编者按

当前，国家层面正积极推进依法治数，坚持发展和安全并重。在此形势下，企业作为最主要的数据处理者，挑战和机遇并存，“保护数据安全、确保数据合规”并举。本周话题聚焦企业的数据安全建设，如果您有好的经验或者建议欢迎来百问平台交流~

本周看点

《中华人民共和国数据安全法》和《关键信息基础设施安全保护条例》均自2021年9月1日起施行。其中，数据安全法规定，违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

《条例》则明确，重点行业和领域重要网络设施、信息系统属于关键信息基础设施，国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治违法犯罪活动。

百问精选

企业如何进行数据安全和合规建设？

STEP1：搭建数据安全和合规组织架构

企业可建立数据安全与合规委员会，作为数据安全的管理机构。其组成人员不一定需要外部招聘，可由内部各层级、各部门选调合适人员组建而成。委员会的总负责人可由首席数据安全官担任，也可由公司CTO担任。如有必要，亦可由公司CEO担任。委员会成员中至少应具备信息安全、法律、统计、审计、保密等相关专业人才。如果公司处于健康医疗等特殊行业，团队中还应包括医学方面专业人员。

STEP2：梳理企业数据资产及数据风险

企业在构建数据安全和合规体系时，首先梳理出企业所掌握的数据资产，构建细颗粒度数据资产信息，理清数据面临的潜在风险，可为企业数据安全制度建设奠定基础。企业可从如下维度梳理数据资产和潜在风险。

1. 梳理适用自身业务的法律法规、监管要求

2. 梳理涉及数据的业务场景

3. 梳理数据种类、数量、收集方式、使用情况等

4. 梳理涉及数据的合作方

5. 梳理企业内部现有组织架构在数据保护层面的适用性

6. 梳理现有数据安全和合规措施

7. 梳理数据面临风险的节点、场景等

STEP3：建立精细化数据安全和合规治理体系

企业可从数据分类分级建设、全流程数据处理管理制度建设与数据安全体系建设三个维度展开数据安全体系建设。

数据分类分级建设：依照企业所属不同行业，根据国家、地方行业标准或部分行业已出台的参考标准，对企业数据进行分类分级，实现差异化精准化的安全防护。

全流程数据处理管理制度建设 ：数据处理安全体系建设围绕数据全生命周期而展开，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开、销毁等环节。因不同环节面临的数据安全威胁不尽相同，存在的风险亦不尽相同，因此企业可将每个环节作为切入点，采取侧重点不同的安全合规措施。

数据安全体系建设：企业保障数据安全可从数据安全目标制定、数据等级保护制度建设、数据安全事件应急处理机制、数据安全事件事后复盘完善、定期风险评估几方面着手，打造数据安全的闭环系统。

（本文系转载，如有侵权，请联系删除。）