一、前言
在当今的数字时代,数据资产作为企业的核心资产,其重要性不言而喻。合规性是数据资产管理的基本要求,直接关乎企业运营的合法性和数据安全。完善的数据资产合规评估机制,有助于企业全面识别和应对合规风险,最大限度地规避合规风险带来的负面影响。本文将围绕数据资产合规评估的核心理念、具体流程、评估报告等方面进行系统阐释,并辅以实际案例分析,旨在为读者提供一份切实可行的数据资产合规评估参考指南。
二、数据资产合规基本内容
(一)数据资产的定义
数据资产指企业在经营活动中产生、获取和使用的所有数据,无论是结构化的数据库数据,还是非结构化的文档、邮件、视频等,只要具备潜在的经济价值,都应视为数据资产。要完整识别数据资产,需要从数据产生的业务流程、数据存储介质、数据处理系统、数据使用方式等多个维度入手梳理。
(二)数据合规概念
数据合规是指企业在数据生命周期的各个阶段,包括数据采集、存储、使用、传输、共享、留存和销毁等环节,应遵守的法律法规、行业标准、合同约定以及内部政策等相关要求。常见的合规领域有:
“
数据隐私保护
数据安全管理
知识产权保护
反垄断反不正当竞争
反洗钱、反恐怖主义
消费者权益保护
网络信息内容管理
(三)数据资产合规评估
数据资产合规评估是针对企业现有数据资产开展的一项综合性评估,目的是全面识别其在数据处理活动中存在的合规缺陷和风险,并提出整改建议,从而有效规避合规违规可能带来的法律诉讼、监管处罚、声誉损失、经济损失等负面影响。
三、评估的具体步骤和流程
(一)数据资产确认和清单
这是开展数据资产合规评估的基础性工作,目的是明确评估的范围和边界,全面识别企业的数据资产。
1. 访谈相关人员
与IT部门、业务部门以及其他掌握数据资产情况的人员开展访谈,了解数据资产的分布、种类、重要程度等基本信息。
2. 查阅现有文档资料
包括但不限于数据目录、系统架构文档、网络拓扑图、资产清单等,以获取文档化的数据资产信息。
3. 现场勘察
实地查看机房、数据中心等设施,现场检视服务器、存储设备、网络设备等硬件资产的实际情况。
4. 利用软件工具进行扫描
使用数据资产发现类工具(如Appsian、Varonis等)对系统和网络进行全面扫描,辅助发现潜在的数据资产。
5. 成果:数据资产清单
将发现的数据资产按类型、所属业务系统、重要程度等维度有序梳理,形成数据资产清单,作为下一步评估的基础。
(二)制定评估计划和标准
1. 评估计划
(1) 确定评估目标和范围根据企业实际情况,明确本次评估的目标是开展全面评估,还是重点评估某些特定领域。结合数据资产清单,划定出本次评估的资产范围,是否有资产需要排除在外。
(2) 评估时间安排包括现场评估的具体时间、评估人员的准备时间、评估报告撰写时间等,预留足够的时间将评估做充分。
(3) 评估人员编制根据评估规模和复杂程度,合理配备评估人员,包括项目经理、评估专家、现场检查员等角色。有条件的企业可考虑聘请第三方专业评估机构。
(4) 评估技术方法列明将采用的评估技术方法,如访谈、现场检查、穿行测试、工具扫描等,以及所需的工具。
2. 评估标准
(1) 相关法律法规如《数据安全法》《网络安全法》《个人信息保护法》等部门规章。
(2) 行业标准如国家和行业颁布的技术标准、规范、实施指南等。
(3) 企业内部政策如数据分级分类管理制度、数据生命周期管理制度、数据安全管理制度等。
(三)证据收集
证据收集是评估的重中之重,需要通过多种渠道和方式,全面收集能够证明企业数据处理活动合规或不合规的客观证据材料。主要方法包括:
1. 现场查看
“
(1) 数据处理系统
包括业务系统、数据库系统、大数据系统等,检查其配置、访问控制、日志审计等情况。(2) 数据存储设施包括机房、数据中心、服务器、存储阵列等硬件,检查环境、防护等情况。(3) 网络环境
检查内外网网络拓扑、安全防护等级等。(4) 物理环境
查看门禁、视频监控、巡更制度等物理安全防护措施。
2. 文档审查
“
(1) 制度文件
审查与数据处理相关的管理制度、操作流程等文件。(2) 操作流程文件
审查记录业务和技术操作的流程手册等文件。(3) 存储介质
抽查存储介质如光盘、磁带等的管理情况。(4) 系统日志
抽取核心系统的操作日志、访问日志、异常日志等。(5) 第三方评估报告等
获取其他机构对本单位出具的各类评估报告。
3. 访谈提问
“
(1) 高层和决策者
了解其对数据合规的重视程度、方针政策等。(2) 数据管理人员
询问数据管理工作的实际开展情况。(3) 业务操作人员
询问业务环节对数据的具体处理操作。(4) 技术人员
询问系统运维、数据库管理等技术操作情况。
4. 自动化扫描
“
(1) 漏洞扫描
使用漏扫工具检测系统、网络、应用的安全漏洞。(2) 配置检查
检查系统和应用的配置基线是否合规。(3) 密码审计
审计各系统的弱密码、违规密码等情况。(4) 权限审计
审计用户、系统、数据等权限配置的合理性。
经过全方位的证据收集,评估人员将拥有足够的证据支撑做出评估结论。
(四)现场评估与检查
