如何开展数据安全及个人信息保护评估 ——从滴滴事件谈起

滴滴事件回顾

2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司(以下简称“滴滴公司”)依法作出网络安全审查相关行政处罚的决定。从2021年7月2日网络安全审查办公室宣布将对滴滴公司启动网络安全审查以来,滴滴公司先后经历了**暂停新用户注册,下架滴滴出行App,下架微信、支付宝小程序,下架滴滴出行企业版等25款App,**七部门进驻滴滴开展网络安全审查,滴滴纽交所摘牌退市等事件。持续一年多的网络安全审查,给滴滴公司带来的不仅仅是重大的经济损失,由此造成的市场、市值、商誉、和用户信任损失更是巨大,教训极其惨重。

作为一家大型互联网公司,滴滴公司一定清楚数据对企业的重要性,肯定是做较高的安全防护,但是大型互联网公司积累的数据不单单对企业重要,更是对国家、社会、个人权益也是非常重要的。因此怎么去评估当前企业的数据安全和个人信息保护工作是否符合相关法律法规监管要求,是做好数据安全工作的第一步,也是企业能合法合规经营,客户信任的基础之一。

企业如何开展数据安全评估

1.梳理法律法规监管条款

数据安全和个人信息涉及的法律法规比较多。一般从顶层到到底层进行梳理,形成法律/法规/监管文件/国内外安全标准

数据安全与个人信息保护相关法律法规及关系脉络图

2.形成评估要求矩阵通过数据数据安全和个人信息保护相关法律法规要求,形成数据安全评估和个人信息保护要求的来源,是日常企业数据安全和个人信息保护评估依据,也可以为企业的数据安全建设提供依据。后续根据相关法律法规、监管要求的条款的变化来更新相应的要求。

3.编写评估方法有了评估要求矩阵,需要根据要求矩阵的内容编写相应的评估方法,一般情况下评估的方法有访谈、文件检查、系统配置核查以及利用技术工具检查(反向验证),并在实践中不断完善评估方法,进而形成企业内部一套数据安全评估方法。

4.开展数据安全评估企业可自行或聘请外部机构对企业的数据安全和个人信息保护进行全面的评估,一般分为非现场和现场评估。非现场评估一般查看企业相关管理制度等,现场评估一般对相关人员访谈或系统配置核查等。

5.形成报告提出改进建议通过全面的数据安全和个人信息保护评估,可以了解企业当前的数据安全和个人信息保护的成熟度水平在什么阶段,有哪些严重的触及法律合规性问题,有哪些安全性问题,一目了然。

海云安的数据安全和个人信息保护评估方案

1.数据安全与个人信息保护评估框架

海云安公司深耕APP安全和开发安全多年,并持积累数据安全和个人信息保护评估实践,形成较为完善评估框架。

 2.评估方案

通过数据安全与个人信息保护的全面评估,企业能完整清晰的有哪些与法律法规有明显冲突问题,以及怎么改进。虽然不能完全避免数据安全风险的发生,但是可以降低风险的发生可能性;一旦发生数据安全事件,通过数据安全合规体系可减少安全事件的损失,也可减轻或免除法律责任。如果当时滴滴公司执行一套完整的数据安全域与个人信息保护评估规范并严格整改,相信也不至于出现今天的事件。

前一篇中国网络安全产业图谱研究报告最终版-嘶吼安全产业研究院
后一篇BCS演讲实录 | 未来智安CTO陈毓端精讲《XDR扩展威胁检测响应探索与实践》