我国数据要素市场正处于蓬勃发展阶段,在政策、业务、技术等多方因素的驱动下,数据合作需求激增,数据合作场景愈发多样化。然而合作方的数据保护能力参差不齐,数据合作过程中,数据泄露、数据滥用等安全事件频发,严重危及社会公众安全。
本系列将持续探讨合作方数据保护相关工作,希望增强企业合作方安全管理能力,指引企业对外部合作方的数据安全保护能力进行评估和监督,压实合作方安全责任,提升整体防控水平。
本文将梳理从哪些维度评估合作方,分析行业数据合作安全问题,针对问题明确对合作方的评估要求。
评估维度一:合作方的背景与资质
安全问题:
数据合作方的背景关系复杂、声誉记录不良、有安全处罚史。数据合作方缺乏相关安全资质和经验。
安全要求:
确保合作方的可信度、合规性和安全能力,降低数据合作安全风险。对于拟引入的新合作方应实施合作方背景调查与资质审核。
评估维度二:合作方的数据安全管理
安全问题:
数据合作方安全管理组织权责不清晰,制度流程不完备,人员安全意识和能力不足,权限管控不严,数据安全合同协议不合规。
安全要求:
确保合作方明确数据安全管理“有人做”、“有流程做”、“有能力做”,严格管控数据权限,依法依规签订数据安全合同协议。
评估维度三:合作方的数据处理活动安全
安全问题:
数据合作方未规范数据处理相关的流程,未建立完善的数据处理安全管理措施和安全防护措施,无法保证数据处理活动合法、合规、正当。
安全要求:
确保合作方以收集、传输、存储、使用、销毁等各个环节为切入点,设置相应的管控点和管理流程,对数据处理活动进行规范和约束。
评估维度四:合作方的安全监测与事件响应
安全问题:
数据合作方未建立监测审计和数据安全应急响应机制,无法有效防范不正当的数据操作行为和及时响应各类数据安全事件。
安全要求:
确保合作方具备数据安全监测和审计机制,在数据合作过程中发生数据安全事件时能够及时依据合作双方约定的方式反馈和处置。
落实数据安全保护和个人信息保护义务,企业需要建立数据合作安全保护机制,对合作方数据保护能力的动态评估和监督已成为数据安全保护的重点工作。
2023年,中国信息通信研究院云大所数据安全团队组织交通银行、移动集团、智马达汽车等近三十家企业,制定了《合作方数据保护能力评估要求》,填补了合作方数据安全评估框架的空白,为数据合作安全管控提供有力抓手,并基于此开展合作方数据保护能力评估服务。此外,信通院云大所持续进行数据安全行业调研,对百余家企业合作方管理情况进行了深入分析;征集星河案例合作方数据安全管理先进实践,提升行业数据合作安全整体水平。
合作方数据保护能力评估持续征集参评企业,欢迎报名参与!
联系人:张老师
联系方式:15837112556(微信同号)
zhangyalan@caict.ac.cn
往期回顾
# 加强合作方数据保护1-监管发文为何多次强调合作方数据安全?