亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

背景

隨著數(shù)據(jù)成為了重要的資產(chǎn)，成為了生產(chǎn)要素，數(shù)據(jù)安全也越來越重要。2021年，我國陸續(xù)發(fā)布了《數(shù)據(jù)安全法》、《個人信息保護(hù)法》這些專門針對數(shù)據(jù)安全相關(guān)的法律，同時也陸續(xù)發(fā)布了管理辦法，開始著手制定相關(guān)的支撐標(biāo)準(zhǔn)，當(dāng)前數(shù)據(jù)安全合規(guī)要求成為了當(dāng)前數(shù)據(jù)安全最急迫、最重要、最基本的數(shù)據(jù)安全工作。

在已發(fā)布的相關(guān)法律法規(guī)中，規(guī)定數(shù)據(jù)處理者需要針對自身所使用的數(shù)據(jù)情況開展審計合規(guī)審計工作，包括《個人信息保護(hù)法》“第五十四條 個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計。”，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》“第五十三條 大型互聯(lián)網(wǎng)平臺運營者應(yīng)當(dāng)通過委托第三方審計方式，每年對平臺數(shù)據(jù)安全情況…等進(jìn)行年度審計，并披露審計結(jié)果?！?、“第五十八條 國家建立數(shù)據(jù)安全審計制度。數(shù)據(jù)處理者應(yīng)當(dāng)委托數(shù)據(jù)安全審計專業(yè)機(jī)構(gòu)定期對其處理個人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計?！?，這些法律法規(guī)都表明，數(shù)據(jù)安全合規(guī)審計的必要性。

盡管IT審計已經(jīng)持續(xù)多年，但是在個人信息保護(hù)的合規(guī)審計工作需要從信息安全合規(guī)細(xì)化到數(shù)據(jù)安全合規(guī)，并且精確定位到對個人信息的處理，在這方面我國還處于探索階段，審計方、安全廠商以及律所各方都發(fā)現(xiàn)在個人信息保護(hù)合規(guī)審計工作下的問題，都在積極探索如何才能幫助企業(yè)進(jìn)行全面、透徹的審計工作。本文從當(dāng)前個人信息保護(hù)合規(guī)審計工作的現(xiàn)狀分析當(dāng)前所遇到的問題，結(jié)合已有的經(jīng)驗和思考，給出一些解決的思路和建議，希望能對正在開展合規(guī)審計工作的企業(yè)有一定的幫助。

現(xiàn)象分析

現(xiàn)象一：企業(yè)對合規(guī)要求的理解不一，審計工作還處于探索階段

由于《個人信息保護(hù)法》于2021年發(fā)布，發(fā)布還不到一年，司法部門、企業(yè)也處于逐漸摸索的階段，盡管在某些領(lǐng)域，例如人臉識別的使用、算法管理等方面已有一些共識，但是還沒有形成全面的司法解釋以及最佳實踐，因此企業(yè)在開展個人信息保護(hù)的合規(guī)工作時，對于業(yè)務(wù)的合規(guī)判斷還有一定的不確定性。

企業(yè)的個人信息合規(guī)處于一個摸索階段，針對合規(guī)的審計工作就更為困難了，當(dāng)然，審計也是合規(guī)工作中的一部分，因此，審計工作需要與企業(yè)的合規(guī)實踐同步摸索，而不是等合規(guī)指引明確之后才開始著手審計工作。

現(xiàn)象二：難以快速、持續(xù)性的開展合規(guī)審計工作以支撐不同的合規(guī)審計要求

根據(jù)《數(shù)據(jù)安全法》、《個人信息保護(hù)法》可以看出針對個人信息保護(hù)的合規(guī)審計工作將是一個常態(tài)化的工作，可以是自審計也可以是監(jiān)管部門的強(qiáng)制審計，同時每個行業(yè)會由主管部門根據(jù)行業(yè)特點、個人信息保護(hù)情況建立更為具體、詳細(xì)的審計體系，例如工信部發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》中規(guī)定，“第二十七條【安全審計】工業(yè)和電信數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)全生命周期處理過程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時間不少于六個月，定期進(jìn)行安全審計，并形成審計報告，……?！币虼耍瑐€人信息保護(hù)合規(guī)審計工作是一個持續(xù)化的工作，企業(yè)需要充分掌握自身的合規(guī)情況，隨時做好迎接合規(guī)審計的準(zhǔn)備，而不是每年開展一次性、臨時性的審計工作。

從個人信息合規(guī)工作來看，合規(guī)審計是一個復(fù)雜的工作，尤其是個人細(xì)膩處理過程的合規(guī)審計幾乎需要涉及企業(yè)內(nèi)部的所有業(yè)務(wù)流程。一個大型企業(yè)的業(yè)務(wù)復(fù)雜，業(yè)務(wù)間交互眾多，包括企業(yè)內(nèi)部及企業(yè)與外部，這些業(yè)務(wù)系統(tǒng)是否有足夠的證據(jù)來支撐數(shù)據(jù)處理過程的還原，是否有足夠的證據(jù)證明這些采集的個人信息都是有合法性基礎(chǔ)的，從目前的情況來看，并不是一個肯定的答案，因此當(dāng)前企業(yè)的審計工作是一個證據(jù)不充分、審計工作復(fù)雜且審計投入較大的一個狀態(tài)。這與審計的需求有巨大的沖突，而如何才能從當(dāng)前的無序、不充分的狀態(tài)到一個可隨時、持續(xù)的審計的狀態(tài)，是當(dāng)前個人信息保護(hù)合規(guī)審計工作的難點。