在证据收集的基础上,现场评估是评估工作的核心环节,需要评估人员深入公司一线,对数据资产的存储和使用环境,以及全生命周期的合规性开展全面检查和评估。
1. 评估数据资产的存储和使用环境包括机房环境、设备布局、供电制度、温湿度控制、防尘防静电、事故应急措施等硬件方面。以及网络安全状况、办公环境管理、人员准入管理等软件方面。
2. 评估数据生命周期各阶段的合规性遵循数据生命周期理论,逐一评估各阶段的合规性:
“
(1) 数据采集合规性
评估数据采集的渠道、方式、量级是否合法合规,是否违反相关规定。如电商企业采集用户个人信息时是否合规等。(2) 数据使用合规性评估企业在内部使用数据时是否合规,如用户行为数据是否只限于改善服务质量。评估向外部第三方共享数据时的合规程度等。(3) 数据留存合规性
评估数据的保留期限及其依据是否合规。评估长期保留的历史数据的处理方式是否合规。(4) 数据传输合规性
评估数据在网络传输时,所采取的加密、防泄露等安全保护措施是否达标。(5) 数据销毁合规性评估数据达到保留期限后,销毁或去标识化的流程及执行情况是否合规。
3. 评估访问控制的合规性包括对数据资产实施身份识别、权限管理、认证审计等各项访问控制措施的合规性评估。
4. 评估监控和审计机制的合规性评估数据资产所覆盖的各类系统、应用、网络等,其日志审计、异常监控、合规检查等机制的有效性。
5. 评估突发事件应急响应的合规性评估企业在发生数据泄露、病毒爆发等突发安全事件时的应急预案及响应能力是否符合要求。
通过对上述各个方面的现场评估和检查,可以全面发现企业在数据合规管理中存在的薄弱环节和不足之处。
(五)评估结果分析与总结
最后一个阶段是对前期收集和获得的大量证据材料进行分析总结,并完成评估报告的撰写工作。
1. 评估证据分析评估团队需要对大量证据材料进行细致研究,全面分析企业在制度建设、日常运维、应急响应等层面的合规状况。
2. 缺陷整理和分级将发现的所有合规缺陷项进行梳理,按其危害程度和风险等级进行切分,并遵循VULN、PSV等行业评级标准对缺陷项逐一评级为高/中/低。
3. 撰写评估报告按照规范的大纲和框架,系统性地将评估发现、证据分析结果、存在缺陷、整改建议等内容形成书面评估报告。
4. 确定整改计划结合评估发现,与被评估单位深入讨论并制定切实可行的整改计划,包括整改目标、措施、时间节点、评估验证等。
5. 汇报评估结果评估组将书面报告及PPT等形式呈现给被评估单位管理层,对本次评估的过程、发现、建议进行汇报和说明。
四、数据资产合规评估案例
(一) 案例背景
某领先的在线旅游服务公司,经营范围覆盖机票预订、酒店预订、旅游线路销售等多个业务。随着业务不断扩张,公司积累了大量的用户个人信息、订单数据、位置数据等数据资产。
近年来,监管部门相继出台了一系列数据合规法规,如《网络安全法》《个人信息保护法》等,对公司的数据处理活动提出了更严格的合规要求。同时,由于内部管理不善,公司也发生过多起影响较大的数据泄露和滥用事件,受到社会舆论的广泛关注和批评。
为了彻底消除合规隐患,重塑数据合规形象,公司管理层决定聘请第三方专业机构,对公司的数据资产开展一次全面的合规评估,并根据评估结果做出整改。
(二) 评估过程
1. 评估准备阶段公司与第三方评估机构签订服务协议,明确评估目标、范围、标准及时间安排。评估机构组建项目团队,制定详细的评估计划和实施方案。
2. 现场评估阶段(1) 数据资产确认
通过多种方式如访谈、查阅文档、现场勘察等,全面梳理公司的数据资产。(2) 证据收集
评估团队采取查看系统、审阅文档、访谈人员、自动化扫描等多种方式广泛收集证据材料。(3) 现场检查
评估人员深入一线,检查数据处理系统、存储设施、网络环境、物理环境等。评估数据生命周期各环节的合规性,访问控制的合规性,以及监控审计、应急响应等管控措施。
3. 结果分析阶段评估团队对收集的大量证据进行分析研究,按严重程度对发现的合规缺陷进行分级,并初步形成评估结论。
4. 报告撰写阶段根据规范要求,评估团队按部就班地编写成套的评估报告,涵盖评估概况、数据资产情况、合规评估结果、整改建议等全部内容。
参考阅读
数据资产类
数据资产开发实施指南
全球数据资产交易模式
公共数据资产目录建设指南
公共数据管理运营方案(专业版)
数据资产评估成本法详解
数据资产类型详述
银行数据资产目录盘点
数据资产买方市场解读
数据科学才能释放数据资产价值
数据质量管理
数据资产目录建设指南
数据资产价值评价体系建设
2024数据平台建设指南
数据治理框架
数据资产入表指南
数据资产深度解析
数据管理指南
数据要素深度解析
数据资产运营
数据要素全流程
数据资产价值的主要影响因素
数据资产总路线图
数据资产开发全流程
商业应用类
创业者如何实现爆发式增长
最新英伟达CEO黄仁勋心路历程
AI入门必读两本书
Buffer:透明度极高的新型公司
10大AI工具,助你成为超级个体
更多详情,搜公众号:Data200
本文原创,转载请扫上方二维码联系作者。