一、 從實際業(yè)務(wù)出發(fā)
各個企業(yè)所涉及的實際業(yè)務(wù)都具有其獨特性。您的企業(yè)或許是教育培訓(xùn)機(jī)構(gòu)、醫(yī)療美容機(jī)構(gòu),也或許隸屬于餐飲行業(yè)、金融領(lǐng)域,或者職能是提供公共服務(wù)等等。每一個行業(yè)都具有其行業(yè)的特點,每個企業(yè)也都會因自己的業(yè)務(wù)需要處理客戶的個人信息。這些個人信息一定是能夠識別特定客戶,能夠為我們的企業(yè)提供客戶畫像,也一定會與我們的實際業(yè)務(wù)存在深層次關(guān)聯(lián)的。
舉一個常見的例子:外賣行業(yè)。
針對使用外賣服務(wù)這一場景,用戶的必要信息為聯(lián)系人信息、電話號碼、具體地址和訂單信息。只有完全具備了以上信息,才能夠保證業(yè)務(wù)有效地完成。那么外賣平臺勢必需要對上述用戶數(shù)據(jù)進(jìn)行采集和存儲。這些被存儲的用戶數(shù)據(jù)應(yīng)如何進(jìn)行保護(hù)就成了企業(yè)所面臨的重要問題?!秱€保法》《數(shù)據(jù)安全法》等法律法規(guī)將個人信息或者說用戶數(shù)據(jù)的安全責(zé)任賦予了企業(yè)。如果發(fā)生數(shù)據(jù)泄漏等安全問題,企業(yè)自身將承擔(dān)相應(yīng)的法律責(zé)任以及安全風(fēng)險事件給企業(yè)帶來的負(fù)面影響。
基于“最小必要原則”,企業(yè)需要根據(jù)自己的業(yè)務(wù)特點梳理出自己主營業(yè)務(wù)中的關(guān)鍵性必要個人信息,且需要明確哪些對應(yīng)數(shù)據(jù)對于業(yè)務(wù)來說是必要的,是完成業(yè)務(wù)的充分必要條件。在此基礎(chǔ)上進(jìn)行數(shù)據(jù)的采集和存儲,并通過數(shù)據(jù)安全技術(shù)進(jìn)行保護(hù)。
二、 梳理數(shù)據(jù)鏈路
當(dāng)前互聯(lián)網(wǎng)發(fā)展迅速,在數(shù)字化轉(zhuǎn)型的浪潮下,信息化對當(dāng)前的企業(yè)已經(jīng)不是什么新鮮事物,所以當(dāng)前的企業(yè)很多都具有自己的信息化系統(tǒng),數(shù)據(jù)也都會經(jīng)過信息系統(tǒng)進(jìn)行流轉(zhuǎn),存儲到各自的數(shù)據(jù)庫中。那么從我們的系統(tǒng)對業(yè)務(wù)中的數(shù)據(jù)進(jìn)行采集環(huán)節(jié)開始,到存儲過程結(jié)束,整個鏈路都需要進(jìn)行梳理。需要明確地知道這些數(shù)據(jù)從哪里來?經(jīng)過哪里?到哪里去?存儲在哪里?將來會如何地使用?這些問題都是企業(yè)在進(jìn)行數(shù)據(jù)安全保護(hù)的準(zhǔn)備工作時必不可少的要點。
三、 評估數(shù)據(jù)鏈路薄弱環(huán)節(jié)
在數(shù)據(jù)鏈路梳理清晰之后,需要針對數(shù)據(jù)在鏈路中的每一個節(jié)點進(jìn)行數(shù)據(jù)安全風(fēng)險評估。在數(shù)據(jù)處理全生命周期中的采集、傳輸、處理、存儲、使用等各階段所涉及到的所有節(jié)點與系統(tǒng)都要進(jìn)行評估,找出數(shù)據(jù)鏈路中的薄弱節(jié)點,清晰地定位出各類數(shù)據(jù)在各個環(huán)節(jié)中安全風(fēng)險的類型、程度和概率。針對業(yè)務(wù)流程也要明確哪些數(shù)據(jù)在哪些環(huán)節(jié)存在多大的安全風(fēng)險。
經(jīng)過評估之后需要針對薄弱環(huán)節(jié)進(jìn)行有針對性的處理。依舊以外賣行業(yè)舉例,在配送員配送商品的過程中,配送員需要知道用戶的電話號碼、地址和訂單信息。這就造成了一個問題,配送員會接觸到大量的用戶數(shù)據(jù),甚至用戶丟棄的外賣訂單也會被其他人所獲取,這對企業(yè)來講無疑存在很大的數(shù)據(jù)泄漏風(fēng)險,所以一些企業(yè)將地址信息推送給配送員,但是電話則通過平臺的虛擬號碼來標(biāo)識,且配送員與用戶之間的電話需要通過平臺來撥通。同時,外賣訂單中將用戶的真實電話號碼通過隱藏部分字段的方法去標(biāo)識化。這在一定的程度上減少了數(shù)據(jù)泄露的風(fēng)險,同時也對用戶的數(shù)據(jù)進(jìn)行了保護(hù)。
四、 定崗定責(zé)
在數(shù)據(jù)安全保護(hù)過程中,定崗定責(zé)無疑可以更好地實現(xiàn)數(shù)據(jù)安全保護(hù)的目的。企業(yè)可以通過建設(shè)具有自身特點的、安全的、合規(guī)的保護(hù)制度,設(shè)置個人信息和數(shù)據(jù)安全保護(hù)的相關(guān)崗位,并明確崗位職責(zé),專人處理專事,專人對專事負(fù)責(zé),同時進(jìn)行權(quán)限管理。在發(fā)生數(shù)據(jù)安全風(fēng)險事件時,企業(yè)能夠第一時間采取應(yīng)急處置措施,并對事件的發(fā)生進(jìn)行溯源,向責(zé)任人員予以追責(zé)。
當(dāng)然,企業(yè)的數(shù)據(jù)安全保護(hù),在未來將會伴隨其自身業(yè)務(wù)的開展而發(fā)生變化。企業(yè)規(guī)模越大,數(shù)據(jù)的量級和復(fù)雜性越大,所需要承擔(dān)的數(shù)據(jù)安全保護(hù)責(zé)任越大。到那時,針對數(shù)據(jù)安全保護(hù)來說所需要做的遠(yuǎn)遠(yuǎn)不止以上幾點,需要進(jìn)一步擴(kuò)展和完善相關(guān)的數(shù)據(jù)安全及合規(guī)體系。
數(shù)據(jù)安全保護(hù)這條路,著實是道阻且長。
(本文系原創(chuàng),未經(jīng)許可,禁止轉(zhuǎn)載。)
————