腾讯安全发布数据安全合规能力图谱

今年6月份颁发的《中华人民共和国数据安全法》对企业与机构的责任、义务有了更加细致的规范和要求，其中第一章明确提出，“应建立健全数据安全治理体系，提高数据安全保障能力”。

《数据安全法》将于9月1日起正式实施。对于企业而言，数据安全合规工作是题中之义，但实操层面也可能的确存在一些现实困难，例如如何能快速、准确的排查当前的合规差距？如何能最小成本、最小影响的完成合规工作？

为帮助企事业单位顺利开展数据安全合规工作，腾讯安全结合大量数据安全治理实践经验，发布数据安全合规能力图谱。根据《数据安全法》的具体内容，腾讯安全将数据合规要求归纳成四类14项51个内容，供企事业单位参考。

（企业级数据安全合规能力图谱）

01、技术建设类

技术建设类可分为技术措施建设和风险监测能力建设，技术措施根据实际数据活动情况，采取相应的技术措施即可，比较常用的技术措施有动态脱敏技术、访问控制、电子认证技术、数据加密存储技术和敏感数据发现技术。

传统的建设方式是直接采购相应的数据安全产品，数据场景不复杂的情况下比较适用，反之，则会造成功能冗余、产品堆砌、运维工作加重等附加工作。因此，在开展数据安全技术建设时建议采用平台化的方式，灵活、简捷，扩充能力强，在新法律法规不断颁布的同时，可以通过配置调整予以应对。

数据安全技术的运用，应做到精准化管控，“一杆子”的方式不利于数据活动的发展和数据价值发挥，精准化管控可基于分类分级进行设计。

02、排查与整改类

排查与整改类主要包括合理性、业务完善、数据跨境三个方面。该类的工作主要是排查自身业务是否存在违法违规的情况，主要应对手段是业务的整改和应用功能的整改。

通过数据资产自动发现技术能够快速、准确的辅助排查出合规风险点，节省大量的人力投入。整改工作完成后，还可以通过数据资产发现技术对数据的使用和变化情况进行实时监控，及时发现违规情况，降低违规风险。

全理性主要是指数据的采集应遵循最小够用原则，并在国家或行业规定的范围内开展数据活动，在开展数据活动前应当告知数据主体，并得到其授权，并严格按照约定管理数据，保障数据主体的合法权益。

03、管理完善类

切实可行的管理制度是保障数据安全的基础和依据，《数安法》中所提到的管理要求可归纳为管理制度、数据交易管理、数据认责、重要数据目录和分类分级五项。

管理制度可以基于数据活动进行制定，考虑事前、事中、事后三个维度，明确角色和义务，落实到人。

数据认责可以通过数据的拥有量、访问量、新增量、更新量等维度做为依据进行划分，认责的同时还要建设相应的自动化管理工具，辅助数据责任人管理数据。

数据交易管理首先要明确当前业务下所有数据的来源是否合法，大体可分为自采集和外购两类。外购类则应留存来源的相关证明材料。如果是从事数据交易的机构，则需要对买卖双方的身份进行验证，并在协议中说明数据用途、使用时长、使用形式等内容。

重要数据目录和分类分级是实现数据安全精准防护的基础和目标，因此，需要在数据安全技术建设前开展。为达到数据安全防护的最佳效果，重要数据目录的建立和分类分级应遵循全面性、合理性、明确性原则。

04、机制建设类

常态化数据安全管控需要相关的机制作为保障，包括安全培训机制、安全补救机制、应急处置机制和风险评估机制四类。

数据安全培训的目的是加强企业内部人员的意识，提升技术人员的技能水平，从而实现整体的数据安全防护水平提升。培训工作要有计划、有目的、有考核的开展，方可保证培训效果。

安全补救和应急处置是应对安全漏洞和安全事件的预案，应定期开展演练工作，确保真正发生时能快速应对，必要时可以聘请相关机构和专家共同开展。

对于重要数据的处理，应定期开展风险评估工作，确保数据处理是在可信、可靠的环境下开展，对于潜在的风险能够尽早发现、尽早防范。

腾讯安全基于20多年数据安全实践经验，结合《数据安全法》条款，输出数据安全合规能力，助力企事业单位开展数据安全合规工作。