第四章-数据合规体系建设规划

数据合规体系建设规划讲师：小毅CONTENT什么是数据合规为什么要做数据合规数据合规体系建设数据合规工作规划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什么是数据合规What?数据合规狭义的数据合规广义的数据合规数据全生命周期企业对于数据的收集、处理、留存、删除、销毁与数据所在地区的法律、规则和准则相符合。企业在应对监管时，其采取的措施对数据所涉及的技术和内容均符合法律法规的规定，即包括了信息数据本身的合法性和数据信息通过互联网传播展示的合法性。e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189数据安全与合规e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189保密性可用性完整性可追溯性………数据安全让数据使用更安全安全治理法律法规国家标准国际标准行业标准企业规定………数据合规数据合规是安全的底线数据安全是合规的有力武器为什么要做数据合规e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189数据安全合规治理-国家已经开始行动网络安全法数据安全法个人信息保护法数据出境管理办法关键信息基础设施安全保护条例0105040203数据合规内容个人信息安全保护关键基础设施建设数据出境数据资产e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189数据危机处理的预防与应对中国法GDPRCCPA数据合规的要点e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189数据采集数据传输数据存储数据处理数据使用数据销毁数据分级分类传输加密保存期限数据加密数据输出数据删除数据打标数据采集网络可用性数据备份数据恢复数据脱敏数据下载数据共享数据销毁内部流程规范、数据安全数据主体权利、隐私保护数据安全保护的目标与保护层次e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189数据安全保密性+完整性+可用性目标：风险可控个人层面的数据保护国家层面数据保护数据安全数据主体权利网络运营商及相关方尊重个人权利的义务数据安全重要

重要数据数据

恶意使用控制

危害国家权 安全国家监管目标：个人数据+重要数据数据合规体系建设e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189管理难监测难防护难追溯难数据安全管控面临的难点难点《数据安全法》总则中指出：维护数据安全应当坚持总体国家安全观，建立健全数据安全治理体系，提升数据安全保障能力。e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189决策层管理层支持层组织建立①决策层：负责数据安全治理体系目标、范围、策略的决策工作，决策层属于虚拟组织。②管理层：负责数据安全治理体系建设工作，管理层的成员一般由数据合规部门承担。③支持层：负责安全手段和制度执行的可行性，一般由业务部门承担，提出在业务开展过程中的数据安全需求。高层参与建设组织建立数据安全组织——决策层参与数据合规体系化建设思路组织技术流程人员e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189组织企业战略部门职责安全与合规融合流程流程简捷高效抓住风险核心重要节点审批技术支撑数据防泄漏访问控制精细化终端管控流程工具化人员树立全员数据安全意识建立违规惩罚机制HOW?体系化建设落地步骤!1、组织构建和完善2、资产梳理和更新3、策略制定和完善

e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F29241896、持续改善

5、行为稽核4、过程控制e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98CFAE215B20EECA2E6EFD7083D19AF5B435823B8AA0D943BFF9A8FC9E7EDA4DBFFC8B4AE6EC2B330A2A56797497DCBA1CB32BB95BC53B41CB715ACC17B2C3B6D6CE5DAA0774F2924189明确数据资产的分布和使用状况、进行数据分级分类制定安全管理制度和规范和管控策略基于数据的访问者和场景决定安全策略和技术影响数据使用的安全技术和策略是伪安全数据安全技术要与安全管理工作深度整合数据安全产品要满足国家和行业规范要求分级分类使用安全管理整合数据安全治理体系建设实施步骤第一阶段第二阶段第三阶段基础防护建设阶段数据资产管理规范敏感数据定义和发现数据分类分级标准及管控要求数据安全评估策略优化及能力提升建设阶段用户权限责任矩阵资产/准入基线加密数据安全事件应急管理及运维数据安全运营风险管控阶段组织架构定岗定责数据安全建设规划用户行为业务流程接口权限数据安全防护方针&策略脱敏数据风险策略特征库审计防泄漏流转行为库数据安全意识&技能培训策略中心数据安全管控平台事件监测风险分析数据采集数据存储数据交换数据传输数据处理数据删除数据合规工作规划e7d195523061f1c0b9c437df2358c0cda14f5041a22fabbfBE2BE37675DC7AB669ED1A17F222BC996230C869F9A73B775AB9A6F73BCC744AF1BB55A31F7D215610F6B48D481C98C