R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             的人员水平与经济投入提出了更高的要求。同时，需要更好地平衡业务发展与数
             据安全的关系，以避免因数据安全能力建设不足，导致企业业务发展过程中遵循
             数据安全合规监管的难度加大。
                 （2）数据安全风险防范难度持续升级，合规管控难度随之增加

                 电信领域数据安全风险的源头可能由于内部人员的恶意行为、失误操作或设
             备故障导致，也可能因为外部黑客的恶意攻击导致，包括采用恶意软件、安全漏洞、
             社会工程学等手段或多种手段的组合，这为数据安全风险的防范带来一定难度。
                 随着电信领域网络形态不断演化，新技术、新应用场景日渐复杂，不断涌现

             出新的数据类别、数据生产和处理方式等，从而引发新一轮的数据安全事件，而
             对于新型安全风险的研究和防范能力目前还有待提升，安全挑战不断加剧。
                 此外，传统网络安全边界的模糊化，使得传统安全防护体系不再能满足当前
             跨组织的数据流通安全等数据安全治理需求，多方面因素导致满足数据安全合规

             的管控难度持续升级。
                 （3）电信领域数据处理场景趋于复杂，数据安全保障难度增加
                 在电信领域数据处理活动过程中，数据处理主体和数据技术手段日趋繁杂，
             且数据流动范围越来越广，数据跨境传输需求也越来越多，数据活动场景趋于复

             杂，也提升了数据安全的管控难度。一是互联网技术日新月异，技术和产品不断
             快速迭代中探索全新的数据处理模式，对数据安全技术和管理流程的革新速度提
             出了更高要求；二是数据规模极速增长、数据类型与数据形态变化多样给数据安
             全识别与防护的时效性、可靠性带来挑战；三是数据处理环节繁杂众多，数据流

             通、应用及共享过程当中涉及了众多数据处理主体，为数据安全策略管理和数据
             泄露定责带来困难。
                 （二）电信领域数据安全合规需求
                 1. 满足监管合规要求

                 从满足运营商数据安全监管的要求出发，电信领域数据安全防护体系需要包
             含多种安全能力，贯彻落实法律法规、电信行业数据安全规章如《工业和信息化
             领域数据安全管理办法（试行）》，以防滥用、防泄露作为数据安全核心需求，
             建设针对数据分类分级、敏感数据识别和梳理、数据安全审计、数据流转监测、

             数据溯源、数据防泄露等安全防护技术支撑体系，满足电信企业网络数据安全合
             规性评估要点等技术内容，符合电信企业网络与信息安全工作考核要求中关于实


             126