腾讯安全举办CSO俱乐部沙龙,探讨个人隐私数据
进入2020年,涉及个人隐私数据保护的各方面工作齐头并进,各项法律法规及地方规范性文件密集出台。监管趋严的态势下,企业如何适应新的环境?
近日,由腾讯安全主办的CSO俱乐部沙龙在上海举行了个人隐私数据安全防护专场,汇聚了来自金融、物流、汽车、通信、能源、航空等行业的安全代表,围绕“个人隐私数据安全防护”话题展开讨论。本次沙龙设有主题分享和分组研讨环节,形成了集政策解读、需求配对、实践分享、成果沉淀等于一体的沙龙模式,为各行各业加强个人隐私数据安全防护能力及合规性提供了理论指导和实践参考。
主题分享
何延哲 | 个人信息保护和数据安全合规政策解读
全球每天产生大约2EB的数据,人类最近两年产生的数据总量已经超过了此前所有数据的总和。数据创造的价值持续被挖掘,数据正在成为这个时代最宝贵的资源。
由于数据本身的经济价值、数据安全涉及个人隐私保护等,数据安全备受社会关注。今年5月全国人大表决通过的《民法典》中明确了个人信息受法律保护,市场期待已久的《中华人民共和国数据安全法(草案)》、《个人信息保护法(草案)》也先后于7月、10月进入征求意见阶段。
根据受影响的主体,监管层面将数据分成了几个大类:
一是企业自有的数据,主要关乎知识产权保护,目前这一块需要做的工作相对较少。
二是个人信息。个人信息的范围非常广,只要和个人身份绑定,会对其产生影响的数据,都属于个人信息。企业除了保障个人信息的保密性、完整性、可用性外,还要确保用户的选择权、知情权以及注销和删除的权利。个人信息是当前信息安全防护的重点。
三是对国家安全和公共利益有影响的数据,这类数据被称为重要数据。关于重要数据的安全防护,目前行业仍处在摸索阶段。
蒋琼 | 后疫情时代的券商数据安全体系实践
和银行相比,券商自研能力偏弱,需要引入外包人员帮助开发。如何管控外包人员,保证数据资产不被泄露,成了券商企业面临的一大挑战。而零信任安全架构很好地帮助券商解决了这一难题。
零信任安全架构作为一个能落地的安全信任治理方案,提供了一套对安全信任进行全生命周期治理的思路。
基于零信任“永不信任、持续验证”的理念,企业可以接入统一身份认证系统(IAM),以身份为核心,对默认不可信的访问请求进行多因素认证加密,再结合动态访问控制和持续信任评估等核心能力,低成本实现安全访问控制能力的统一建设。此外,这也避免了员工越权操作等权限使用不当带来的安全隐患,以及权限分散、跨站点/业务的资源访问难等问题。
刘海洋 | 大数据时代隐私数据安全防护实践
个人隐私数据安全防护已经从合规和安全事件驱动的1.0时代迈进了数据价值驱动的2.0时代。
2.0时代,数据安全防护将朝着整体防护、动态风控、协同参与三大方向发展,而资产管理智能化、安全能力组件化和安全分析中心化是达成三大方向的重要途径。
目前,企业实际业务中遇到的个人隐私数据安全问题主要出现在数据提取、大数据平台、APP数据流转等场景,风险内容包括数据暴露面大、缺少稽核手段、缺少数据行为识别能力和资产状况不清等。
针对以上现状,腾讯安全提出了“六步走”的个人隐私数据安全防护实践策略:
一、明确职责。确定个人隐私数据安全防护究竟该由数据部门、应用部门还是安全部门来牵头。
二、从资产、访问、风险、权限四个维度对数据资产进行盘点。资产不清,安全管控就无法到位。
三、梳理数据活动。数据活动的梳理可以帮助企业掌握业务数据的状态,了解可能存在的风险以及需要重点关注的安全能力。
四、确定防护体系技术路线,目前主要有五种做法:标准单品建设、体系化建设、场景化建设、平台级建设和按数据生命周期建设。
五、编写具体制度。制度是否切合实际,能否全面执行,是企业需要重点思考的问题。
六、通过审计与稽核验证安全防护措施的执行情况。
分组圆桌研讨
主题分享结束后,沙龙活动进入圆桌讨论环节。圆桌采用分组讨论形式,由与会嘉宾组成A、B、C、D四个小组,围绕个人数据保护治理层和运营层的诸多热点议题展开思维碰撞,并推选出小组代表输出讨论结果,由集体投票评选出优胜方。
以下是四个小组围绕热点议题输出的精彩观点:
1.如何解决个人数据保护职责不清、角色不清、权利不够的问题?
A组代表:首先要让管理层形成统一认识,认识到个人信息保护的重要性。这个目的可以通过两种途径来实现:一是事件触发,利用安全事件作为数据安全保护的重大推手;二是监管发力,针对最新的监管政策向管理层做理念灌输。
其次要专人专岗,成立专门的数据安全团队来做这件事情。
B组代表:职责不清导致隐私保护工作难以开展的情况,各行各行都存在。解决这个问题首先要获得大老板支持,没有这个前提,工作肯定开展不下去。
另外,保护个人信息需要业务部门、安全部门、法务部门等多方参与,只要缺少其中一个角色,工作便推进不下去。
C组代表:个人数据保护要有自上而下的顶层设计,明确主责部门,赋予它最大的权利来牵头协调安全管理工作。
D组代表:制造类、通信类企业跟金融、证券企业面临的情况有很大差异。金融、证券企业的个人信息保护可以靠政策和文件直接驱动,而在制造类、通信类企业却很难。领导虽然很重视,但没钱、没资源,工作很多时候执行不下去。
2.PIA流程技术团队是否参与?倾向技术控制为主还是管理控制为主?
A组代表:PIA流程评估,银行的做法是从业务和技术两条线分别排查。技术团队和业务团队有不同的关注点,技术团队可能更关注加密、传输相关的内容,业务看到的更多是处理流程上的风险点。所以这样一个双线排查的机制非常重要。技术团队在评估自己技术的同时,也要参与到业务评估当中。
B组代表:技术团队必须参与,而且要以技术控制为主。以前总说“三分技术,七分管理”,但在今天的形势下,没有技术控制,管理很难产生好的效果。
C组代表:PIA流程需要技术团队参与,但还是要以管理为主。管理层提的要求,技术团队无条件去执行,所以技术是配合管理来实施的。
D组代表:技术控制优先,管理上肯定有要求,但还是需要技术落地。
3.个人隐私数据更新处理的目的?怎么确保及时更新、告知和获取用户同意?