在数字化时代,万物皆可为数据,万物皆在转化为数据。数据已成为企业基础性战略资源和生产要素,对价值创造和生产力发展产生重要影响,代表着企业潜在竞争力。与此同时,随着各项法律的颁布,国内对数据安全的重视上升到了空前高度,对企业数据安全管理提出了新要求。
在日前举办的数据安全合规研讨会上,《中国信息安全》杂志社社长位华表示,数据安全合规工作是企业的数据安全“深水区”,不仅要兼顾企业的商业发展,同时还将直接影响企业的商业价值,“合规创造价值”已然成为数据安全的工作重点。
北京亿赛通科技发展有限责任公司总经理崔培升表示,在大数据、云计算、人工智能、5G、物联网蓬勃发展的数字经济时代,数据成为新型生产要素,而且由于其特殊属性已然成为社会发展倾力前行的“石油”。但数据要素对于其所有者、使用者来说是一柄双刃剑,它既是重要的信息,也是重要资产,对于数据信息泄露、违规使用以及数据资产流失都会造成不可承受的后果。国家近些年陆续出台法律法规,不断完善数据所有者和使用者权利,对数据合规做出明确指引,法律法规的细化对促进网络和数据安全合规建设提供了强有力保障。从数据安全角度来看,数据贯穿业务全生命周期,数据安全就是业务安全。
“在数据合规建设中,数据和人是两个重要元素。其中,在数据层面,要对数据本身进行分类分级、合规治理,针对不同的数据采用不同技术手段来保证数据安全。人为层面,要建立数据安全意识,区分人的职责权限。利用技术手段对数据分类分级,使技术服务于制度,形成技术和制度不断迭代的正循环,建立全面综合数据安全管理能力。”崔培升说。
在华北电力大学能源电力大数据研究院院长李建彬看来,数据作为生产要素是数字经济的核心资料,是推动数字经济发展的核心要素。数据安全防护日益重要,但同时也存在很多问题。从运营层面看,业务动态变化下按需管控的运营机制尚不健全。从技术角度来说,单点安全防护能力无法有效应对复杂数据流动风险,管理层缺乏一致性的合规治理手段。数据安全合规治理体系框架以内部或准内部人员为主要安全管控对象,平衡业务需求与安全风险;以分级分类为基础,以数据合理、安全流动为目标,以数据使用过程的安全管理和技术支撑为手段,对数据安全产品的技术应用和管理流程进行深度整合,在保障数据安全的前提下,实现数据开放共享。
“虽然在《数据安全法》中,数据定义的范围是宽泛的,但是在实际的数据保护过程中,要综合考虑经费和人员投入等因素,通过分类分级来明确需要重点投入保护工作的那部分数据,从而充分利用资源,让合规工作更合理、有效落地。”中国信息通信研究院安全研究所研究员朴鸿国表示,对于已经做了数据分类分级工作的企业而言,在衔接《数据安全法》中的一般、重要、核心数据分级要求时,首先需要根据各部门、各行业、各领域即将出台的重要数据具体目录结合已有的数据资产清单识别出重要数据,再按照重要数据监管要求进行单独保护,除重要数据外的一般数据还是可以使用企业原有的分级策略,如企业自身合法权益、商业秘密、业务重要性等方面考虑,进行更细化的差异化管控,实现资源投入、业务发展、合规落地三者之间的平衡。