R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             级别的加密规则以及访问权限范围，建立多元化有效的合规流程。企业将收集的
             数据进行梳理分类，制定 DI（Data Inventory）清单作为评估参考。对于数据分
             类分级的标准问题，可以按照其归属业务范畴划分类别，且分类的颗粒度应当保
             持适度，按照层次递进的分类顺序进行分类，在分级标准上以数据的敏感度、关

             键度以及司法管辖要求进行定级。对于具有敏感性、重要性的数据跨境采取谨慎
             态度，企业非必要不予将此部分数据进行跨境流动，在处理数据时要遵守必要性
             和有限性原则，避免对跨境数据的滥用。
                 当企业向第三方提供数据时，企业应与第三方供应商签订数据相关的安全与

             保密协议以及满足当地数据跨境法律规定的跨境转移协议，协议明确共享数据的
             范围、内容、使用方法以及保护手段等双方的权利义务，对其供应提出数据合规
             的基线，要求供应商定期自检，并按照约定的目的和范围使用数据。企业对下游
             供应商的数据处理关系以及处理流程提出要求并定期监督和审计，要求和督促第

             三方下游供应商组建数据合规团队，形成全方位的合规布局。
                 （四）建立专业化的合规团队
                 企业在内部可以考虑成立由法务部门、信息安全部门、隐私合规部门和业务
             部门成员组成专业的部门，定期研究各地区的法律动态，实时更新面向用户的协

             议文本，由专业的技术组成人员提供技术支持，并利用数据合规工具整体规划，
             构建企业有效的合规工作流程。尽可能在每个国家或地区聘任专业的人员，负责
             数据的保护事宜，参与到具体的数据跨境过程的设计和评估中，以达到降低法律
             风险的目的，从企业的长远发展出发，降低企业的成本。



                          第五节  企业网络安全风险分析和对策


                 网络安全风险是指网络安全所面临的风险，它具体包括：物理方面、系统层

             面、数据传输、计算机病毒等的安全风险。网络安全风险的本质上是以网络安全
             为核心的风险，具有与其他风险类似的不确定性、客观性普遍性等特性，更加独
             特的是它还具有难预测、难识别、交互性等特性。


                 一、网络安全风险类别

                 网络安全风险形式各种各样，目前也没有统一的分类标准。溯其源，网络安


             162