第四章  网络安全与数据合规管理



              合规管控的专项制度，如数据保护合规管理办法、网络安全合规管理办法等，上
              述制度可在专项的数据合规管理办法中一并进行规定，也可以单独规章制度的形
              式拟定。
                  3. 健全风险评估机制

                  有效的数据风险评估需要企业在评估前、评估中重点关注以下问题：
                  首先，在评估准备阶段要锁定本次评估的范围及目标，避免评估的内容与预
              先设想相偏离。企业可以根据自身的行业特点、具体的业务流程，将评估目标设
              定为数据交易安全评估、数据生命周期安全评估或数据应用场景安全评估，也可

              以同时对上述 3 种情况进行综合评估。
                  其次，风险识别不能局限在企业内部，外部的尽职调查也不可或缺。对于大
              型互联网企业而言，大量数据风险源于商业伙伴的违法违规行为，所以在数据交
              易前应对第三方进行尽职调查，在核对业务开展的有关资料、知悉其数据处理技

              术的先进性与成熟度、了解第三方的数据安保系统及数据来源是否正当等情况后，
              才能发现与甄别潜在的外部风险。
                  最后，法律与技术的不融通，需要技术专家、合规人员、法务专员等专业人
              士组成评估小组合力进行风险分析。在分析过程中，技术人员需要进行技术讲解

              与工具供给，法律人员和合规人员则结合自身专业能力，分析风险发生的概率和
              发生后给企业造成的影响，利用风险矩阵得出风险值并判断风险等级。
                  4. 强化数据安保技术
                  数据合规管理与传统合规领域最大的差异就是法律法规规定的所有内容、尺

              度和标准以及企业的所有协议、政策和制度最后均需要从技术层面来落实，企业
              要想顺利地进行数据合规管理，就必先利其器。因此，只有对数据全链路技术缺
              陷进行优化与补足，企业才会获得称心如意的数据治理工具。当前，数据安全形
              势严峻，企业必须具备容灾备份系统，且需要确保该系统具备强大的数据冗余备

              份能力和敏捷的数据恢复能力，这一点对信息密集型企业尤为重要。另外，为了
              防止数据泄露，企业应当对信息访问权限进行限制从而避免员工越权访问、批量
              查询导出等高风险操作行为；在数据交互时，可利用公钥技术的数字签名优势或
              者数据匿名技术，将企业敏感数据与国家核心数据进行机密保护或者匿名化处理；

              数据交互后，建议利用完整性校验技术比对数据输入前与输入后的校验值，查验
              企业数据池中的数据在传输中是否被篡改或破坏，以确保数据的完整性及可用性。


                                                                                     123