R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             安全评估活动。首先，从业务视角出发，对业务应用现状进行调研，对业务流程
             进行分析。其次，围绕数据处理活动各环节的数据分布、处理活动类别、业务场
             景中的数据流、数据流转环节及管控措施等酌情梳理、搜集与分析，针对业务各
             系统及数据资产全面开展评估梳理工作，梳理并绘制数据资产安全全貌，并形成

             数据资产台账、数据安全管理规范矩阵。明确大数据平台数据各活动场景中数据
             重要程度等内容。再次，在数据资产识别和数据处理活动识别基础上进行合规性
             问题分析和数据安全风险分析，结合对数据安全措施的分析，找出主要业务所面
             临的管理、技术及运营合规问题和风险。最后，基于数据安全合规性评估和风险

             评估结果建立符合业务所需的安全合规性治理策略和风险管理策略。
                 4. 完善安全管理制度与流程，构建安全合规管理体系
                 坚持数据安全合规治理中“七分管理，三分技术”原则，根据电信企业的数
             据资产信息情况，从组织架构、安全责任框架、运行机制、风险管理、内控措施

             等方面建立电信领域数据安全合规管理体系和合规内在驱动力。首先，构建从数
             据安全战略、管理层到执行层自顶向下的满足电信领域数据安全合规管理架构。
             其次，明确各种数据处理场景的数据安全管理机制，把安全管理制度和包含的控
             制措施建立在业务流程基础上，业务流程建立在业务系统基础上，把数据安全的

             控制思想贯穿到业务流程中，体现在微观层面就是数据处理活动的每个过程。让
             合规要求落实到数据处理活动的每个环节、每个场景和每个人，使数据安全合规
             建设从被动转变为主动。最后，建立数据安全合规遵从的思路和策略，使数据安
             全合规遵从持续满足法律法规要求及业务发展需要，形成包含制定计划、评估安

             全、执行解决方案、总结经验各环节的数据安全合规闭环管理流程，使数据安全
             合规管理工作有序发展、安全能力逐步提升。
                 5. 构建数据安全技术支撑体系
                 以组织电信领域数据安全建设为基础，围绕数据处理活动的各项安全要求，

             实现与制度流程相配套的包括数据加密、数据备份恢复、数据脱敏、数据溯源、
             数据防泄露、数据库审计、数据流动监测等类型技术在内的数据安全技术支撑体
             系。将数据安全保护能力与合规性遵从工作中的关键节点自动化、工具化，并逐
             步迈向智能数据安全管理，具体如下：

                 第一，通过数据安全管控平台、数据安全态势感知系统等手段进行集中化的
             数据安全全域态势、风险和事件监测与管理，全面掌握全域敏感数据资产分类、


             128