近些年,数据要素的重要性日益凸显,为保护数据安全,国家制定了一系列法律法规。企业在开展工作时,需要特别关注数据安全法相关合规要求的落地实施。其中,《中华人民共和国数据安全法》(以下简称为《数据安全法》)强调总体国家安全观,明确国家和监管部门应建立数据分级、风险监测、应急响应、安全审查、出口管制等五大机制和制度,是数据领域的基础性法律。
与《数据安全法》相对应,企业层面需要从数据安全的管理制度、安全措施、风险监测和评估、出境管理、合法采集等维度履行数据安全保护义务。数据安全能力成熟度模型(简称DSMM)发布于2019年,早于《数据安全法》的颁布,但DSMM中有关数据生命周期的概念和相关要求与《数据安全法》有对应关系。
DSMM中与《数据安全法》第四章(数据安全保护义务)相关条款相对应的标准要求。
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
DSMM与本条款相对应的要求:
1.通过DSMM的“PA22 合规管理”过程域要求,建立数据安全合规管理流程。
2.通过DSMM的“PA20 数据安全策略规划”和其余29个过程域中的“制度流程”要求,建立满足“建立健全全流程数据安全管理制度”合规要求的数据安全管理制度体系。
3.通过DSMM的“PA21 组织和人员管理”和其余29个过程域中的“人员能力”要求,建立满足“组织开展数据安全教育培训”合规要求的数据安全管理制度。
4.通过DSMM30个过程域中的“技术工具”要求,建立满足“采取相应的技术措施和其他必要措施,保障数据安全”合规要求的数据安全技术体系。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
DSMM与本条款相对应的要求:
1.通过DSMM的“PA27 监控与审计”过程域的要求,明确数据安全风险监控的实施方式和要点。通过DSMM在数据质量、数据传输加密、数据分析、数据共享、数据导入导出、合规管理、终端数据操作等方面明确了风险监测的要求。
2.通过DSMM的“PA30 安全事件应急”和“PA27 监控与审计”过程域的要求,以及其他相关过程域的安全事件要求,明确了数据安全事件管理和处置的实施方式。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
DSMM与本条款相对应的要求:
由此可见,及时地按照DSMM标准全方面地对企业的数据安全进行能力建设,将促进企业尽早发现数据安全能力短板,有效的保证数据安全合规管理的落地实施,进而挖掘数据价值,推动企业数字化转型。