《个人信息保护法》发布,互联网企业要配备什么数据安全手段
近日,《个人信息保护法》正式通过审议,将于2021年11月1日起施行。其中,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者提出明确的义务规定,包括按照国家规定建立健全个人信息保护合规制度体系、成立主要由外部成员组成的独立机构对个人信息保护情况进行监督、对违法处理个人信息的平台内产品或者服务方勒令停服等。
从网信办严查严惩到《个人信息保护法》落地,互联网服务和应用工具型企业在个人信息处理问题上面临着愈发严峻的政策考验,加大数据安全投入、强化数据安全手段势在必行。
毫无疑问,互联网企业落地《个人信息保护法》以及搭建完善的数据安全体系,是一个系统工程,需要人才、组织、技术等多方面协同发力。在保护个人信息上,需要综合应用数据安全手段和工具,使得安全和业务发展同频。亿赛通经过近二十年的技术沉淀,打造了“分放管服”的数据安全建设体系,为企业提供一体化的数据安全解决方案。互联网企业可以快速选择、组合所需的数据安全产品及能力,搭建适合自身数据安全解决方案。
分为分层治理,制度先行,技术支撑;即需要从制度层和技术层两个维度进行分层治理;
•制度维度
分层合规:指需要对当前的数据安全相关政策进行分析,进行合规性和安全制度进行对标,符合公司和国家的相关安全制度,做到企业和国家的分层合规。规避法律风险做到有法可依、有据可引。
分权分责:需要指定相应人员负责,做到制度落地有声,追责有人;对相应人员赋予对应的职责和权限进行相关数据资产安全管理。
•技术维度
在技术维度数据资产的发现和梳理是数据安全的首要基础工作。
分类分级:指的是对数据进行确权,把企业杂乱的数据进行分类,分类后的数据实行不同级别的保护。
分布分析:需求了解企业整体的数据分布情况,明确企业数据架构规划,便于发现问题及针对性改善提高。
“分”是从整体架构的层面来规划数据安全,是数据安全综合解决方案的基础,没有准确合理的“分”就没有有效安全的数据应用和管控。
数据需要流通才能产生价值,放即是在制度层面放开,使用合理的审批流程规范数据的申请及使用,明确职责后将管理放开,进行行为监察将使用放开,让数据在流转和应用中产生价值。
技术监管:是将数据分类分级、流程规范等管理制度落地的具体技术落地,通过端点边界、网络边界及云边界的纵深防控,形成点到面的全面技术防控。
端点数据管控:可实现数据加密、防勒索、磁盘加密、可信介质管控等。
网络数据管控:可实现海量数据防护、邮件外发敏感信息阻断等。
云端数据管控:可实现数据脱敏、敏感挫折防护、敏感系统访问控制等。
保障数据在流转和应用中的安全,高效的数据应用给企业带来巨大的业务价值,但如果没有数据安全的保障,企业则时刻面临巨大的运营风险,通过放管结合把握数据制度管理与技术管控的动态精准平衡度,最终可实现安全与效率的最大平衡,在保障数据安全流转的基础上将数据创造的价值最大化。
在数字化转型的时代背景下,以云计算、大数据、物联网和人工智能为代表的新一代信息革命带来了新一轮的信息化建设浪潮,极大提升生产力的同时也产生了大量的数据资产,这些资产的防护不能再按照传统的数据防护堆积设备或工具就能完成相关防护,更是需要营造及时管理环境,立体运营可持续提升数据资产的防护能力才能在新的信息化产业升级的浪潮中站稳脚跟。这就需要高效的人机结合服务来实现目标,主要从三个角度出发达成持续提升数据安全应用的目标。
安全建设服务:通过数据咨询服务、体系建设、人才培养等整体提高企业内部的安全防护能力基准。
安全态势服务:通过态势感知,资产管理,统一管理运维将风险可视化,分析风险趋势,进行智能风险预估,提供相关可视化数据报表协助企业内部进行安全决策,将风险前移,更加从容的应对风险甚至规避风险。
安全应用服务:通过属于取证,分析处置,策略协调等服务来整体支撑企业的安全运营,使企业安全能力逐步提升实现持续优化的安全运营模式。
目前,数据安全的风险影响范围已经从个人、企业辐射到产业甚至是国家,《个人信息保护法》的出台,会进一步提升互联网的合规成本,但长远来看,企业做到数据安全合规,把发展的根基做得扎实,从利用用户隐私驱动的盈利向真正的模式创新转型,行业内各网络安全服务商互通有无、优势互补,共同建立数据安全体系标准,促进数字经济规范化、精细化运行,为维护国家总体网络安全、促进数字经济健康稳定发展贡献力量。