現(xiàn)象三：難以深入、透徹的開展審計工作，全面的評估企業(yè)的合規(guī)狀態(tài)

企業(yè)在進(jìn)行個人信息合規(guī)保護(hù)主要需要關(guān)注3個方面，基本的安全管理義務(wù)、為個人信息主體提供對個人權(quán)利實現(xiàn)的方式以及個人信息處理過程的合規(guī)性，這三個方面都需要對企業(yè)進(jìn)行深入的了解，不僅僅是原有的IT審計所涉及的組織管理制度、研發(fā)流程、系統(tǒng)的安全測試，還包括業(yè)務(wù)設(shè)計、系統(tǒng)設(shè)計等一系列深入企業(yè)業(yè)務(wù)流程的才能實現(xiàn)對企業(yè)個人信息保護(hù)狀態(tài)的合規(guī)審計。而這不僅遵循原有的審計方法，還需要遵循審計工作的原則，根據(jù)個人信息保護(hù)合規(guī)審計的特點研究新的審計操作方式，來實現(xiàn)深入、透徹的合規(guī)審計工作。

思考與建議

一、個人信息的監(jiān)管機(jī)構(gòu)應(yīng)考慮發(fā)布官方的數(shù)據(jù)合規(guī)指引

參考?xì)W盟的GDPR的實施可以看出，法案自2017年發(fā)布，經(jīng)過了2年左右的實踐、司法解釋以及公民維權(quán)才逐漸走向成熟，并形成了相對穩(wěn)定、有共識的實踐指南，歐盟也在此基礎(chǔ)上出臺了一系列的具體的實施指引，用來規(guī)范企業(yè)的合規(guī)工作，明確哪些處理方式、技術(shù)措施是有效的、合規(guī)的。

因此當(dāng)前階段，需要監(jiān)管機(jī)構(gòu)、司法部門、企業(yè)及相關(guān)合規(guī)支撐方（包括測評機(jī)構(gòu)、安全廠商、審計機(jī)構(gòu)等）多方共同努力，探索出最佳的合規(guī)實踐，推動企業(yè)合規(guī)的實踐指引落地。監(jiān)管部門和司法部門需自頂向下的給出個人信息保護(hù)合規(guī)的具體目標(biāo)和要求，企業(yè)及相關(guān)合規(guī)支撐方，自底向上的通過最佳實踐來給監(jiān)管部門、司法部門以實現(xiàn)情況及該種狀態(tài)下的安全效果，最終綜合考慮目標(biāo)、結(jié)果形成合規(guī)的實施指引，推動企業(yè)落實個人信息保護(hù)合規(guī)措施。

二、審計機(jī)構(gòu)推動合規(guī)審計的具體實施步驟及方法的落地

基于當(dāng)前IT審計工作的完善性以及在個人信息保護(hù)合規(guī)審計方面的部分需要進(jìn)一步細(xì)化的需求，筆者建議可以從兩個方向逐步探索：

其一是，基于IT審計的原則、方法和步驟，分析在個人信息保護(hù)合規(guī)審計工作中的適用性，例如審計原則、基本方法和大致審計流程與傳統(tǒng)IT審計完全一致，但是，從業(yè)務(wù)層面來進(jìn)行合規(guī)審計需要哪些支撐材料，如何可以有效證明該業(yè)務(wù)的合規(guī)性是需要進(jìn)一步細(xì)化和研究的。

其二是，常態(tài)化、持續(xù)化的審計工作在企業(yè)內(nèi)部審計工作的組織架構(gòu)、制度流程及工具需要結(jié)合企業(yè)的管理情況進(jìn)一步細(xì)化研究，以實現(xiàn)在不影響業(yè)務(wù)正常運轉(zhuǎn)的情況下，便捷高效地開展審計工作。

建議審計機(jī)構(gòu)與企業(yè)共同探討，探索出個人信息保護(hù)合規(guī)審計工作的具體實施流程和方法，并且推動該流程方法的標(biāo)準(zhǔn)化，使審計工作可以真正達(dá)到發(fā)現(xiàn)企業(yè)合規(guī)風(fēng)險、敦促企業(yè)進(jìn)行合規(guī)完善的目的。

三、企業(yè)及安全廠商推動使用合規(guī)審計工具來支撐常態(tài)化、清晰化的合規(guī)審計

在個人信息合規(guī)審計工作中，人為的審計既會由于審計人員的差異造成合規(guī)結(jié)果的不一、合規(guī)風(fēng)險的發(fā)現(xiàn)不徹底，也會由于業(yè)務(wù)難以理解造成審計過程復(fù)雜，耗時長，難以支撐常態(tài)化、清晰化的合規(guī)審計工作，因此可以更多的通過工具來關(guān)聯(lián)分析、記錄越多的客觀、可信的合規(guī)證據(jù)，這樣就可以更好的支撐快速、透徹的審計。

合規(guī)審計工具的重點在于采集什么樣的證據(jù)、如何采集證據(jù)、如何關(guān)聯(lián)分析證據(jù)以支撐審計以及如何保全證據(jù)，企業(yè)及安全廠商可以共同推動審計工具的標(biāo)準(zhǔn)化工作，探討企業(yè)需要通過哪些日志來證明自身的管理制度、措施以及處理流程是合規(guī)的，探討如何分析這些日志是符合審計要求的，如何保全這些日志才可以作為審計證據(jù)。這樣，推動工具化的個人信息保護(hù)合規(guī)審計，就可以更方便、客觀、量化的來判斷企業(yè)是否滿足了合規(guī)要求，更好地達(dá)成企合規(guī)審計工作的目標(biāo)。

來源:CCIA數(shù)據(jù)安全工作委員會