需要注意的是，在特定的法律法规之下（如GDPR），企业需指定专门的角色与组织承担规定的工作，即隐私保护数据官(Data Protection Officer ， DPO) ，作为保护个人数据的除企业防线外的二道防线。此外，千变万化的隐私场景使隐私工作依赖经验以及持续的学习积累，条件允许时，建立专门的隐私团队是较为理想的方案；

一般而言，隐私保护数据官应承担的职责及其定位如下：
【挑战|企业该如何应对新时代下的网络安全挑战？】

文章图片

关键隐私工作的落实。隐私设计理念（Privacy by Design）、个人网络安全影响评估（PIA）、个人信息处理活动记录（RoPA）保存以及跨境传输等内容是隐私工作落实的关键，这些工作不能仅存在于纸面上，更需要辐射到企业运营的各项流程与领域中，深度整合，从流程、控制点、具体措施与要求等方面确保能有效执行；
关注供应商管理。隐私数据在供应链中IT层面及业务层面的流转是供应链协作的必然结果，应通过界定职责边界、明确管控协议、供应商检查等方式有效控制第三方带来的隐私风险。

当供应商充当数据处理者角色时，应承担责任如下：