法治号
在数字经济上升为国家战略,持续推动产业数字化发展的同时,网络安全和数据合规管理逐渐成为企业数字化转型的重要环节。
近日,在以“重塑·让安全生产价值”为主题的数字化安全合规论坛上,来自中国电力科学研究院、中国信通院、京东云安全、斗象科技、天威诚信等研究机构、产业界的安全合规专家齐聚一堂,就如何解决企业数字化转型升级中的数据安全合规问题给出了各自的思路和经验。
在业务发展与监管政策之间找到最佳平衡点
目前,以《数据安全法》《个人信息保护法》《网络安全法》《关键信息基础设施安全保护条例》(简称“三法一条例”)为基础框架的网络安全法律法规体系的建成,为数据安全合规管理提供了法律依据和遵循标准。对于行业企业而言,如何结合行业特点制定相应的合规策略并落地实施,成为企业安全合规管理绕不开的重要议题。
中国电子技术标准化研究院网安中心测评实验室副主任 何延哲
中国电子技术标准化研究院网安中心测评实验室副主任、中国网络安全产业联盟(CCIA)数据安全工作委员会常务副主任何延哲表示,合规是自上而下的过程,在遵循和理解三法一条例的基础之上,对企业而言最关键的是要明确合规“基线”和法律“红线”,从企业管理制度和技术手段出发,预先制定可行的网络安全风险防范及应对方法。在遵循法律法规的基础上,企业合规建设还应具备一致性和包容度,在业务发展与监管政策之间找到最佳平衡点,以确保业务合法、合规。
北京天威诚信电子商务服务有限公司首席安全官 李延昭
“数字化转型意味着企业的生产经营活动一切皆可计算、可标识,在此过程中,企业不做安全管理可能导致整体失控,不做合规建设便失去了有效防护。”北京天威诚信电子商务服务有限公司(以下简称“天威诚信”)首席安全官李延昭表示。天威诚信是一家提供电子认证服务的企业,已为近10亿用户提供电子认证服务,服务范围覆盖政务、银行、证券、保险、司法、招投标、互联网金融等领域。
李延昭认为,在网络安全顶层设计不断优化的大背景下,作为网络安全企业和数字化转型服务商,今后的重点工作方向应聚焦于落地实践,积极开发和利用新技术、新产品、新服务、新模式,推动数据安全保护工作和数据合规服务,助力企业数字化转型与合规发展。
北京大成律师事务所合伙人 阮东辉
在北京大成律师事务所合伙人阮东辉看来,三法一条例的颁布实施,意味着个人信息及企业核心数据面临着重大变革,面对纷繁复杂的数据,如何管理、规范、确权,以及如何应对数据对法律的挑战,都是法律层面亟待解决的问题,只有明确数据的法律主体责任和使用范围,才能为企业数字化转型提供可靠支撑。
数字化服务商如何做好自身合规保障?
行业企业如何结合自身业态提升安全合规建设能力?
民生银行高级安全专家 刘书洪
民生银行高级安全专家刘书洪以其所在的金融行业为例提出建议,在监管加压下,金融行业要通过“外规内划”,不断深化数字化工具在业务中的应用以及实施国密合规改造等,进而完善用户画像数据库,提升系统攻防能力,扎实推进金融科技发展。
上海斗象信息科技有限公司安全专家 王涛
上海斗象信息科技有限公司(下称“斗象科技”)是新一代网络安全领军企业,也是网络安全数据分析与安全运营提供商。斗象科技安全专家王涛表示,当前企业遭受的网络安全风险大多来自系统内容,未来的企业安全运营思路应转被动为主动,结合密码、大数据、机器学习、AI、自动化等技术理念,形成动态化的安全综合体系架构,通过人+技术+管理的共同运作模式防范近源攻击,着力提升企业安全防护能力。
作为网络安全企业和数字化转型服务商,在保障所服务企业的安全合规过程中,对自身的安全合规是如何保障的?
对此,李延昭介绍,从2005年《电子签名法》出台实施以后,工信部、国家密码局便针对电子认证机构陆续出台了相应的管理规范。每年主管部门会对持证企业进行年审检查,审核通过,牌照才能持续有效,不被吊销。此外,因为天威诚信的业务面向全球,还要接受国际审计机构的审查,以保证业务是合规的。
“在数字世界里建立信任,也是这么一个逻辑,就是需要找到一个信任的锚点。政府向机构授权,机构就是那个信任锚点。政府也得有一个抓手,就要实时监控被授权机构的运行是否符合要求,是否安全合规。所以每年针对我们企业都会有不同的审查,这也是我们较大的合规成本。”李延昭补充道。
(记者 彭飞 实习生 吴攀)
编辑:张奕辰