伴隨著《網絡安全法》、《數據安全法》、《個人信息保護法》的陸續施行,數字經濟時代下的企業面臨越來越嚴格且嚴密的數據合規監管。在科創板上市審核中,企業數據合規問題多次受到審核問詢。問題覆蓋了從數據收集、存儲、使用、共享、出境到數據安全等多個維度。
數據安全貫徹數據全生命周期,其包含設備安全、制度安全、人員安全、環境安全、管理安全等多個維度。在實踐中體現為對關鍵系統的控制情況、崗位職責設計及分離情況、數據真實性保證,以及與數據供應商等第三方的協議責任分配等具體措施。因此在科創板上市中,發審委對數據安全主要關注的三類問題分別是:
發行人內部控制制度及其執行情況
涉及數據供應商時,其內部控制制度如何,是否落地執行
發生網絡安全事件時,發行人如何承擔責任
根據發改委關切的數據安全建設問題,擬上市企業應配備專業的終端防護產品,采取必要的內控措施,健全網絡安全和數據安全內控管理制度,落實各項安全保護技術措施,嚴格按照國家相關法律法規做好網絡安全和數據安全工作。
敏捷科技針對擬上市企業面對的這些困境,通過自主研發的數據安全衛士系統DGS,集成了數據加密、權限管控、溯源審計、數據防泄漏等功能,構建實時防護與全域管理于一體的終端數據安全平臺,為企業的內部辦公、協同辦公、跨境流動等業務場景下數據流動實現全生命周期的安全護航。
同時,結合敏捷的商業秘密保護咨詢服務,為企業厘清核心數據、建立合規的數據分類分級體系、搭建合理的人員權限管理制度、完善數據安全風險漏洞。
數據安全合規建設
01
數據收集
? 網絡隔離:一體化數據處理平臺、采集軟件、工具等,嵌入數據安全管理防火墻,實現除特定項目需要以外的大部分終端采集數據直接上傳至公司服務器,減少數據周轉途徑;區分生產環境、辦公環境、測試環境、核心數據環境等網絡環境,實現網絡環境的隔離;數據標注工作直接在自有平臺上加工處理;向客戶提供加工后的業務數據,不提供個人身份信息。
? 數據脫敏:對收集的身份證號、聯系方式、人臉圖像等敏感信息等進行去標識化脫敏處理,脫敏后的數據難以逆推出原始數據,并將去標識化后的數據與業務數據分開存儲。
02
數據存儲
? 數據加密:內部數據傳遞過程中,對包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡等敏感信息,按照數據分類分級體系規范使用多種加密的手段和措施,包括:使用授權密鑰對圖像、視頻等數據進行加密、使用https等加密通信協議、硬盤文檔加密等。
? 容災備份:為避免網絡病毒、人為刪除、黑客入侵等導致數據丟失,建立備份措施。企業保存信息的主要設備,應對個人信息數據提供備份和恢復功能,確保數據備份的頻率和時間間隔,并使用不少于以下一種的備份手段:具有本地數據備份功能;將備份介質進行場外存放;具有異地數據備份功能。
03
數據使用
? 權限管控:根據員工的工作職責需要,配置必要、最小的系統訪問權限,并定期對人員的訪問權限進行審核;對數據信息的重要操作設置內部審批流程,如批量修改、拷貝、下載等;對安全管理人員、數據操作人員的角色進行分離設置;訪問權限的變更需視情況進行分級申請、審批;員工離職前進行信息安全核查;設置文檔級加密工具,可針對具體文檔實現用戶級的讀取、修改、分發、復制等權限定制。
? 追溯審計:通過自動添加水印的方式,將待標注數據進行標記,確保數據可追溯。設置專用的日志統計軟件,用于統計日志、監測數據下載流量、進行網絡數據監控與分析、異常流量報警等;部署審計機制,對操作行為進行審計。
04
數據跨境
? 落地加密:在員工跨國出差需使用內部文件數據時,企業內部可將此次外出工作需要的電子文檔存放于安全管控平臺,讓員工在個人云盤中上傳電子文件資料并進行查看編輯。電子文件從管控平臺下載到本地客戶端上時,實施落地自動加密,并設置閱后即焚,保障數據的落地安全。
? 授權使用:跨境的辦公移動設備上不攜帶涉密文件,相關人員進行原有文件的銷毀處理。需攜帶出境的移動辦公設備需得到相關人員的審批獲得對應的賬號密碼,方可使用平臺客戶端模塊。通過應用系統安全認證技術控制,只有安裝了客戶端的計算機才能訪問安全管控平臺,確保境外境內數據文件安全交互。
敏捷科技的數據安全產品已廣泛應用于制造、能源、設計、軌交、政府、軍工、金融、教育、地產等諸多領域,成功護航千萬終端,累計客戶過萬。目前,已累計為近600家上市公司提供了合法合規的數據安全產品和咨詢服務。未來,在數據安全法等法律法規的嚴格監管下,敏捷將立足于企業需求,發揮自身技術產品與項目經驗優勢,助力更多企業的數字化轉型與長遠發展。
推薦閱讀:
18120179909
關注敏捷小助手,了解更多